Опубликовано 6 марта, 200818 г Да здесь уже все изобретено - и НПА и все другое. Посмотрите хотябы требования Центробанка при использовании БЭСП (АРМ КБР и т.д.) - там требования весьма жесткие и кабинет аттестуют представители банка. НУ, конечно, соблюдение этих требований на совести клиентв - но деньги то его))) Ключи хранятся у удного, выдаются другим. Админ отдельный. Ну и уж сидеть в Инете с этого компа никак нельзя. Изменено 6 марта, 200818 г пользователем korsar
Опубликовано 6 марта, 200818 г Если хотите решать эту задачу техническим (программным) способом, посмотрите на SecrecyKeeper (www.secrecykeeper.com). Дополнительную информацию по продукту можно поискать на этом сайте, обсуждался достаточно подробно. SecrecyKeeper позволяет ставить на информацию грифы - общедоступно, конфиденциально, секретно. Пользователям присваиваются уровни допуска к сети и съемным носителям, которые определяют максимальный гриф информации, который ползователь имеет право скопировать на съемный диск или передать в сеть. Для сервера можно задать уровень безопасности. В последней версии гриф можно ставить и на носители. Настройки будут такие: Для бухгалтера уровень допуска = секретно уровень допуска к сети = общедоступно уровень допуска к съемным носителям = общедоступно На ключевой носитель ставим гриф = секретно. Для банковского сервера к которому подключается клиент-банк, уровень безопасности = секретно. Как работает. Пока бух не работает с ключевой дискетой (или флешкой) - все как обычно. Вставил дискету и обратился к ней. Система обнаружила обращение к носителю с грифом "секретно". После этого блокируется доступ на запись к съемным носителям (см уровни допуска для бухгалтера), доступ на чтение разрешен и блокируется доступ ко всем компам по сети (см уровни допуска для бухгалтера) кроме банковского сервера, т.к. уровень безопасности банковского сервера - секретно. Если бухгалтер сделает копию ключевого носителя на ПК, то скопированные файлы получат гриф "секретно" и при следующем доступе к ним все блокировки доступа опять станут активными. Т.е. бухгалтер сможет работать с ключевым носителем, но не сможет его несанкционированно скопировать или реоедать в сеть. Кстати отключить этот ПК от интернета нельзя, т.к. клиент банк работает через интернет, хотя можно разрешить ходить только на сервер клиент-банка.
Опубликовано 24 марта, 200818 г Здравствуйте, Может быть кто-нибудь сталкивался с системами, которые позволяют защитить ключи банк-клиента от кражи как бухгалтером так и вредоносными программами. Буду благодарен за консультацию. Добрый день! Хранить Электронно Цифровые Подписи (ЭЦП) необходимо на носителях, отвечающим определенным требованиям(ГОСТ, сертификации ФСТЭК)... "Ключи" от клиент-банка на дискетах или флеш-картах - это устаревшая система безопасности, используемая в банках, которые не хотят тратиться на современную систему криптостойкости. Последние достижения в этой области: ключи е-Токен (e-Token PRO). Использование данного устройства исключает возможность аутентификации посторонними сотрудниками, т.к. знание ПИН-кода ограничивается должностными обязанностями. Как правило это уже регулируется внутренними документами в организации. Шпионское ПО не имеет возможности прочитать цифровой сертификат , хранящийся в еТокене, т.к. это не просто хранилище, а защищенное средство.Подробнее о ключах можно узнать на www.aladdin.ru.
Опубликовано 28 марта, 200818 г Автор Добрый день! Хранить Электронно Цифровые Подписи (ЭЦП) необходимо на носителях, отвечающим определенным требованиям(ГОСТ, сертификации ФСТЭК)... "Ключи" от клиент-банка на дискетах или флеш-картах - это устаревшая система безопасности, используемая в банках, которые не хотят тратиться на современную систему криптостойкости. Последние достижения в этой области: ключи е-Токен (e-Token PRO). Использование данного устройства исключает возможность аутентификации посторонними сотрудниками, т.к. знание ПИН-кода ограничивается должностными обязанностями. Как правило это уже регулируется внутренними документами в организации. Шпионское ПО не имеет возможности прочитать цифровой сертификат , хранящийся в еТокене, т.к. это не просто хранилище, а защищенное средство.Подробнее о ключах можно узнать на www.aladdin.ru. Про e-token я знаю, но есть два "но": 1. ПО банка с которым мы работаем их не поддерживает, и не собирается. А мое руководство не будет менять банк. Думаю эта ситуация комментариев не требует, это вроде природных катаклизмов - предотвращению не подлежат. 2. Даже те банки которые используют e-token ключи генерируют не токеном (т.к. криптографические алгоритмы e-token'а не сертифицированы ФСБ), а используют его только как хранилище. Т.е. криптографические операции выполняются компьютером, следовательно ключи могут быть украдены точно так же как с флешки или дискеты. Ну может чуточку сложнее. А вот решение на основе SecrecyKeeper мне понравилось (спасибо коллеге за наводку), плюс с его помощью можно решать еще целый спектр задач на основе установки грифов для информации и уровней допуска сотрудникам. Видимо будем внедрять WebSense в качестве монитора передаваемой в сеть информации и SecrecyKeeper как средство защиты от утечек. Если бюджет не зарежут :)
Для публикации сообщений создайте учётную запись или авторизуйтесь