4 июня, четверг 13:05
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Организация дистанционной (удаленной) работы

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Организация дистанционной (удаленной) работы

    Коллеги, бизнес ставит задачу, перевести не операционный персонал на работу из дома.
    Процесс 8 из ГОСТ 57580 про мобильные (переносные) устройства затрагивает этот процесс? или это только для планшетов и смартфонов?

    Вижу примерно так:
    Сотрудник с отдельным опечатанным компом дома ( Фиксированный IP, МДЗ - Соболь , СЗИ - секретнет, двухфакторка, антвиир, доступ в интернет закрыт, CISCO VPN Client, токен)
    В Банке терминальный сервер в DMZ. На нем все, что необходимо для работы. (почта, консультант, сетевая папка, сбис, доступы во всякие БКИ, ЛК, возможно АБС)
    Двухфакторная аутентификация сотрудника в терминальной сессии.





  • #2
    Да.... еще аттестовать не забудьте - шутка))
    Зачем афишировать данный вопрос?
    Все перечисленное стоит в офисе или вы закупать под задачу это планируете? там под 45тр встанет ИБ на 1 АРМ.

    Комментарий


    • #3
      Сообщение от Cpx Посмотреть сообщение
      Все перечисленное стоит в офисе или вы закупать под задачу это планируете?
      Компы есть, СЗИ закупать.
      У меня вопрос по ГОСТ. Какой процесс это регулирует? 8 вроде как для мобильный устройств или все таки и удаленные компы затрагивает?

      Сообщение от Cpx Посмотреть сообщение
      Зачем афишировать данный вопрос?
      Хотим сделать официально, с подписание бумаг и контрактов.
      Чтобы еще и при аудите вопросов небыло.

      Комментарий


      • #4
        Сообщение от dnebyshe Посмотреть сообщение
        Коллеги, бизнес ставит задачу, перевести не операционный персонал на работу из дома.....
        Если, всё, что нужно сотруднику, будет находиться в офисе, то, наверное, ему будет достаточно тонкого клиента, например, на линуксе, и без всяких АМДЗ и SNS. Или планируется, что они биометрию у себя на дому будут собирать?

        Отдельного раздела в ГОСТе нет, надо будет выбирать отдельные требования из разных разделов. например, ВСА.5.
        Хотя, ЗВС подходит полностью.

        Комментарий


        • #5
          Сообщение от saches Посмотреть сообщение
          Или планируется, что они биометрию у себя на дому будут собирать?


          Сотрудник будет иметь доступ к банковским системам с компьютера дома, который мы бы хотели тоже контролировать. (использование его по назначению).
          Чтобы дети дома не поигрались с ним.
          Чтобы журнал фиксировал его логи входа/выхода.
          Чтобы контролировать USB интерфейсы.
          Чтобы контролировать наличие и обновление СЗВК.

          Вряд ли тут без АМДЗ и SNS обойтись.

          Комментарий


          • #6
            Сообщение от dnebyshe Посмотреть сообщение
            Чтобы дети дома не поигрались с ним.
            А это вы как планируете проконтролировать без системы видеонаблюдения у сотрудника дома?

            Сообщение от dnebyshe Посмотреть сообщение
            Чтобы журнал фиксировал его логи входа/выхода.
            Конкретизируйте, чем вас не устраивает протоколирования login/logoff на ПК?

            Сообщение от dnebyshe Посмотреть сообщение
            Чтобы контролировать USB интерфейсы. Чтобы контролировать наличие и обновление СЗВК.
            Например, штатный Касперский это делает на раз. Как вариант, можно обойтись штатными средствами Windows.

            Сообщение от dnebyshe Посмотреть сообщение
            Вряд ли тут без АМДЗ и SNS обойтись.
            Ну, если денег не жалко...

            На самом дел, насколько я понимаю, исходя из ваших требований, правильно настроенный и пропатченный RDP сервер + 2FA решает все ваши проблемы на 99%. Всё остальное, выброшенные деньги...можно конечно добавить статический IP + еще что-то, если вы не полностью озвучили требования, например, не хотите, чтоб вас зедедосили... и т.п..
            Никогда не думали, почему нигде кроме РФ АМДЗ больше не производят? И как же там люди без АМДЗ живут???...

            Комментарий


            • #7
              Сообщение от dnebyshe Посмотреть сообщение
              Коллеги, бизнес ставит задачу, перевести не операционный персонал на работу из дома.
              Процесс 8 из ГОСТ 57580 про мобильные (переносные) устройства затрагивает этот процесс? или это только для планшетов и смартфонов?

              Вижу примерно так:
              Сотрудник с отдельным опечатанным компом дома ( Фиксированный IP, МДЗ - Соболь , СЗИ - секретнет, двухфакторка, антвиир, доступ в интернет закрыт, CISCO VPN Client, токен)
              В Банке терминальный сервер в DMZ. На нем все, что необходимо для работы. (почта, консультант, сетевая папка, сбис, доступы во всякие БКИ, ЛК, возможно АБС)
              Двухфакторная аутентификация сотрудника в терминальной сессии.
              Задачу ещё не поставили, скорее сам требую от руководства проработать этот вопрос, чтобы потом не делать в авральном режиме. К тому же, если сотрудник уже заболел, то ехать к нему настраивать удалённый доступ уже не вариант, а значит мы его потеряли. Так что тоже начал задумываться над реализацией.
              Основная проблема, мы не можем контролировать домашний комп сотрудника и есть риск, что подключившись в сеть банка, он эту же самую сеть и заразит. Пока склоняюсь к двум идеям:
              1. Подготовленный livecd. В каком-то смысле условно доверенная среда. Но пока нет под рукой людей с достаточной квалификацией, чтобы это реализовать и конечно нет времени, чтобы эту квалификацию получить.
              2. Создать промежуточный "шлюз", через который будут производиться подключения. Сначала идёт подключение по VPN, но не в сеть банка, а в изолированный участок состоящий из одного компа. Там располагается терминальный сервер, на котором всё максимально зарезано, начиная от типа учётной записи пользователя и заканчивая белым списком разрешённого к запуску ПО. Сотрудник, сначала подключившись по VPN, запускает RDP-клиент и заходит на этот терминальный шлюз. Затем на шлюзе он может запустить RDP-клиент и уже подключитсья к своему компу в сети банка. Да, заморочено, но в условиях отсутствия бюджета больше нечего в логолу не приходит.

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                если сотрудник уже заболел, то ехать к нему настраивать удалённый доступ уже не вариант, а значит мы его потеряли.
                почему? Привезти к нему настроенный комп и подключиться к его вайфаю из общего коридора и оставить комп под дверью.
                Сообщение от saches Посмотреть сообщение
                Ну, если денег не жалко...
                тоже не понимаю, если в банке вы их не используете то домой городить огород зачем? Что изменится - дети хакеры у Ваших работников? Вопрос доступа детей должны решать родители орг мерами и логином/паролем.

                Комментарий


                • #9
                  Сообщение от Berckut Посмотреть сообщение
                  Затем на шлюзе он может запустить RDP-клиент и уже подключитсья к своему компу в сети банка
                  А зачем комп свой-то? Его же придется держать включенным постоянно.
                  Я хочу под это дело терминальный сервер приобрести и всех туда (на ферму).
                  И админам проще, и компы не надо включенными держать.

                  Комментарий


                  • #10
                    Сообщение от Cpx Посмотреть сообщение
                    Вопрос доступа детей должны решать родители орг мерами и логином/паролем.
                    Мы браслетом (как при домашнем аресте) пристегнем к сотруднику токен, и только когда он рядом с компом он сможет работать.
                    Вытащил токен - сеанс отвалился. (SecreNet)
                    Нет токена - комп не включить. (соболь)
                    Опечатаем системник, и по утрам офицер безопасности будет объезжать сотрудников - проверять пломбы.
                    И под это дело выбъем бюджета лямов на 10.
                    Еще есть вопросы?

                    Комментарий


                    • #11
                      Сообщение от Cpx Посмотреть сообщение
                      тоже не понимаю, если в банке вы их не используете то домой городить огород зачем
                      Не используем пока.
                      Но к 21 году для сегментов 683-П все равно придется их приобретать.
                      А так как, выделить сегмент в чистом виде у нас не представляется возможным - то он покроет 90% банковской инфраструктуры. Все равно приобретать.

                      Комментарий


                      • #12
                        Сообщение от saches Посмотреть сообщение
                        Конкретизируйте, чем вас не устраивает протоколирования login/logoff на ПК?
                        Централизованным сбором логов.

                        Комментарий


                        • #13
                          Сообщение от dnebyshe Посмотреть сообщение
                          ... хочу под это дело терминальный сервер приобрести и всех туда (на ферму). И админам проще, и компы не надо включенными держать.
                          Т.е. одним сервером вы не обойдетесь, надо бы от 2 -ух. А всех сотрудников на тонкие клиенты пересадить, еще круче будет...

                          Сообщение от dnebyshe Посмотреть сообщение
                          Вытащил токен - сеанс отвалился. (SecreNet). Нет токена - комп не включить. (соболь)
                          "Вытащил токен, сеанс отвалился" - это и в простой винде есть, без всякого SNS. Я вот щас в свой ПК логинюсь - вставляю токен + пин-код набираю. Если токен выдернуть, сеанс работы завершается. Решается внутренним CA в домене + токены, + политики в АД.
                          Но, безусловно, дело вкуса...
                          Пароль на БИОС по уровню защиты, примерно аналогичен АМДЗ, т.е. зачем он, не очень понятно....

                          Сообщение от dnebyshe Посмотреть сообщение
                          И под это дело выбъем бюджета лямов на 10.Еще есть вопросы?
                          А вы чего же, передаваемые через и-нет ПДн не будете защищать? Чтоб всё было по фэншую, надо бы еще VPN по ГОСТу реализовать.
                          Т.е. сделаете всем КC3, и сразу и АМДЗ и SNS в общую канву впишутся, ну и общую маржинальность проекта поднимете...

                          Сообщение от dnebyshe Посмотреть сообщение
                          Централизованным сбором логов.
                          Ну если пользаки будут логинится в домен, то все эти логи у вас и так будут на DC доступны. Чего их еще раз собирать?
                          Да и SNS, вроде, для централизованной работы АД требует.

                          Сообщение от dnebyshe Посмотреть сообщение
                          Не используем пока. Но к 21 году для сегментов 683-П все равно придется их приобретать. А так как, выделить сегмент в чистом виде у нас не представляется возможным - то он покроет 90% банковской инфраструктуры. Все равно приобретать.
                          А можете уточнить? Это в связи с каким именно требованием 683-П необходимо будет ставить АМДЗ в ПК? Или у вас усиленный УЗ?
                          Последний раз редактировалось saches; 11.03.2020, 18:39.

                          Комментарий


                          • #14
                            Сообщение от saches Посмотреть сообщение
                            А можете уточнить? Это в связи с каким именно требованием 683-П необходимо будет ставить АМДЗ в ПК? Или у вас усиленный УЗ?
                            Возможно и не придется, но у меня почти на всех компах СКЗИ (крипто-про, крипто-арм. и т.д.) разные, возможно в формулярах есть требования на АМДЗ.

                            Сообщение от saches Посмотреть сообщение
                            А вы чего же, передаваемые через и-нет ПДн не будете защищать? Чтоб всё было по фэншую, надо бы еще VPN по ГОСТу реализовать.
                            Это VIPNet как раз будет делать.

                            Комментарий


                            • #15
                              Сообщение от saches Посмотреть сообщение
                              А можете уточнить? Это в связи с каким именно требованием 683-П необходимо будет ставить АМДЗ в ПК? Или у вас усиленный УЗ?
                              Возможно и не придется, но у меня почти на всех компах СКЗИ (крипто-про, крипто-арм. и т.д.) разные, возможно в формулярах есть требования на АМДЗ.

                              Сообщение от saches Посмотреть сообщение
                              А вы чего же, передаваемые через и-нет ПДн не будете защищать? Чтоб всё было по фэншую, надо бы еще VPN по ГОСТу реализовать.
                              Это VIPNet как раз будет делать.

                              Комментарий


                              • #16
                                Сообщение от dnebyshe Посмотреть сообщение
                                Коллеги, бизнес ставит задачу, перевести не операционный персонал на работу из дома.
                                Дальновидный и мудрый бизнес !
                                Тоже надо бы, но с ресурсами хреново...

                                Комментарий


                                • #17
                                  Сообщение от dnebyshe Посмотреть сообщение
                                  Коллеги, бизнес ставит задачу, перевести не операционный персонал на работу из дома

                                  Сотрудник будет иметь доступ к банковским системам с компьютера дома, который мы бы хотели тоже контролировать. (использование его по назначению).
                                  Чтобы дети дома не поигрались с ним.
                                  Чтобы журнал фиксировал его логи входа/выхода.
                                  Чтобы контролировать USB интерфейсы.
                                  Чтобы контролировать наличие и обновление СЗВК.
                                  Вряд ли тут без АМДЗ и SNS обойтись
                                  Похоже, работодателю и штаты увеличить придётся - должен же кто-то всех удалённых отслеживать, днём и ночью

                                  Комментарий


                                  • #18
                                    Сообщение от Степанов В.В. Посмотреть сообщение
                                    Похоже, работодателю и штаты увеличить придётся - должен же кто-то всех удалённых отслеживать, днём и ночью
                                    "Днём и ночью" то зачем? Удаленная работа вполне возможна и в режиме 8x5 ...

                                    Комментарий


                                    • #19
                                      Сообщение от UserNick Посмотреть сообщение
                                      "Днём и ночью" то зачем? Удаленная работа вполне возможна и в режиме 8x5 ...
                                      Учитывая, что Сотрудник будет иметь доступ к банковским системам с компьютера дома, который мы бы хотели тоже контролировать, т.е 24х7, то и контролировать придётся круглосуточно

                                      Комментарий


                                      • #20
                                        Сообщение от Степанов В.В. Посмотреть сообщение
                                        Учитывая, что Сотрудник будет иметь доступ к банковским системам с компьютера дома, который мы бы хотели тоже контролировать, т.е 24х7, то и контролировать придётся круглосуточно
                                        Не преувеличивайте. При правильной настройке удалёнки, у пользователя будет единственная возможность слить данные, это сфоткать экран, что принципиально не отличается от работы в офисе. Что касается работы 24х7, что мешает, ограничить доступ по времени?

                                        Комментарий


                                        • #21
                                          Сообщение от idelta Посмотреть сообщение
                                          Дальновидный и мудрый бизнес !...Тоже надо бы, но с ресурсами хреново...
                                          А с чем именно проблема?

                                          Комментарий


                                          • #22
                                            Небольшой перечень предложения от вендоров в т.ч. для удаленки - https://www.bleepingcomputer.com/new...irus-outbreak/
                                            От Palo-Alto - https://blog.paloaltonetworks.com/20...te-workforces/
                                            Еще отдельно от Cisco - https://www.cisco.com/c/m/en_us/covid19.html

                                            Комментарий


                                            • #23
                                              Сообщение от saches Посмотреть сообщение
                                              Не преувеличивайте. При правильной настройке удалёнки, у пользователя будет единственная возможность слить данные, это сфоткать экран, что принципиально не отличается от работы в офисе
                                              Может быть это и мелочь, не достойная внимания, но любая утечка информации не есть карашо

                                              При работе в офисе нехороших мыслей может, вообще не быть, ибо там много любопытных глаз

                                              Комментарий


                                              • #24
                                                Сообщение от saches Посмотреть сообщение
                                                А с чем именно проблема?
                                                Единично (отпуск, больничный...) такое было, то есть как-бы "обкатано".
                                                Но вряд ли этот же подход годится в случае "массовости"...
                                                Проблема во всем : всё придется делать на ходу... !

                                                Комментарий


                                                • #25
                                                  Сообщение от Степанов В.В. Посмотреть сообщение
                                                  Может быть это и мелочь, не достойная внимания, но любая утечка информации не есть карашо

                                                  При работе в офисе нехороших мыслей может, вообще не быть, ибо там много любопытных глаз
                                                  "В военное время значение синуса может достигать 3")
                                                  Когда речь идет о спасении бизнеса, одна другая микроутечка ИМХО это фигня.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от UserNick Посмотреть сообщение
                                                    Когда речь идет о спасении бизнеса, одна другая микроутечка ИМХО это фигня.
                                                    Попробуйте рассказать об этом своему работодателю

                                                    Любой вождь знает, за безнаказанной микроутечкой последует слив гораздо больших объёмов, поэтому он будет жёстко/жестоко пресекать даже мысли об этом

                                                    Комментарий


                                                    • #27
                                                      Степанов В.В.
                                                      Вы даже не представляете, какие бывают работодатели среди лицензиатов ЦБ!)))

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Степанов В.В. Посмотреть сообщение
                                                        Попробуйте рассказать об этом своему работодателю

                                                        Любой вождь знает, за безнаказанной микроутечкой последует слив гораздо больших объёмов, поэтому он будет жёстко/жестоко пресекать даже мысли об этом
                                                        Похоже Вы, возможно что и безнадежно, отстали от жизни)
                                                        На дворе риск-ориентированный подход. Это нам сейчас уже даже ЦБ внушает с магнитогорской трибуны.)
                                                        Последний раз редактировалось UserNick; 17.03.2020, 22:15.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от UserNick Посмотреть сообщение
                                                          На дворе риск-ориентированный подход. Это нам сейчас уже даже ЦБ внушает с магнитогорской трибуны
                                                          Наличие/использование риск-ориентированного подхода напрочь исключает утечку информации ???
                                                          Что ж, может быть и так, раз уж ЦБ взгромоздился, как на ель, на крутую магнитогорскую трибуну

                                                          Комментарий


                                                          • #30
                                                            Степанов В.В.

                                                            ну какая утечка, эк. смысел операции?



                                                            Комментарий

                                                            Обработка...
                                                            X