Сертифицирована система управления средствами аутентификации eToken TMS

Сертифицирована система управления средствами аутентификации eToken TMS

Ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений по информационной безопасности компания Aladdin официально объявляет о завершении сертификации уникальной системы управления аппаратными средствами аутентификации пользователей в масштабах предприятия eToken TMS Федеральной службой по техническому и экспертному контролю (ФСТЭК России).


На практике получение сертификата ФСТЭК означает, что комплексная система eToken TMS (Token Management System), предназначенная для внедрения, учета, управления и аудита использования аппаратных средств аутентификации пользователей (USB-ключей и смарт-карт eToken) в масштабах предприятия, может применяться в информационных системах органов государственной власти. Кроме того, решение Aladdin могут использовать предприятия, планирующие внедрение технологий защиты информации на базе инфраструктуры открытых ключей (PKI) с использованием цифровых сертификатов, а также организации, политика информационной безопасности которых требует применения исключительно сертифицированных продуктов и решений.


eToken TMS тесно интегрируется с Microsoft Active Directory – службой каталога, являющейся отраслевым стандартом. После установки системы все операции по управлению жизненным циклом средств персональной аутентификации и хранения ключевой информации осуществляются централизовано. Одновременно eToken TMS автоматизирует большинство типовых операций, связанных с назначением пользователю персонального средства аутентификации. При этом автоматизируются также и те процессы, проведение которых необходимо каждый раз при смене списка приложений безопасности, с которыми работает пользователь, а также прав доступа к ним, например, при переводе сотрудника на другую должность, уходе или возвращении из отпуска.

Полученный сертификат ФСТЭК России №1700 удостоверяет, что программный комплекс eToken TMS для учета, управления и аудита средств аутентификации и хранения ключевой информации может быть использован для создания автоматизированных систем до класса защищенности 1Г включительно в соответствии с требованиями руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992).


Стоит отметить, что преимущества использования eToken TMS уже оценили кредитно-финансовые организации, предприятия топливно-энергетической и транспортной отраслей, а также страховые, торговые компании и операторы мобильной связи. С получением сертификата на eToken TMS у заказчиков Aladdin, в первую очередь из числа госструктур и организаций, оказывающих услуги органам власти, появилась возможность построения защищенной централизованной системы обеспечения безопасного доступа к информационным ресурсам на базе сертифицированных ключей eToken, реализующих строгую аутентификацию и безопасное хранение ключевой информации.

На сегодняшний день компания Aladdin сертифицировала фактически все основные продукты, предназначенные для создания надёжных систем информационной безопасности в компаниях любого масштаба. Так, сертификацию прошли электронные ключи eToken для строгой аутентификации, включая комбинированные устройства eToken NG-OTP и eToken NG-FLASH. Сертифицировано решение eToken Windows Logon для безопасного доступа на рабочую станцию и в сеть под управлением ОС Windows. Сертификат ФСТЭК имеют Secret Disk Server NG 3.2 – серверное решение для защищенного хранения данных, использующее двухфакторную аутентификацию для управления доступом, и персональная редакция Secret Disk NG - «младшая» версия для защиты данных, хранящихся на персональном компьютере. На данный момент близка к завершению сертификация Secret Disk 4 для защиты конфиденциальной информации на рабочей станции.


«На данный момент Aladdin является единственной компанией-поставщиком не только сертифицированных по линии ФСТЭК России средств аутентификации, но и системы управления их жизненным циклом, существенно упрощающей внедрение, администрирование, учет и аудит токенов, независимо от типа самого устройства, - комментирует Антон Крячков, директор по продуктам компании Aladdin, - Это уникальное предложение на российском рынке, позволяющее создать надёжную и прозрачную инфраструктуру управления доступом, полностью соответствующую требованиям регуляторов».

Мошенникам хватает ФИО, даты рождения и телефона, чтобы заблокировать счёт

Для новой неприятной схемы злоумышленникам не нужны вредоносные программы, фишинговые сайты и взлом банковского приложения. Иногда хватает телефона, уверенного голоса и базовых персональных данных, отмечают специалисты.

Как рассказал «Газете.Ru» основатель компании «Интернет-Розыск» Игорь Бедеров, мошенники могут дистанционно заблокировать банковский счет жертвы, если знают ее ФИО, дату рождения и номер телефона, привязанный к счету.

Сценарий в этом случае простой: злоумышленник звонит на горячую линию банка, представляется клиентом и сообщает, что потерял телефон или банковскую карту. Если оператор или автоматизированная система считают названные данные достаточными для идентификации, счет могут оперативно заблокировать.

И вот тут начинается самое неудобное: отменить такую блокировку дистанционно обычно нельзя. Настоящему владельцу счета приходится идти в отделение банка с паспортом и проходить физическую идентификацию. То есть мошенник потратил пару минут, а жертва — время, нервы и доступ к собственным деньгам.

По словам Бедерова, эта схема опасна тем, что использует не техническую уязвимость, а особенности банковских бизнес-процессов. При этом нужные данные часто уже есть в открытом доступе или в утечках. Дата рождения в соцсетях, номер телефона в объявлениях, ФИО в разных сервисах, и вот пазл почти собран.

Эксперт советует завести отдельный номер телефона для банковских сервисов и двухфакторной аутентификации. Такой номер не стоит публиковать в соцсетях, мессенджерах, объявлениях и других открытых источниках.

Также лучше убрать дату рождения из публичных профилей. Это не просто милая информация для поздравлений, а один из параметров, который могут использовать для давления на банк.

Если счет уже заблокировали по чужому звонку, пользователь может обратиться в банк с заявлением, потребовать расследование инцидента, запись разговора и номер телефона, с которого якобы звонил «клиент».

RSS: Новости на портале Anti-Malware.ru