да и ваш случай прав про одну сделку. И главное ЭП — это и есть "личное присутсивие". Вся система давно упала, все знают, просто сейчас стали в сми писать.

С бумажными как раз проще их проверяют, есть реестр действующих доверенностей, но доступ туда onли для своих. И при мне были случаи когда срочные доверенности отзывали и нотариусы напрямую звонили Регистраторам и говори что такая-то доверенность аннулирована

Хотя был один случай из последних когда свёкр дал ген.-доверку на затя, затем через пару часов опомнился и побежал анулировать её но было поздно тот успел часть денег снять и перевести машину на друзей... вот так тоже бывает а вообще случаев навалом всяких

ну вот. А сейчас стало то же самое. Только серт надо спереть. Которые по определению не будут кондифециальными.

у нас в рф.

я думаю сейчас "гайки жёстко" закрутят УЦ

наказывать будут. Проблемы это никакой не решит, но всем бюрократам будет приятно.
Почему я и постю новости, надо быть готовым нам информатикам.
Вот вы можете в какой нибудь БД циферки поменять?

Циферки это фигня, вот как правильно писали в статье на хабре, перплатить налогов а потом переплату вести на свой счёт вот это будет засада для любого юр лица.

Как сказал нам лектор, злоумышленнику проще заплатить 100$ уборщице чтобы она воткнула заражённую флэшку в комп, чем тратить 10000$ на удаленный взлом вашей ИС.

верно. И исправить это просто. Надо честнее говорить что и какое действие удостоверяет.
И если подписание документа ЭП удостоверяет только то, что кто то взял ЭП и ткнул ОК — то нельзя на это подписание сажать какие то важные рещения.

ладно пойду делами заниматься. Пусть будет как есть 😊

@IT_sec_CRB , воздержитесь от мата, проявляйте уважение.

извиняюсь

Коллеги, приветствую!
При адаптации базового набора мер ЗИ для ГИС К2 столкнулся с противоречием:
1) в соответствии с усилением "1а" меры "ИАФ.1": "в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей (администраторов) с использованием сети связи общего пользования, в том числе сети Интернет";
2) в соответствии с усилением "3" меры "УПД.13": "в информационной системе исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации"

(2) противоречит (1) в части удаленного доступа администраторов и запрещает осуществлять удаленный доступ к ИС с правами УЗ администратора, хотя (1) говорит о том, что при удаленном доступе администраторов к ИС должен использоваться второй фактор.

Кто сталкивался с этим и как решали задачу?

При противоречии нужно руководствоваться более строгими требованиями, т.е. в данном случае нуж руководствоваться пунктом "2)

(2) вообще не выполним в текущих реалиях когда ГИСы размещаются в защищенных облаках или на специализированных площадках в ЦОД...

Пояндексите. Где-то были рассуждения про перевод концепции "удалённого доступа" в концепцию "локальная распределённая система" через "использование сертифицированных средств криптографической защиты информации для организации единой виртуальной локальной вычислительной сети"

🤔 звучит логично

Нет никакого противоречия в этих пунктах. Пункт 1 говорит просто про доступ в ИС, пункт 2 говорит про Администрированием ИС и СЗИ. Ну т.е. само по себе наличие у учетной записи админских прав еще не означает автоматом то, что владелец УЗ будет ИС адмнить без остановки 24/7, как только к ней подключится. А насчет ГОСТ VPN я, пожалуй, соглашусь. Назвать это "Защищенной ЛВС" и впред.

Коллеги, благодарю за помощь! Действительно, термин "локальный доступ"  не определен - это может быть как доступ к консольному порту ПАК, а может быть доступ к ИС из ЛВС (а может быть и доступ из ЗСПД, организованной с использованием СКЗИ и являющейся единой виртуальной локальной вычислительной сетью Оператора ИС). Поэтому в ПЗ в терминах и определениях задам своё определение локального доступа