DIRECTUM вновь подтвердил свое соответствие требованиям в области защиты информации

DIRECTUM вновь подтвердил свое соответствие требованиям в области защиты информации Сертификаты

Описание решения

Техническое решение «Автогенерация пользователей DIRECTUM и перемещаемых сертификатов ЭП в доменной инфраструктуре Microsoft Active Directory» на базе системы DIRECTUM позволяет реализовать эффективный механизм автоматического аудита доменной структуры любой сложности.

По результатам аудита происходит автоматическое создание новых пользователей в системе DIRECTUM, автогенерация электронных подписей, в том числе и по истечении срока их действия с возможностью подписания на любом рабочем месте в составе доменной инфраструктуры.

Техническое решение включает в себя следующие возможности:

  • Настройку обращений за информацией о пользователях по выбору, к базе LDAP главного контроллера леса доменов, либо к контроллерам подчиненных доменов;
  • Создание пользователей системы DIRECTUM из предопределенных организационных подразделений одного или нескольких доменов в доменной инфраструктуре;
  • Составление запроса в центр сертификации, на основе данных пользователя, хранящихся в системе;
  • Установку сертификата в систему DIRECTUM для указанного пользователя;
  • Генерацию и установку сертификатов в локальное хранилище пользователя для предопределенной группы пользователей домена;
  • Установку закрытых и открытых ключей сертификата в локальное хранилище пользователя при переходе с одного компьютера на другой;
  • Отслеживание сертификатов, срок действия которых подходит к концу и автоматическое обновление сертификатов.

Directum вновь подтвердил свое соответствие требованиям в области защиты информации

Дата статьи: 26.11.2021

По результатам исследования системы DIRECTUM 4.9 на корректность встраивания средств криптографической
защиты информации (СКЗИ) компания
DIRECTUMполучила положительное заключение ФСБ России.

Сегодня разработчики ECM-систем ориентируются
не только на требования заказчиков по части функционала. Важнейшими задачами
автоматизации бизнес-процессов становятся обеспечение юридической значимости
документов и защита электронного документооборота. Особенно актуально это для
организаций, которые осуществляют обработку данных различной степени
конфиденциальности.

Ранее компания DIRECTUM уже получила сертификат
Федеральной службы по техническому и экспортному контролю (ФСТЭК), согласно
которому система электронного документооборота DIRECTUM
4.9 соответствует требованиям руководящего документа «Защита от
несанкционированного доступа к информации». На настоящий момент и ФСБ России
дала положительное заключение о корректном встраивании СКЗИ «КриптоПРО CSP» версии 3.6 в DIRECTUM 4.9.

СКЗИ «КриптоПРО CSP» относится к
вспомогательным программам – криптопровайдерам, которые используются для
генерации электронных подписей, шифрования и расшифровки документов.

Практика показывает, что главная угроза для информации – это
человек, который с ней работает. По крайней мере, всегда существует риск
принять ошибочное решение – например, дать доступ к информации посторонним
лицам.

Специальные свойства СКЗИ в DIRECTUM
4.9 отвечают установленным нормам и предназначены для защиты информации по
классам КС1/КС2. Класс средства КС1 предназначен для защиты данных от внешнего
пользователя, а КС2 – для защиты от внутреннего.

Работа с электронными документами в DIRECTUM адаптирована под нужды территориально распределенных
предприятий и ведомственных организаций. Применение сертифицированных средств
защиты информации обеспечивает надежную протекцию конфиденциальным данным в
системе.

Настройка токена

После успешной установки драйвера для eToken, необходимо настроить работу его с Крипто-Про CSP.

Для этого необходимо открыть программу Крипто-Про CSP, зайдите в раздел Настроить считыватели, проверьте, чтобы у вас было доступна запись в разделе “Все считыватели смарт-карт” (в последних версиях Крипто-Про CSP данный раздел
предлагается внести при установке Крипто-Про CSP)

Про сертификаты:  Мне понравился. - Обзор товара Внешний диск HDD TOSHIBA Canvio Basics HDTB405EK3AA, черный (1034325) от Денис в интернет-магазине СИТИЛИНК – Ростов-на-Дону

Если данного пункта нет, то необходимо нажать кнопку “Добавить”, в мастере по настройке выбрать соответствующее устройство, произвести его добавление в список.

Если все корректно, то перейдем к следующей части настройки. Если же данного пункта нет, то обратитесь к инструкции по настройке Крипто-Про CSP для работы со считывателями. В интернете довольно много информации по данному поводу.

Подписание ззу, документов в directum

Если проделанные операции выше выполнены корректно, то можно работать с токеном в системе DIRECTUM. Теперь для подписания объектов в системе DIRECTUM необходимо просто воткнуть токен в usb-порт и провести подписание. Пример:

1. Выбираем задание для подписания. Выбираем пункт контекстного меню “Подписать”.

2. Перед непосредственном подписании необходимо ввести пин-код к eToken. В случае некорректного ввода данных, подписание невозможно. 

Также необходимо помнить, что если планируется частое подписание данных, то можно установить галочку в пункте: “Запомнить pin-код”. В этом случае при корректном введении пароля, Крипто-про запоминает пин-код. В дальнейшем ввода
пин-кода не требуется.

Также необходимо помнить, что установка галочки в поле “Запомнить pin-код”, снижает уровень безопасности хранения данных, т.к. при утере брелока, и не своевременного отозвания сертификата, данным брелоком и его сертификатом может
воспользоваться третье лицо.

Также следует сменить пин-код ключевого носителя с заводского на уникальный в рамках пользования.

3. В случае корректного ввода данных пин-кода, а также доступности всех настроек, подписание задания проведено успешно.

В моем случае прошло все отлично, задание подписано, носитель с закрытым ключом при мне, и я знаю, что никто другой не сможет воспользоваться им.

Преимущества

Преимуществ в использовании указанных носителей уже отчасти было указано в тексте материала, но стоит выделить их отдельно:

1. Конфиденциальность информации.

2. Хранение ключей на отчуждаемом носителе.

3. Действия с ключевым носителем только после ввода пин-кода.

4. Обеспечить удобный переход пользователя с одного рабочего места на другое.

5. Возможность выполнения других операций связанных с аутентификацией пользователя: вход в windows, вход в систему DIRECTUM.

6. Установка пары ключей с центра сертификации напрямую на eToken.

7. Простота использования.

Следует также учесть, что указанный носитель сертифицирован ФСБ и ФСТЭК России.

Проверка работоспособности crl

Итак, наступает ответственный момент, в котором нам необходимо проверить работает ли список отозванных сертификатов в нашем случае. Для этого после установки CRL зайдите в систему DIRECTUM и попытайтесь подписать какой-либо объект системы отозванным сертификатом.
Если все действия были проделаны верно, то мы получим сообщение следующего вида:

А теперь проверим данные в компоненте “Пользователи”, действительно ли ИД сертификата в сообщении равен тому, что указан в карточке пользователя:

Как видно из скриншота, информация совпадает, выполнять подписание указанным сертификатом мы больше не можем. Главное предназначение списка отзыва сертификатов выполняется.

Дополнительную информацию о процедуре формирования CRL, а также необходимых команд, вы можете найти на следующем ресурсе:

Сертификат соответствия гост р исо 9001-2021

Выдан: Орган по сертификации систем менеджмента «Иж-стандарт-тест»

Регистрационный номер сертификата: № РОСС RU.ФК17.СМ00186

Срок действия: 22.12.2023

Теория. для чего нужен crl

Список отзывов сертификатов (Certificate revocation list) – представляет собой файл указывающий на список сертификатов с указанием серийного номера сертификата, даты отзыва, причина отзыва. В целом списки отзыва сертификатов (CRL)
используются для передачи сведений об отзыве сертификатов пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

При каких ситуациях ваш сертификат может попасть в указанный список:

1. При выдаче сертификата УЦ ошибся в части реквизитов, поэтому был выдан новый сертификат.

Про сертификаты:  Как оформить сертификат на табак для кальяна- получите консультацию экспертов

2. Сертификатом завладело третье лицо, кто мог бы подписывать за вас (т.н. компрометация ключа).

3. Сертификат был отозван по заявлению владельца сертификата.

4. Сменилось уполномоченное лицо, владеющее сертификатом;

Формируется указанный список центром сертификации и публикуется в любое доступное место для пользователей, чтобы пользователь в свою очередь мог его установить.

После проведенной установки CRL файла ПО использующее функции подписания и шифрования будет проверять находится ли ваш сертификат в указанном списке. В случае если ваш сертификат находится в списке, то подписывать и шифровать файлы
и документы данным сертификатом вы уже не сможете.

Что это нам дает? Прежде всего вы всегда можете быть уверены, что сертификат, с которым вы сейчас работаете, является действующим и легитимность выполняемых действий будет подтверждена. Соответственно все законно и мы можем работать
в дальнейшем спокойно.

Предположим, что кому-то (или чему-то) сертификат больше не нужен (человек уволился, скомпрометирован секретный ключ и т.п.). Срок действия сертификата ещё не кончился, но нужно, чтобы он не работал. Для этого администратор CA
обновляет список отозванных сертификатов и размещает его в доступном для всех месте.

Петя уволился (сам или нет..)1. На место Пети посадили Колю, который получил полный доступ к всей информации Пети. При этом ещё не все знают, что Пети нет.2. Маша (которая ещё не знает, что случилось) шлёт Пете файл (что-то личное?!), зашифровав его Петиним открытым ключом.3.

Если бы Маша проверила Петин сертификат по CRL, то она бы узнала, что сертификатом Пети шифровать уже нельзя. Да и другие люди должны знать, что Петя ничего больше подписывать не должен. Т.е. все должны регулярно обновлять CRL
(если это не делается автоматически или ПО само не производит on-line проверку сертификата).

Таким нехитрым образом происходит работа CRL. Более глубже вдаваться в теорию работы со списками отзывов сертификатов нет смысла, поэтому перейдем к практике.

Итак, что же нам прежде всего необходимо сделать, чтобы мы могли полноценно использовать CRL в практических целях организации? Во-первых, если ЦС не развернут в вашей организации, то желательно запрашивать раз в неделю (т.к. CRL
во внешних организациях, зачастую формируются именно раз в неделю), и проводить его установку на локальные машины в профиль пользователя.

Ситуация: ЦС был выдан сертификат. В DIRECTUM указанным сертификатом даже было подписано задание, задачи, документы. Выданным сертификатом завладело третье лицо, нам необходимо обеспечить, чтобы в рамках системы DIRECTUM, указанный
сертификат уже не мог использоваться.

В дальнейшем будем иметь дело со следующим сертификатом:

А вот и подписанное задание данным сертификатом.

Токены – с чем их едят и для чего они нужны?

Токены – это с персональное средство аутентификации, выполненное в формате USB-брелок, предназначенное для хранения закрытого ключа, а также криптографическими операциями с открытым ключом. Иными словами, это специализированная
USB-флешка для подписания электронных документов, а также иных операций необходимых для реализации юридически-значимого документооборота, а также электронного документооборота.

На текущий момент выбор токенов достаточно широк, и позволяет выбрать необходимый носитель исходя из требований. На данный момент самыми популярными токенами на российском рынке является Rutoken компании Актив, Etoken компании
Аладдин, а также Kaztoken компании Цифровой Поток.

Для работы с токенами необходимо соответствующие средства СКЗИ, которые позволяют реализовать механизм работы. Вдаваться в подробности о работе токена и взаимосвязи с СКЗИ мы не будем, поэтому приступим непосредственно с тем, каким
образом реализовать работу токена с системой DIRECTUM, а также подробную его настройку.

Про сертификаты:  Накопительный счет / Уральский Банк Реконструкции и Развития

На текущий момент для демонстрации возможностей токена при работе с системой DIRECTUM я выбрал eToken, т.к. для меня он удобней при настройке и установке.

eToken (от англ. electronic — электронный и англ. token — признак, жетон) — торговая марка для линейки персональных средств аутентификации в виде USB-брелоков и
смарт-карт, а также программные решения с их использованием. Торговая марка была создана израильской компанией Aladdin, впоследствии приобретенной SafeNet.

Установка crl

Установка CRL проводится на каждом локальном профиле. При этом устанавливается указанный список, как обычный сертификат:

Далее знакомый интерфейс по установке сертификатов предложит нам установить сертификат. Особенностей в этом случае нет: выбираем “Автоматический выбор хранилища”. После установки списка отзывов, можно проверять работает ли он,
и можем ли мы подписать, что-либо после указанных операций.

Установка открытого ключа в профиль пользователя

Для установки открытого ключа (если он не выдавался отдельно) необходимо в программе Крипто-Про обратиться в раздел “Сервис”:

1. Выберите кнопку “Просмотреть сертификаты в контейнере”.

2. Выберите имя контейнера находящегося на токене нажав кнопку “Обзор”. После выбора контейнера нажмите кнопку “Далее”.

3. В следующем окне необходимо выбрать кнопку “Установить”, при этом необходимо согласиться со всеми предложенными пунктами по установке сертификата.

После успешного завершения операции, открытый ключ установлен в профиль пользователя. 

Формирование crl

CRL формируется также на самом ЦС довольно нехитрыми действиями.

1. Зайдите в консоль ЦС. Выбираем раздел “Отозванные сертификаты. Вызовем контекстное меню и выберем пункт “Все задачи” -> “Публикация”.

Выберите тип публикуемого CRL: полный или разностный. Основное отличие это формирование полного списка или за выбранный при настройке период публикации. Если в вашей организации выдачей сертификатов не занимаются каждый день, и
список формируемых сертификатов не велик, то лучше выбрать тип “Полный”. После выполнения указанных действий, получаем список отозванных сертификатов.

Также сформировать список CRL можно и при помощи командной строки вызвав команду certutil -crl.

2. После публикации указанного списка, необходимо его сформировать в файл. Для этого зайдите в веб-форму ЦС. Выберите действие “Загрузка сертификата ЦС, цепочки сертификатов или CRL” -> “Загрузка сертификата ЦС, цепочки сертификатов
или CRL”. Сохраните указанный файл на компьютере.

После проделанных операций мы получаем список отзывов сертификата. Выглядит он следующим образом:

Замечаем, что в указанном списке уже есть наш сертификат, который мы отозвали. Операция формирования CRL завершена, перейдем к следующему пункту

Эффект от внедрения

Преимуществом является то, что документы, подписанные ЭП, передаются к месту назначения в течение нескольких секунд. Так, участники электронного обмена документами получают равные возможности независимо от их удаленности друг от друга. Такой обмен позволяет усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена документами, значительно сократить время движения документов и стать явной предпосылкой для развития межкорпоративного электронного документооборота.

Отзыв сертификата

Итак опишу действия необходимые для отзыва сертификата.

1. Заходим в консоль ЦС. Открываем раздел “Выданные сертификаты”.

2. Вызываем контекстное меню на необходимом нам сертификате, выбираем пункт “Все задачи” -> “Отзыв сертификата”.

3. Проверяем, что сертификат отозван. На рисунке будет также видно, что серийный номер совпадает с тем, что был изначально указан в задаче.

На этом операции по отзыву сертификата окончены. Сейчас переходим к следующему пункту

Оцените статью
Мой сертификат
Добавить комментарий