Про e-token я знаю, но есть два "но":
1. ПО банка с которым мы работаем их не поддерживает, и не собирается. А мое руководство не будет менять банк. Думаю эта ситуация комментариев не требует, это вроде природных катаклизмов - предотвращению не подлежат.
2. Даже те банки которые используют e-token ключи генерируют не токеном (т.к. криптографические алгоритмы e-token'а не сертифицированы ФСБ), а используют его только как хранилище. Т.е. криптографические операции выполняются компьютером, следовательно ключи могут быть украдены точно так же как с флешки или дискеты. Ну может чуточку сложнее.
А вот решение на основе SecrecyKeeper мне понравилось (спасибо коллеге за наводку), плюс с его помощью можно решать еще целый спектр задач на основе установки грифов для информации и уровней допуска сотрудникам.
Видимо будем внедрять WebSense в качестве монитора передаваемой в сеть информации и SecrecyKeeper как средство защиты от утечек. Если бюджет не зарежут :)