18 октября, четверг 09:06
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Удаленные точки продаж

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Удаленные точки продаж

    Всем добрый день.
    Возник какие меры будут достаточны по обеспечению ИБ на удаленных точках продаж?
    Вводные данные:
    1. имеется ноутбук
    2. имеется интернет
    3. имеются сотрудники точек продаж прыгающие с точки на точку и постоянно увольняющиеся
    4. имеется ИБС в которую на точках продаж загружают данные о клиентах
    5. на ноуте имеется клиент VPN для связи с центральным офисом (т.е. он должен там быть вопрос в том какой)
    6. на ноутах возможно хранение сканированных документов клиентов

  • #2
    1. Права на доступ к критичным данным и ресурсам данному типу сотрудников на минимум.
    2. По возможности ограничить возможность подключения УСБ и всего прочего.
    3. Если на самих ноутах хранится что-то важное - шифрование дисков.

    Комментарий


    • #3
      Сообщение от nremezov Посмотреть сообщение
      1. Права на доступ к критичным данным и ресурсам данному типу сотрудников на минимум.
      2. По возможности ограничить возможность подключения УСБ и всего прочего.
      3. Если на самих ноутах хранится что-то важное - шифрование дисков.
      1. естественно доступ долько к ИБС и все, а уж там и так все урезано
      2. Тоже понятно..хотя им и скачивать то нечего кроме тех данных которые они сами и загружают
      3. ну инфа клиентов на них хранится которые пока и не клиенты...но все равно не хочется услышать что вот де у такого то банка сперли ноут с клиентскими данными..но КАК шифровать не понятно сотрудники за ноутами постоянно разные менять пароли на шифрование не вариант...не исключено что они сами после увольнения решат ноут спереть

      Опять же вопрос, что с VPN делать т.е. если уволился хотяб один чел которые работал с этим клиентом то сертификаты скомпроментированы на всех ноутах за которыми он работал, а их может штук 20 быть..

      Комментарий


      • #4
        Сообщение от Snip Посмотреть сообщение
        3. ну инфа клиентов на них хранится которые пока и не клиенты...но все равно не хочется услышать что вот де у такого то банка сперли ноут с клиентскими данными..но КАК шифровать не понятно сотрудники за ноутами постоянно разные менять пароли на шифрование не вариант...не исключено что они сами после увольнения решат ноут спереть

        Опять же вопрос, что с VPN делать т.е. если уволился хотяб один чел которые работал с этим клиентом то сертификаты скомпроментированы на всех ноутах за которыми он работал, а их может штук 20 быть..
        Закрытые ключи сертификатов хранить на токенах.
        К токену же прикрутить ключи шифрования от шифровалки диска.
        Организационно обязать сотрудников не хранить на ноутах данные, а сразу заливать их в "центр".
        Предупреждать сердитым голосом о режиме коммерческой тайны и всё такое.
        Организационно устраивать перевыпуск сертификатов при каждом увольнении.
        Вообщем, понапридумывать можно много всего.

        Лучше напишите точно какие конкретно угрозы (риски) тревожат Вас (Ваше руководство) в связи со сложившейся ситуацией - может всё всех устраивает.

        Комментарий


        • #5
          Сообщение от nremezov Посмотреть сообщение
          Закрытые ключи сертификатов хранить на токенах.
          К токену же прикрутить ключи шифрования от шифровалки диска.
          Организационно обязать сотрудников не хранить на ноутах данные, а сразу заливать их в "центр".
          Предупреждать сердитым голосом о режиме коммерческой тайны и всё такое.
          Организационно устраивать перевыпуск сертификатов при каждом увольнении.
          Вообщем, понапридумывать можно много всего.

          Лучше напишите точно какие конкретно угрозы (риски) тревожат Вас (Ваше руководство) в связи со сложившейся ситуацией - может всё всех устраивает.

          на самом деле угроза одна - потеря ноута с отсканеными данными клиентов...сертификаты ВПН и правда на етокены кинуть можно. шифрование диска я не представляю, как делать. Как я уже сказал за ноутом постоянно работают разные люди...а говори им не говори что нельзя хранить бесполезно они работают по месяцу по два им пофиг что их уволят
          если ставить пароль на шифрования диска он будет известен многим в том числе и уволенным, вероятность того ноут уведут те кто знает этот пароль я считаю довольно большая...как думаете принять это как неизбежный риск? оставить только ВПН и блокировку портов?

          Комментарий


          • #6
            Обьясните ситуацию бизнесу. Они должны принимать решение - принять риск\снижать его и т.п
            На бытовом уровне - так и так есть такая ситуация - данные клиентов с большой вероятностью могут быть спёрты.

            Шифрование дисков обсуждалось на этом форуме посмотрите. Есть корпоративные решения.
            К сожалению мне сложно рекомендовать что-то не видя реальной ситуации.
            Возможное решение - ограничение прав записи на диск, на всё кроме сетевого диска.
            Также, можно попробовать использовать решения от WebSense - они не позволят скопировать картинки (при условии что их в пейнте не поправят хоть немного )

            Комментарий


            • #7
              хочу напомнуть, что персональные данные по-любому должны шифроваться по 115-фз.

              Комментарий


              • #8
                Сообщение от xell Посмотреть сообщение
                хочу напомнуть, что персональные данные по-любому должны шифроваться по 115-фз.
                ???? при чем тут 115-ФЗ????

                Комментарий


                • #9
                  Сообщение от Snip Посмотреть сообщение
                  Всем добрый день.
                  Возник какие меры будут достаточны по обеспечению ИБ на удаленных точках продаж?
                  Вводные данные:
                  1. имеется ноутбук
                  2. имеется интернет
                  3. имеются сотрудники точек продаж прыгающие с точки на точку и постоянно увольняющиеся
                  4. имеется ИБС в которую на точках продаж загружают данные о клиентах
                  5. на ноуте имеется клиент VPN для связи с центральным офисом (т.е. он должен там быть вопрос в том какой)
                  6. на ноутах возможно хранение сканированных документов клиентов
                  Во-первых, п. 6 исключить: по условиям задачи сканера у сотрудника нет, и причины выкачивать сканы из головного офиса (при наличии системы "know your client") e ytuj nj;t ytn/

                  В любом случае, при наличии более/менее сносного интерннета функции нотбука должны быть сведены к функциям бездискового клиента (RDP к терминальному серверу).

                  У нас нотбуки защищались чекпоинтовским VPN, причем настройки клиента допускали соединение только с VPN-концентратором банка (никакого прямого доступа к интернету). Т.е. вы через туннель попадаете на концентратор, а уже с концентратора - на интернет сайт. Немножко криво, но зато трафик гарантировано проходит все необходимые проверки и фильтрацию. Плюс двухфакторная аутентификпация: сессионный пароль получался конкатенацией секретной части, известной пользователю, и однократного пароля, генерируемого RSA SecureID )все это реализуется тем же чекпоинтом). При утере нотбука (даже при утере нотбука вместе с SecureID, который обычно вешается в качестве брелка на связку ключей) у нарушителя нет возможности приконнектиться в интранет, а на жестком диске нет приватных данных )жостум в ИБС - только через RDP).

                  Удовольствие недешовое, но в даном случае оно того стоит.

                  Комментарий


                  • #10
                    Сообщение от malotavr Посмотреть сообщение
                    Во-первых, п. 6 исключить: по условиям задачи сканера у сотрудника нет, и причины выкачивать сканы из головного офиса (при наличии системы "know your client") e ytuj nj;t ytn/

                    В любом случае, при наличии более/менее сносного интерннета функции нотбука должны быть сведены к функциям бездискового клиента (RDP к терминальному серверу).

                    При утере нотбука (даже при утере нотбука вместе с SecureID, который обычно вешается в качестве брелка на связку ключей) у нарушителя нет возможности приконнектиться в интранет, а на жестком диске нет приватных данных )жостум в ИБС - только через RDP).

                    Удовольствие недешовое, но в даном случае оно того стоит.
                    Есть у них сканер..они точки продаж именно к ним клиенты и приходят соответственно они сканы и делают.
                    Вот, а если имеет место быть не утеря, а кража ноута, причем самими бывшими сотрудниками которые на нем работали?

                    Комментарий


                    • #11
                      Snip, ???? при чем тут 115-ФЗ????
                      ээээ, прошу прощенья, имелось в ввиду 152-й (

                      Комментарий


                      • #12
                        Сообщение от Snip Посмотреть сообщение
                        Есть у них сканер..они точки продаж именно к ним клиенты и приходят соответственно они сканы и делают.
                        Это хуже. Сканы - вообще головная боль. я от своих RMов так и не смог в свое время добиться, на фига им сканы, если они все равно инфу в KYC руками вбивают. Тогда либо только шифрование диска, либо сбрасывание скана только на сетевой диск, который мапится через RDP. Но это в теории.

                        Сообщение от Snip Посмотреть сообщение
                        Вот, а если имеет место быть не утеря, а кража ноута, причем самими бывшими сотрудниками которые на нем работали?
                        Утекает инфа, доступная этому пользователю. Выковырнуть он ее сможет,несмотря на шифрование. Залогиниться в интранет не сможет - отдельно блокируются и учетка, и SecureID.

                        Комментарий

                        Пользователи, просматривающие эту тему

                        Свернуть

                        Присутствует 1. Участников: 0, гостей: 1.

                        Обработка...
                        X