| 4.1.4. Развертывание системы согласно требованиям безопасности (GroupIB и ОУД4) | ||
|---|---|---|
 |
4.1. Инструкции по развертыванию системы | 
|
| 4.1.4. Развертывание системы согласно требованиям безопасности (GroupIB и ОУД4) | ||
|---|---|---|
|
|
4.1. Инструкции по развертыванию системы |
|
Для развертывания системы "Corporate" согласно требованиям безопасности GroupIB и ОУД4 выполните действия, представленные ниже.
Для развертывания необходимо, чтобы:
На "стенде" был настроен HTTPS.
На балансировщике/прокси сервере банка была установлена возможность загружать файлы размером 32 мегабайта для возможности загрузки криптоплагина.
В настройках балансировщика/прокси сервера банка был отключен заголовок Server.
На веб-сервере необходимо установить параметры -DenableHSTSHeader="true" и
-DsecureCookies="true".
На веб-сервере в server.xml томката в раздел "Host" необходимо добавить:
<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="fal>
На веб сервере в conf/web.xml прописать в секции "session-config":
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
Необходимо включить конфигурацию Конфигурация сервера. Обновление идентификатора сессии после установления сессии для смены
JSESSIONID после успешного входа в интерфейс "Corporate".
Необходимо включить конфигурацию Конфигурация сервера. Необходимость проверки смены IP в рамках сессии.
Необходимо включить конфигурацию Конфигурация сервера. API необходимость проверки смены IP в рамках сессии для используемого клиентом
устройства.
В конфигурации Конфигурация сервера. Допустимые расширения прикрепляемых файлов указать минимальный набор расширений, таких как
"txt", "pdf".
В настройках контролей писем в банк в допустимых расширениях указать только "txt" и "pdf".
Необходимо включить конфигурацию Конфигурация сервера. Использовать определение типа файла по его содержимому.
В конфигурации Конфигурация ДБО. CAPTCHA. Настройка видимости установить значения:
ShowCAPTCHA="true".
CountErrorLoginForShowCAPTCHA="1".
ShowCaptchaForAll="true".
Настроить на стенде Google ReCaptcha, указать соответствующие параметры в конфигурации Конфигурация ДБО. CAPTCHA. Использование Google
ReCaptcha.
Включить конфигурацию Конфигурация сервера. Проверка новых паролей по справочнику простых паролей.
Загрузить справочники паролей на стороне банка. Для этого перейти в пункт Администрирование → Настройка безопасности → Справочник простых паролей главного меню. Cправочник простых паролей возможно загрузить, например, с GitHub.
В справочник простых паролей обязательно добавить пароли вида "1qaz", "1qaz2wsx", "1qaz2wsx3edc",
"1qaz2wsx#edc", "!qaz2wsx3edc", "1qaz@wsx3edc".
Включить конфигурацию Конфигурация Регистратора. Восстановление пароля. Повышенная безопасность.
Включить самый сильный профиль безопасности для парольной политики, настроить длину пароля 12 символов самого разнообразного алфавита (строчные и заглавные буквы, цифры и спецсимволы) и выставить для пользователя новый пароль по этому профилю. Пользователь не должен иметь возможность сменить пароль на менее сложный.
Отключить клиенту услугу смены логина.
Настроить точки доступа, чтобы нельзя было зайти в систему снаружи под учетными записями банковских пользователей.
На веб-сервере необходимо установить параметр -DenableCSPHeader="true".
На веб-сервере необходимо в файле context.xml в тег <Context> добавить "<CookieProcessor
sameSiteCookies="strict"/>".
|
|
 |
|
| Настройка работы криптоапплетов с другого сервера |  |
4.2. Инструкции по обновлению системы |