Перейти к содержанию

защита ключей системы банк-клиент от кражи


Рекомендуемые сообщения

Да здесь уже все изобретено - и НПА и все другое. Посмотрите хотябы требования Центробанка при использовании БЭСП (АРМ КБР и т.д.) - там требования весьма жесткие и кабинет аттестуют представители банка. НУ, конечно, соблюдение этих требований на совести клиентв - но деньги то его)))

Ключи хранятся у удного, выдаются другим. Админ отдельный. Ну и уж сидеть в Инете с этого компа никак нельзя.

 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 13
  • Создана
  • Последний ответ

Если хотите решать эту задачу техническим (программным) способом, посмотрите на SecrecyKeeper (www.secrecykeeper.com). Дополнительную информацию по продукту можно поискать на этом сайте, обсуждался достаточно подробно.

SecrecyKeeper позволяет ставить на информацию грифы - общедоступно, конфиденциально, секретно. Пользователям присваиваются уровни допуска к сети и съемным носителям, которые определяют максимальный гриф информации, который ползователь имеет право скопировать на съемный диск или передать в сеть. Для сервера можно задать уровень безопасности. В последней версии гриф можно ставить и на носители.

Настройки будут такие:

Для бухгалтера

уровень допуска = секретно

уровень допуска к сети = общедоступно

уровень допуска к съемным носителям = общедоступно

На ключевой носитель ставим гриф = секретно. Для банковского сервера к которому подключается клиент-банк, уровень безопасности = секретно.

Как работает.

Пока бух не работает с ключевой дискетой (или флешкой) - все как обычно.

Вставил дискету и обратился к ней. Система обнаружила обращение к носителю с грифом "секретно". После этого блокируется доступ на запись к съемным носителям (см уровни допуска для бухгалтера), доступ на чтение разрешен и блокируется доступ ко всем компам по сети (см уровни допуска для бухгалтера) кроме банковского сервера, т.к. уровень безопасности банковского сервера - секретно. Если бухгалтер сделает копию ключевого носителя на ПК, то скопированные файлы получат гриф "секретно" и при следующем доступе к ним все блокировки доступа опять станут активными.

Т.е. бухгалтер сможет работать с ключевым носителем, но не сможет его несанкционированно скопировать или реоедать в сеть.

Кстати отключить этот ПК от интернета нельзя, т.к. клиент банк работает через интернет, хотя можно разрешить ходить только на сервер клиент-банка.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...
Здравствуйте,

Может быть кто-нибудь сталкивался с системами, которые позволяют защитить ключи банк-клиента от кражи как бухгалтером так и вредоносными программами. Буду благодарен за консультацию.

Добрый день!

Хранить Электронно Цифровые Подписи (ЭЦП) необходимо на носителях, отвечающим определенным требованиям(ГОСТ, сертификации ФСТЭК)... "Ключи" от клиент-банка на дискетах или флеш-картах - это устаревшая система безопасности, используемая в банках, которые не хотят тратиться на современную систему криптостойкости. Последние достижения в этой области: ключи е-Токен (e-Token PRO). Использование данного устройства исключает возможность аутентификации посторонними сотрудниками, т.к. знание ПИН-кода ограничивается должностными обязанностями. Как правило это уже регулируется внутренними документами в организации. Шпионское ПО не имеет возможности прочитать цифровой сертификат , хранящийся в еТокене, т.к. это не просто хранилище, а защищенное средство.Подробнее о ключах можно узнать на www.aladdin.ru.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день!

Хранить Электронно Цифровые Подписи (ЭЦП) необходимо на носителях, отвечающим определенным требованиям(ГОСТ, сертификации ФСТЭК)... "Ключи" от клиент-банка на дискетах или флеш-картах - это устаревшая система безопасности, используемая в банках, которые не хотят тратиться на современную систему криптостойкости. Последние достижения в этой области: ключи е-Токен (e-Token PRO). Использование данного устройства исключает возможность аутентификации посторонними сотрудниками, т.к. знание ПИН-кода ограничивается должностными обязанностями. Как правило это уже регулируется внутренними документами в организации. Шпионское ПО не имеет возможности прочитать цифровой сертификат , хранящийся в еТокене, т.к. это не просто хранилище, а защищенное средство.Подробнее о ключах можно узнать на www.aladdin.ru.

 

Про e-token я знаю, но есть два "но":

1. ПО банка с которым мы работаем их не поддерживает, и не собирается. А мое руководство не будет менять банк. Думаю эта ситуация комментариев не требует, это вроде природных катаклизмов - предотвращению не подлежат.

2. Даже те банки которые используют e-token ключи генерируют не токеном (т.к. криптографические алгоритмы e-token'а не сертифицированы ФСБ), а используют его только как хранилище. Т.е. криптографические операции выполняются компьютером, следовательно ключи могут быть украдены точно так же как с флешки или дискеты. Ну может чуточку сложнее.

 

А вот решение на основе SecrecyKeeper мне понравилось (спасибо коллеге за наводку), плюс с его помощью можно решать еще целый спектр задач на основе установки грифов для информации и уровней допуска сотрудникам.

Видимо будем внедрять WebSense в качестве монитора передаваемой в сеть информации и SecrecyKeeper как средство защиты от утечек. Если бюджет не зарежут :)

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...