И в чём же выражается компрометация?Цитата:
Сообщение от NikosColev
Остальные домыслы не комментирую.
И в чём же выражается компрометация?Цитата:
Сообщение от NikosColev
Остальные домыслы не комментирую.
Было бы интересно и остальные прокомментировать. Компрометация очевидно в доступе к закрытому ключу пользователя сотрудником ТП.Цитата:
Сообщение от lubezniy
Сам по себе доступ постороннего лица к закрытому ключу не означает компрометации, ибо он (разумеется, при определённых рамочных ограничениях) не даёт никаких возможностей для несанкционированного использования этого ключа. Те или иные действия с теми или иными компонентами системы выполняются вполне открыто с использованием TeamViewer - т. е., только по обращению и с согласия пользователя. Таки где проблема?Цитата:
Сообщение от NikosColev
Вопрос же о первопричине обращения в техподдержку (соответствие описания реальному) оставлю представителям Калуга Астрал.
Не согласен с Вами, именно доступ постороннего лица к закрытому ключу и есть самая обычная компрометация. Использование же TeamViewer (мои домыслы стали реальностью) по сути равно выкладыванию закрытого ключа в глобальную сеть)))Цитата:
Сообщение от lubezniy
NikosColev, вы уверены что через teamviewer можно получить закрытый ключ?
Я уверен, что работать с ключевой информацией необходимо сертифицированными средствами. А холиварить о том что и кто может получить при использовании определенного софта нужно не в бухгалтерском форуме наверное, да и мне это не очень интересно.Цитата:
Сообщение от alexstrel
А разве обязательно надо "использовать"? Вот это вроде подходит под компромат:Цитата:
не даёт никаких возможностей для несанкционированного использования этого ключа
Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в том числе, следующие: ...
- доступ посторонних лиц к ключевой информации.
А когда Вы вызываете специалиста из техподдержки (неважно, в принципе, из какой - банк, 1С, спецоператор etc) и усаживаете его за свой компьютер? В этом случае у него гаааараздо больше возможности стырить всё, что можно.Цитата:
Сообщение от NikosColev
Не знаю ни одного случая, когда простой доступ (не копирование ключа) постороннего лица к такой информации влёк за собой несанкционированное действие. Так что эта формулировка, считаю, годится только для теории. И вообще: если хочешь быть здоров, ешь один и в темноте (c). А доверять постороннему лицу или нет - решает исключительно клиент.Цитата:
Сообщение от mvf
Стырить можно различными способами и пользователи часто этому способствуют. Насколько я понимаю, ключи необходимо хранить в сейфе, сажая невесть кого))) за свой ПК хорошо бы хотя бы убрать их на место. Если необходимо работать с ключами достаньте их и нажимайте кнопки на своём ПК сами))) Но, Вы правы, гораздо проще, чтобы "мальчик пришел и всё мне сделал", - ситуация обыденная. В данном случае, речь не столько о том, что пользователи не особо пекутся о своей информационной безопасности, а о том, что сотрудники СОС/УЦ нарушают правила работы с ключевой информацией. Корректно бы было не зайти удаленным доступом (я уж не говорю про ТаймВьювер - нормальный админ в организации убил бы буха за такую деятельность) и установить ключи, а предоставить корректную инструкцию и помочь пользователю её выполнить.Цитата:
Сообщение от ZZZhanna
Ага, - "Бланки с печатью и подписью директора всегда лежали у меня на столике и их никто никогда не трогал, а тут вдруг... кто бы мог подумать!? Невиноватая яааа!!!"Цитата:
Сообщение от lubezniy
Спасение утопающих, - дело рук самих утопающих. (с)
NikosColev, дейсвтия-то разными могут быть. А если человек работает только с программой по отравке отчетности, то скопировать закрытые ключи через нее нельзя.
Я не уверен что их даже через интернет можно отправить каким-либо образом.
Хотя наверно говорить это вам бесполезно, вы уже выводы для себя сделали и считаете их единственно вернымию
То этот человек работает с сертифицированным ПО.Цитата:
Сообщение от alexstrel
Гм))) Конечно можно отправить.Цитата:
Сообщение от alexstrel
Да, убеждать меня в очевидном бесполезно, Вы правы)))Цитата:
Сообщение от alexstrel
Суть видимо в том, что для большинства пользователей ЭЦП это какая то примочка на дискетке/флешке/токене... из ПО для представления отчетности, а не юридически значимый аналог печати и подписи организации. Добавив сюда, что в настоящее время, кроме фискальных органов ЭЦП особо нигде и не используешь, она и не представляет особой ценности в глазах пользователя. Сейчас, пожалуй только сотрудники банков дрожат за свои подписи... Не уверен, что не байка, но где-то читал об участии в торгах с тестовым сертификатом, - т.е. и держатели сервисов ещё не особо созрели)))
Пользователям предоставляющим удаленный доступ к своему ПК с ключами рекомендую сделать обои на рабочий стол с реквизатами доступа к своему личному банковскому счету, - пусть лица, которым они доверяют доступ к ключам организации смотрят на эти циферки, - они же не такие, они хорошие и никогда ими не воспользуются...
То этот человек работает с сертифицированным ПО.Цитата:
Сообщение от alexstrel
Гм))) Конечно можно отправить.Цитата:
Сообщение от alexstrel
Да, убеждать меня в очевидном бесполезно, Вы правы)))Цитата:
Сообщение от alexstrel
Суть видимо в том, что для большинства пользователей ЭЦП это какая то примочка на дискетке/флешке/токене... из ПО для представления отчетности, а не юридически значимый аналог печати и подписи организации. Добавив сюда, что в настоящее время, кроме фискальных органов ЭЦП особо нигде и не используешь, она и не представляет какой особой ценности в глазах пользователя. Сейчас, пожалуй только сотрудники банков дрожат за свои подписи... Не уверен, что не байка, но где-то читал об участии в торгах с тестовым сертификатом, - т.е. и держатели сервисов ещё не особо созрели)))
Пользователям предоставляющим удаленный доступ к своему ПК с ключами рекомендую сделать обои на рабочий стол с реквизатами доступа к своему личному банковскому счету, - пусть лица, которым они доверяют доступ к ключам организации смотрят на эти циферки, - они же не такие, они хорошие и никогда ими не воспользуются... Тем более, как же они украдут ваши обои через интернет)))
Расскажите как. Мне это действительно интересно с практической точки зрения.Цитата:
Сообщение от NikosColev
Насчет остального говорить бесполезно.
А разве нельзя файлик с записанным ключем отправить ?Цитата:
Сообщение от alexstrel
Не передёргивайте. Это не предоставление доступа кому попало к чему попало. Вы ещё денег предложите на монитор положить. :)Цитата:
Сообщение от NikosColev
Сложно сказать. В самом TeamViewer функция передачи файлов есть. Но, насколько я знаю, для Калуга Астрал была выпущена специальная версия клиента - может быть, её там и обрезали. Деталей я не знаю.Цитата:
Сообщение от ZZZhanna
Но можно ведь и через обычную эл.почту! Я когда через TeamViewer работаю, сама себе файлы посылаю, чтобы, например, распечатать.
В данном случае вопрос не в "сама себе", а в удалённой работе на пользовательском компьютере сотрудника сторонней организации, уполномоченного на совершение неких действий, и наличии возможности для злоупотреблений. В определённой степени, наверное, злоупотребления технически возможны. Но, опять же, это вопрос доверия организации, оказывающей услуги. Никому не доверяя, бизнес вести невозможно.Цитата:
Сообщение от ZZZhanna
А вот еще 1с-ники иногда базу себе копируют в случае проблем для поиска ошибок... У меня лично сердце кровью обливается - ведь коммерческая тайна вроде бы...Цитата:
Сообщение от lubezniy
Я не очень понимаю, что именно Вы хотите услышать))) Закрытый ключ - это файл, который может находиться на различных носителях, в зависимости от носителя способы доступа к нему различны. В данном случае, если сотрудник ТП оказывает удаленно помощь по его установке, он имеет полный доступ к носителю с закрытым ключом, имея полный доступ к закрытому ключу получить его копию не составляет особого труда... Опять же, я не говорю о том, что используя ТаймВьевер неизвестно кто ещё получил такой же доступ.Цитата:
Сообщение от alexstrel
Если специалист умеет хранить тайны и юридически обязан это делать, то ради Бога. Я и сам нередко работаю с чужими данными. И получаю я их исключительно на добровольной основе, а после работы удаляю.Цитата:
Сообщение от ZZZhanna
Даже если дело касается защищённого носителя вроде eToken?Цитата:
Сообщение от NikosColev
А вот это уже спорно. TeamViewer можно и не держать постоянно запущенным.Цитата:
Сообщение от NikosColev
Не то что можно не держать, а его нельзя держать постоянно запущенным.Цитата:
Сообщение от lubezniy
Ну теперь понятно что вы вообще не разбираетесь в работе с закрытыми ключами. Вы попробуйте их просто скопировать с одной флешки на другую. На новой флешки они работать не будут. Да даже если в пределах одной флешки вы их перенесете в другую папку они тоже работать не будут. Это можно делать только специальной программой, например КриптоПро.Цитата:
Сообщение от NikosColev
Так что не пишите ерунды, если не разбираетесь.
Вообще-то не всё так просто. Ключи ЭЦП можно держать в разном виде. К примеру, SberSign (ПО Сбербанка для подписания электронных документов - СКЗИ у него какое-то своё) хранит и открытый, и закрытый ключи в виде файлов, и скопировать их с компа нетрудно, если они там есть (если вставлена дискета с ними, то и оттуда тоже нетрудно). Многие другие СКЗИ также позволяют держать ключи не на защищённом носителе, а на компьютере, и пользователи не стесняются этим пользоваться, когда ключей много, а флэшки перетыкать постоянно не хочется - так просто удобнее. Правда, в деталях я не знаю методику, как при известном СКЗИ их оттуда можно выкопать.Цитата:
Сообщение от alexstrel
Способы копирования ключей не составляют никакого секрета, большинство из них просто описаны в рук-ве пользователя СКЗИ, т.к. это типовая операция работы с ключами.Цитата:
Сообщение от lubezniy
Не все СКЗИ позволяют делать копирование в файл на компьютере. Или сотрудник ТП будет просить пользователя вставить какую-нибудь дискету и отвернуться, чтобы не мешал воровать? ;)Цитата:
Сообщение от NikosColev
А я тут столкнулась с тем, что меня отругал сотрудник техподдержки банка, что я переписала ключи на дискету с компа, сказал, что так нельзя и программа работать не будет :D. А она работала :D. так что, м.б. и не со всеми ключами, но можно переписывать, главное - потом в самой программе пути доступа правильно записать.
А насчет КриптоПро - она ведь есть у многих.
У нас тема про электронную отчетность, так что я имел ввиду именно ее. Ключи созданные КриптоПро нельзя скопировать просто как обычные файлы.Цитата:
Сообщение от lubezniy
Тип поддерживаемого СКЗИ носителя не является определяющим, главное что посторонний сотрудник имеет доступ к закрытому ключу, т.к. устанавливает его. Использовать графическую оболочку СКЗИ для копирования ключа уж очень примитивный путь воровства, думаю что небольшая подготовка может сделать этот процесс далеко не столь заметным для пользователя.Цитата:
Сообщение от lubezniy
Так можно любого мужика подозревать в изнасиловании, ибо у него кое-что есть. ;) Не надо превращать безопасность в паранойю.Цитата:
Сообщение от NikosColev
Соблюдение элементарных правил отнюдь не паранойя, но... "каждый выбирает по себе" (с).Цитата:
Сообщение от lubezniy
Элементарные правила - это не подпускать к компутеру лиц, не уполномоченных выполнять те или иные действия с ним. А к ТП это не относится.Цитата:
Сообщение от NikosColev
Вы заблуждаетесь. С ключами работают сотрудники УЦ, а не сотрудники ТП СОС. При этом, даже сотрудники УЦ работают с ключами по определенным правилам, - удаленный доступ к ключам через сомнительное ПО, - компрометация ключа.Цитата:
Сообщение от lubezniy
Это Вы заблуждаетесь. СОС и УЦ могут быть одной и той же конторой (в данном случае это часто так и есть), и сотрудники вполне могут совмещать должности и обязанности. А если смотреть с точки зрения безопасности, то в электронной отчётности ущерб от несанкционированного использования закрытого ключа примерно равен ущербу от его неиспользования вообще. Поэтому не считаю Ваш довод состоятельным.Цитата:
Сообщение от NikosColev
Уф-ф... И что с того, что могут совмещать? Это не значит, что сотрудник УЦ используя доступ через TimeViever не компрометирует ключ клиента.Цитата:
Сообщение от lubezniy
Писать одно и тоже поднадоело, - считаете такое обращение с ключами допустимым, удачи Вам на этом пути...
День добрый.
Отчетностью занимаюсь уже не первый год, перепробовал много спец. операторов, у всех были свои плюсы и минусы.
Последний мой выбор пал на организацию Белинфоналог, программа Комита-Отчет.
В принципе качеством и ценой очень доволен, проблем и нареканий пока не было.
Что порадовало, это личный менеджер, которому в любое время можно задать интересующий меня вопрос.
Вот интересно, у человека, только-только зарегистрировавшегося на бух. форуме первое желание написать сообщение - в теме, где можно назвать конкретную организацию :D
Alexsandro, а все остальные операторы чем Вас так сильно не устраивали, что Вы их постоянно меняете?
А какие вопросы и в каком количестве должны возникать у бухгалтера, и насколько непонятной и сложной должна быть программа, что вот прямо личный менеджер был нужен?
