Кібербезпека

Питання кібербезпеки команда Департаменту системних технологій забезпечує наступними базовими рішеннями:

1. АРХІТЕРТУРНО використання web-клієнта.

IT-інфраструктура виведена в серверне кільце, яке представляє собою демілітаризовану зону, взаємодіє з клієнтом тільки по https, без ризику компрометації клієнтів.

Робота можлива на будь-яких операційних системах (ОС) і пристроях.

2. ІНФРАСТРУКТУРНО використання дата-центрів. 

Розміщення IT-інфраструктури в дата-центрах дозволяє скоротити сукупну вартість володіння IT-інфраструктурою за рахунок ефективного використання технічних засобів, таких як перерозподіл навантажень, а також за рахунок скорочення витрат на адміністрування. У свою чергу комплекс послуг з проектування, розгортання та підтримки IT-інфраструктури надає команда MASTER.

3. ПРОГРАМНО  постійним аналізом ризиків і розробкою методології їх запобігання.

3.1. ПРОЦЕС РОЗРОБКИ І ПОСТАЧАННЯ ОНОВЛЕНЬ

3.1.1. Ризик несанкціонованого втручання в код.

Введені правила колективної роботи над створенням коду з використанням Team Foundation Server (TFS).

Доступ до TFS строго санкціонований надати матеріали для читання і запису дозволений виключно за письмовою заявкою.

Зміни підписуються електронним цифровим підписом, ведеться повний аудит роботи над кодом від видачі завдання на зміни до затвердження включення патча в пакет оновлень.

3.1.2. Ризик підміни оновлень вирішується за допомогою автоматичної перевірки хешу в режимі online і offline, підписи оновлень ЕЦП розробника ключами, виданими АЦСК України, перевірки ЕЦП перед встановленням оновлення.

3.1.3. Ризик зараження файлів оновлення усувається шляхом перевірки .dll / .exe при установці оновлень (перевірка електронного цифрового підпису та хеш).

Додатково контролюється цілісність клієнтського ПЗ через зіставлення хеш-сум.

Користувач позбавлений доступів до серверного коду додатків, бази даних і web-клієнта.

3.2.  НЕСАНКЦІОНОВАНИЙ ДОСТУП

3.2.1. Ризик «простий пароль». 

Реалізована політика складних паролів.

Доступні різні варіанти аутентифікації — як-то по зв'язці логін + пароль, так і з електронного цифрового підпису, через одноразовий пароль, через обліковий запис в Google або Facebook.

3.2.2. Ризик «вкрали пароль» вирішується за допомогою двофакторної аутентифікації, обмеження дозволених IP-адрес для входу, обмеження кількості сесій з заданим логіном, повідомлень про спробу використання логіна користувача.

3.2.3. Ризик «прямого втручання в дані» обмежений відсутністю паролів і фізичного доступу до бази даних у користувача.

3.2.4. Ризик втрата пароля вирішується інтеграцією з Active Directory або іншим LDAP-каталогом (вхід в систему і видача прав по облікового запису, зіставленої з обліковим записом каталогу, синхронізація списку користувачів, підтримка для всіх клієнтів і мобільних додатків ).

3.3. НЕСАНКЦІОНОВАНА ЗМІНА КОНФІГУРАЦІЇ

3.3.1.Використання рольового доступу.

Внесення зміни параметрів дозволено тільки групі адміністраторів, які мають доступ до функцій.

Процеси зміни конфігурації детально журналіруются, так само як і процеси очищення журналів.

3.3.2. Відсутності фізичного доступу до налаштувань у звичайних користувачів. Повністю обмежена можливість навіть перегляду налаштованої на сервері конфігурації.

3.4. БЕЗПЕКА І ДОСТУПНІСТЬ

3.4.1.  Ризик використання платформи для поширення шкідливих програм вирішується антивірусної IT-інфраструктурою на серверах і робочих станціях і явним контролем завантажуються в систему файлів антивірусом серверів додатків. Виключається запуск на клієнті макросів офісних продуктів — для перегляду документів продукти з комп'ютера клієнта не використовуються.

3.4.2.  Ризик збою від DDoS-атак закривається використанням штатних засобів дата-центрів по виявленню і захисту вторгнень.

3.4.3.  Ризик простих DDoS-атак вирішено власним захистом в web-розрахунках для систем масового обслуговування (сайтів і web-майданчиків). Підозріла надмірна активність одного користувача відразу стане відома адміністратора і допоможе нейтралізувати атаку.

3.5. ДОСТОВІРНІСТЬ ДОКУМЕНТІВ

3.5.1. Ризик підміни документів закривається використанням електронного цифрового друку за стандартами ДСТУ або RSA.

3.5.2. Ризик крадіжки документі/перехоплення вирішується використанням асиметричного шифрування документів за стандартом ДСТУ або RSA.

3.5.3. Ризик компрометації секретного ключа вирішується використанням апаратних ключів і використанням агента підпису в web-клієнта на різних ОС.

3.5.4. Витрати на отримання ключів в АЦСК. Доступні варіанти використання власних сумісних ЦСК, додавання в список доступних додаткових ЦСК і підтримку ключів ДСТУ або RSA.

3.5.5. Витрати на установку на кожному робочому місці комплексу програм для електронного цифрового друку, його поновлення. Вирішується включенням бібліотек роботи з ЕЦП в стандартний код клієнта, регулярним оновленням бібліотек у пакетах оновлень.

РІШЕННЯ ДЛЯ БУХГАЛТЕРСЬКОГО ОБЛІКУ

Бухгалтерський та податковий облік, фінансова та податкова звітність.

6999 грн звільнено від ПДВ

РІШЕННЯ ДЛЯ ЕЛЕКТРОННОГО ДОКУМЕНТООБІГУ

Обмін електронними документами та ведення обліку (реєстрація) всіх документів.

8990 грн звільнено від ПДВ

MASTER:Користувацький доступ

Розширення програмних продуктів MASTER на 1 користувача

1999 грн звільнено від ПДВ