Кібербезпека

Питання кібербезпеки команда Департаменту системних технологій забезпечує наступними базовими рішеннями:

1. АРХІТЕРТУРНО використання web-клієнта.

IT-інфраструктура виведена в серверне кільце, яке представляє собою демілітаризовану зону, взаємодіє з клієнтом тільки по https, без ризику компрометації клієнтів.

Робота можлива на будь-яких операційних системах (ОС) і пристроях.

2. ІНФРАСТРУКТУРНО використання дата-центрів. 

Розміщення IT-інфраструктури в дата-центрах дозволяє скоротити сукупну вартість володіння IT-інфраструктурою за рахунок ефективного використання технічних засобів, таких як перерозподіл навантажень, а також за рахунок скорочення витрат на адміністрування. У свою чергу комплекс послуг з проектування, розгортання та підтримки IT-інфраструктури надає команда MASTER.

3. ПРОГРАМНО  постійним аналізом ризиків і розробкою методології їх запобігання.

3.1. ПРОЦЕС РОЗРОБКИ І ПОСТАЧАННЯ ОНОВЛЕНЬ

3.1.1. Ризик несанкціонованого втручання в код.

Введені правила колективної роботи над створенням коду з використанням Team Foundation Server (TFS).

Доступ до TFS строго санкціонований надати матеріали для читання і запису дозволений виключно за письмовою заявкою.

Зміни підписуються електронним цифровим підписом, ведеться повний аудит роботи над кодом від видачі завдання на зміни до затвердження включення патча в пакет оновлень.

3.1.2. Ризик підміни оновлень вирішується за допомогою автоматичної перевірки хешу в режимі online і offline, підписи оновлень ЕЦП розробника ключами, виданими АЦСК України, перевірки ЕЦП перед встановленням оновлення.

3.1.3. Ризик зараження файлів оновлення усувається шляхом перевірки .dll / .exe при установці оновлень (перевірка електронного цифрового підпису та хеш).

Додатково контролюється цілісність клієнтського ПЗ через зіставлення хеш-сум.

Користувач позбавлений доступів до серверного коду додатків, бази даних і web-клієнта.

3.2.  НЕСАНКЦІОНОВАНИЙ ДОСТУП

3.2.1. Ризик «простий пароль». 

Реалізована політика складних паролів.

Доступні різні варіанти аутентифікації — як-то по зв'язці логін + пароль, так і з електронного цифрового підпису, через одноразовий пароль, через обліковий запис в Google або Facebook.

3.2.2. Ризик «вкрали пароль» вирішується за допомогою двофакторної аутентифікації, обмеження дозволених IP-адрес для входу, обмеження кількості сесій з заданим логіном, повідомлень про спробу використання логіна користувача.

3.2.3. Ризик «прямого втручання в дані» обмежений відсутністю паролів і фізичного доступу до бази даних у користувача.

3.2.4. Ризик втрата пароля вирішується інтеграцією з Active Directory або іншим LDAP-каталогом (вхід в систему і видача прав по облікового запису, зіставленої з обліковим записом каталогу, синхронізація списку користувачів, підтримка для всіх клієнтів і мобільних додатків ).

3.3. НЕСАНКЦІОНОВАНА ЗМІНА КОНФІГУРАЦІЇ

3.3.1.Використання рольового доступу.

Внесення зміни параметрів дозволено тільки групі адміністраторів, які мають доступ до функцій.

Процеси зміни конфігурації детально журналіруются, так само як і процеси очищення журналів.

3.3.2. Відсутності фізичного доступу до налаштувань у звичайних користувачів. Повністю обмежена можливість навіть перегляду налаштованої на сервері конфігурації.

3.4. БЕЗПЕКА І ДОСТУПНІСТЬ

3.4.1.  Ризик використання платформи для поширення шкідливих програм вирішується антивірусної IT-інфраструктурою на серверах і робочих станціях і явним контролем завантажуються в систему файлів антивірусом серверів додатків. Виключається запуск на клієнті макросів офісних продуктів — для перегляду документів продукти з комп'ютера клієнта не використовуються.

3.4.2.  Ризик збою від DDoS-атак закривається використанням штатних засобів дата-центрів по виявленню і захисту вторгнень.

3.4.3.  Ризик простих DDoS-атак вирішено власним захистом в web-розрахунках для систем масового обслуговування (сайтів і web-майданчиків). Підозріла надмірна активність одного користувача відразу стане відома адміністратора і допоможе нейтралізувати атаку.

3.5. ДОСТОВІРНІСТЬ ДОКУМЕНТІВ

3.5.1. Ризик підміни документів закривається використанням електронного цифрового друку за стандартами ДСТУ або RSA.

3.5.2. Ризик крадіжки документі/перехоплення вирішується використанням асиметричного шифрування документів за стандартом ДСТУ або RSA.

3.5.3. Ризик компрометації секретного ключа вирішується використанням апаратних ключів і використанням агента підпису в web-клієнта на різних ОС.

3.5.4. Витрати на отримання ключів в АЦСК. Доступні варіанти використання власних сумісних ЦСК, додавання в список доступних додаткових ЦСК і підтримку ключів ДСТУ або RSA.

3.5.5. Витрати на установку на кожному робочому місці комплексу програм для електронного цифрового друку, його поновлення. Вирішується включенням бібліотек роботи з ЕЦП в стандартний код клієнта, регулярним оновленням бібліотек у пакетах оновлень.

MASTER:Updater на 12 мiсяців

Програмне рішення для автоматичної інсталяції оновлень.

999 грн звільнено від ПДВ

Коннектор із Fidelio

Додаток-коннектор містить спеціалізований функціонал для інтеграції даних із програмним продуктом Fidelio.

1399 грн звільнено від ПДВ

Коннектор із R-Keeper

Додаток-коннектор містить спеціалізований функціонал для інтеграції даних із програмного продукту R-Keeper.

1399 грн звільнено від ПДВ

MASTER:Користувацький доступ

Розширення програмних продуктів MASTER на 1 користувача

1999 грн звільнено від ПДВ

Коннектор із ПРОМІНВЕСТБАНК

Додаток-коннектор до системи "Клієнт-Банк" ПАТ "ПРОМІНВЕСТБАНК".

799 грн звільнено від ПДВ

Коннектор із СIТIБАНК

Додаток-коннектор до системи "Клієнт-Банк" АТ КБ "СІТІБАНК".

799 грн звільнено від ПДВ

Коннектор із РАЙФФАЙЗЕН БАНК АВАЛЬ

Додаток-коннектор до системи "Клієнт-Банк" АТ "РАЙФФАЙЗЕН БАНК АВАЛЬ".

799 грн звільнено від ПДВ

Коннектор із УКРГАЗБАНК

Додаток-коннектор до системи "Клієнт-Банк" ПАТ АБ "УКРГАЗБАНК".

799 грн звільнено від ПДВ

Коннектор із МЕГАБАНК

Додаток-коннектор до системи "Клієнт-Банк" ПАТ "МЕГАБАНК"

799 грн звільнено від ПДВ

Коннектор із ОЩАДБАНК

Додаток-коннектор до системи "Клієнт-Банк" АТ "ОЩАДБАНК".

799 грн звільнено від ПДВ

Коннектор із ПРИВАТБАНК

Додаток-коннектор до системи "Клієнт-Банк" ХАРКІВСЬКЕ ГРУ ПАТ КБ "ПРИВАТБАНК".

799 грн звільнено від ПДВ

Коннектор із МIБ

Додаток-коннектор до системи "Клієнт-Банк" АТ "МІЖНАРОДНИЙ ІНВЕСТИЦІЙНИЙ БАНК".

799 грн звільнено від ПДВ

Коннектор із УКРСОЦБАНК

Додаток-коннектор до системи "Клієнт-Банк" ПАТ "УКРСОЦБАНК".

799 грн звільнено від ПДВ

Коннектор із УКРЕКСІМБАНК

Додаток-коннектор до системи "Клієнт-Банк" АТ "УКРЕКСІМБАНК".

799 грн звільнено від ПДВ