ГрамотаИБ ГрамотаИБ

Безопасное рабочее место для клиент-банка: защита рабочего места бухгалтера и ключей

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Как защитить рабочее место бухгалтера для работы с клиент-банками: характерные угрозы (банковские трояны, кража ключей, подмена платежей), целесообразность выделенного отдельного ноутбука, который включают только на период работы с банками, и требования к хранению и использованию ключей электронной подписи. Организационные и технические меры без больших вложений.

Клиент-банк — прямой путь к деньгам организации, поэтому рабочее место бухгалтера и ключи электронной подписи для банка требуют особой защиты. Разберём характерные угрозы, стоит ли выделять отдельный ноутбук только под банки и как правильно хранить и использовать ключи.

Чем рискует рабочее место бухгалтера

  • Банковские трояны и кейлоггеры. Вредоносное ПО крадёт пароли и способно подменить реквизиты платежа прямо в момент отправки.
  • Кража или копирование ключа ЭПЭлектронная подпись — Информация в электронной форме, присоединённая к документу и подтверждающая подписанта (63-ФЗ).. Если закрытый ключ доступен на диске компьютера, его могут скопировать и подписывать платежи от имени организации.
  • Фишинг. Поддельные письма от банка или ФНС, ссылки на фальшивые страницы входа.
  • Широкая поверхность атаки. Когда на одном компьютере и клиент-банк, и почта, и браузер, и мессенджеры — заражение через любой канал ставит под удар платежи.

Отдельный ноутбук только под банки — целесообразно?

Да, выделенное рабочее место — одна из самых эффективных мер. Идея — изолировать работу с клиент-банком от повседневных задач:

  • Отдельное устройство только для банков. Компьютер (или как минимум отдельная учётная запись либо изолированная виртуальная машина), на котором нет почты, соцсетей и постороннего ПО — только клиент-банк и сайт банка.
  • Включать только на период работы. Держать устройство выключенным вне времени платежей разумно: меньше времени онлайн — меньше окно для заражения и удалённой атаки. Это оправданная практика, особенно при существенных оборотах.
  • Требования к устройству. Минимум установленного ПО, актуальные обновления и антивирус, шифрование диска, блокировка экрана, отдельная сеть или ограничение доступа; не использовать это устройство для веб-сёрфинга и почты.

Отдельный ноутбук стоит недорого и окупается снижением риска хищения средств. Для микробизнеса минимальный вариант — отдельная учётная запись только под банк и строгие правила работы с ключом.

Хранение и использование ключей ЭП для банков

  • Ключ — на защищённом носителе. Храните закрытый ключ на отдельном токене (смарт-карте), который поддерживает хранение ключа без возможности экспорта (неизвлекаемый ключ), а не в виде файла на диске компьютера.
  • Подключать только на время подписания. Не оставляйте токен постоянно в USB-порту: подключайте на время работы и извлекайте сразу после.
  • Конфиденциальность ключа. Закон обязывает обеспечивать конфиденциальность ключа электронной подписи, не допускать его использования без согласия владельца и не использовать ключ при признаках компрометации (статья 10 63-ФЗ): токен и ПИН-код не передают другим лицам, ключ не копируют. Руководителю не следует передавать свою УКЭПУсиленная квалифицированная электронная подпись — Наиболее защищённый вид электронной подписи; равнозначна собственноручной без дополнительных условий. сотрудникам — см. статью «Руководитель не должен передавать свою ЭП».
  • Учёт и хранение. Токены и ключевые носители хранят в запираемом месте (сейфе). Если в организации эксплуатируются СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ., их учёт и хранение ведут по режиму эксплуатации СКЗИ и Инструкции ФАПСИ №152; при этом сам токен в зависимости от модели может быть ключевым носителем или аппаратным средством ЭП, а не обязательно СКЗИ.
  • При компрометации. При утере токена или подозрении на доступ посторонних немедленно прекратите использование ключа, уведомьте удостоверяющий центр, банк и ответственного (по закону — не позднее одного рабочего дня) и подайте в удостоверяющий центр заявление о прекращении действия сертификата (статьи 10 и 14 63-ФЗ).

Дополнительные меры

  • подтверждение платежей вторым фактором (SMS, push, одноразовый код) и лимиты в банке;
  • проверка новых реквизитов и крупных платежей по второму каналу (звонок контрагенту);
  • разграничение ролей: кто готовит платёж и кто его подписывает;
  • защищённый канал связи, если этого требует банк (в отдельных случаях — сертифицированный ГОСТ VPN).

Базовые меры защиты рабочего места — в статье об угрозах для малого бизнеса; почему нельзя полагаться на личный неконтролируемый компьютер — в статье о рисках личного ПК.

Главное

Рабочее место для клиент-банка — критичная точка: его компрометация ведёт к прямому хищению средств. Выделенное устройство только под банки, включаемое на период работы и не используемое для почты и веба, существенно снижает риск и стоит недорого. Ключи электронной подписи хранят на отдельном токене без возможности экспорта ключа, подключают только на время подписания, не передают и не копируют (статья 10 63-ФЗ), хранят в запираемом месте (при эксплуатации СКЗИ — по Инструкции ФАПСИ №152), а при компрометации немедленно прекращают использование и подают в удостоверяющий центр заявление о прекращении действия сертификата (не позднее одного рабочего дня, статьи 10 и 14 63-ФЗ). Дополнительно — подтверждение платежей вторым фактором, проверка реквизитов по второму каналу и разграничение ролей.

Частые вопросы

Стоит ли выделять отдельный компьютер (ноутбук) под клиент-банк?

Да, это одна из самых эффективных мер. Отдельное устройство, на котором нет почты, соцсетей и постороннего ПО (только клиент-банк и сайт банка), резко сокращает поверхность атаки. Включать его разумно только на период работы с банками: меньше времени онлайн — меньше окно для заражения. Стоит недорого и окупается снижением риска хищения средств. Для микробизнеса минимальный вариант — отдельная учётная запись только под банк и строгие правила работы с ключом.

Как хранить и использовать ключ электронной подписи для банка?

Ключ хранят на отдельном защищённом носителе (токене, смарт-карте), поддерживающем хранение ключа без возможности экспорта, а не файлом на диске. Токен подключают только на время подписания и извлекают сразу после, не оставляют постоянно в USB. Токен и ПИН-код не передают другим лицам, ключ не копируют — закон обязывает обеспечивать конфиденциальность ключа (статья 10 63-ФЗ). Носители хранят в запираемом месте; при эксплуатации СКЗИ их учёт и хранение ведут по режиму эксплуатации СКЗИ и Инструкции ФАПСИ №152.

Что делать при утере токена или подозрении на компрометацию ключа?

Немедленно прекратить использование ключа, уведомить удостоверяющий центр, банк и ответственного (по закону — не позднее одного рабочего дня) и подать в удостоверяющий центр заявление о прекращении действия сертификата (статьи 10 и 14 63-ФЗ). Дополнительно стоит проверить последние операции в банке и, при необходимости, заблокировать доступ.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

ГОСТ VPN: когда нужен и как выбрать средство защиты каналов

Что такое ГОСТ VPN и когда он обязателен: защита каналов связи сертифицированным ФСБ России средством криптографической защиты (СКЗИ) с алгоритмами ГОСТ. Разбираем, в каких случаях криптозащита каналов обязательна (передача ПДн вне контролируемой зоны, подключение к ГИС, значимые объекты КИИ), как выбрать класс СКЗИ и на что смотреть при выборе решения.

Зарубежные токены и криптосредства: это СКЗИ? Приказы ФСБ №378 и ФАПСИ №152

Считается ли использование зарубежного токена или криптосредства использованием СКЗИ и попадает ли оно под приказ ФСБ №378 и Инструкцию ФАПСИ №152. Разбираем, почему регуляторный режим (поэкземплярный учёт и меры защиты) построен вокруг сертифицированных ФСБ России СКЗИ, почему несертифицированное зарубежное средство не закрывает требования по защите ПДн и когда оно прямо запрещено (Указ №250).

Является ли сертификат сайта СКЗИ

Нужно ли вести поэкземплярный учёт TLS/SSL-сертификата сайта как средства криптозащиты? Разбираем, чем сертификат отличается от СКЗИ, почему обычный HTTPS-сертификат не требует учёта по Инструкции ФАПСИ №152, когда возникает режим СКЗИ (ГОСТ-криптография) и что именно подлежит учёту — сертификат, закрытый ключ или криптопровайдер.

ПКЗ-2005 (приказ ФСБ России № 66): что это и что требует от оператора СКЗИ

Что такое ПКЗ-2005 — Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утверждённое приказом ФСБ России от 09.02.2005 № 66. Кого оно касается, что требует от организации, которая просто эксплуатирует СКЗИ (электронную подпись, VPN), и как связано с Инструкцией ФАПСИ № 152 и приказом ФСБ № 378.