КриптоПро CSP 4.0 имеет сертификаты соответствия ФСБ России на средства криптографической защиты информации: «КриптоПро CSP» версии 4.0 исполнение 1-Base (согласно формуляру ЖТЯИ.00087-01 30 01) и исполнение 2-Base (согласно формуляру ЖТЯИ.00088-01 30 01). Оба сертификата дейсвительны до 31 декабря 2018 года.
Криптопровайдер КриптоПро CSP предназначен для:
— авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
— обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
— обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
— контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
— управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Зачастую для сохранности баз данных в программных комплексах 1С достаточно задать пароль пользователя или зашифровать данные. Однако на деле это не так, и тогда на помощь приходят технические средства, представляющие собой набор административных действий и правил.
В «1С:Предприятие 8» защита информации строится на принципе, когда пользователей не имеет прямого доступа к базам данных – он их получает при помощи запросов процесса rphost от имени своей учетной записи. Но одного этого принципа мало – в большинстве случае без индивидуальной настройки не обойтись.
Для начала каждый пользователей базы получает логин и пароль. При загрузке программы он их указывает, если в системе существует учетная запись с соответствующими параметрами, доступ разрешается.
Учетная запись создается для каждой информационной базы, используемой пользователем. Передаваемая информация шифруется полностью или частично при помощи сертификатов.
Но зачастую угрозу для сохранности данных представляет сам пользователь, если он неаккуратен или недобросовестен в работе. Даже если регулярно менять пароли, состоящие не менее, чем из 8 цифр или символов, все это сойдет на нет, если сотрудник решат, что хранение «сложных» паролей надо доверить памяткам на мониторе своих рабочих мест. А ведь, скажем, если войти в систему под паролем бухгалтера, можно узнать все о финансовом состоянии компании и проводимых ею операциях.
Но ладно пароли, ведь пользователи имеют доступ и к конфигуратору 1С. В этом случае, чтобы человек по незнанию или недоразумению не наделал бед, стоит ограничить его учетную запись в правах.
Каждый пользователей должен быть приписан к определенной роли и может:
- выгружать информационную базу в файл на диске своего компьютера
- либо назначать права доступа для других пользователей информационной базы.
При этом нужно убедиться, что сотруднику действительно необходимы административные права для выполнения его служебных обязанностей, и он имеет достаточную квалификацию для этого.
То есть предоставлять административные права лучше только тем пользователям «1С:Предприятия», которым это действительно необходимо. Обычно, к таким правам относятся:
- административные функции,
- обновление конфигурации базы данных,
- внешнее соединение,
- интерактивное открытие внешних обработок,
- интерактивное открытие внешних отчетов.
Следует создать администратора кластера, так как если он не задан, любой пользователь сможет создать новый кластер. Также стоит исключить для сервера «1С:Предприятие» такие сервисы как «общий файловый доступ», «почтовый сервер», «интернет-прокси» и т.п.
Наконец, можно ограничить доступ к переносным носителям, чтобы не допустить копирования баз данных на съемные носители – при помощи групповых политик Active Directory. Наконец, нельзя забывать про месть уволенных сотрудников, которые могут воспользоваться своей учетной записью во вред фирме, то есть нужно проводить регулярное администрирование учетных записей.
Это частный пример настройки 1С. Однако можно мыслить глобально и провести настройку прав пользователей вообще в операционной системе, использовать проверку учетной записи каждый раз при подключении к серверу. Более того, тот же SQL Server позволяет использовать для создания файлов базы данных «неформатированные» разделы, где не существует файловой системы и нельзя хранить файлы ОС. И тогда привычные операции работы с файлами будут недоступны — нельзя будет выполнять копирование, удаление, изменение или перемещение созданного файла.
Плюс физические меры защиты по типу того, как сервер поместить в недоступную для посторонних лиц специально оборудованную комнату. Не говоря уже об актуальной противовирусной защите, общем уровне безопасности и наличие в штате собственных системных администраторов или договора со специализирующей на безопасности данных организацией.
Данный пароль (PIN-код) был установлен пользователем при формировании либо копировании контейнера.
Если в качестве ключевого носителя используется Rutoken, то следует указать стандартный pin-код 12345678. Также рекомендуется ознакомиться с информацией на странице Pin-код Rutoken.
Если в качестве ключевого носителя используется дискета, флэш-карта или реестр, следует выполнить следующие шаги:
1. Попытаться вспомнить пароль. Если он был установлен иным лицом, необходимо обратиться к нему для уточнения пароля. Количество попыток ввода пароля, которое указывается в окне «Осталось попыток ввода пароля», на самом деле не соответствует действительности. После окончания попыток можно пробовать подбирать снова.
2. Проверить наличие копии данного ключевого контейнера, не защищенной паролем. Если такой копии нет, следует перейти к пункту 3.
3. Если восстановить пароль предложенным выше способом не удалось / не представляется возможным, необходимо обратиться в сервисный центр для незапланированной замены ключа (см.Найти свой сервисный центр).
