РЕКОМЕНДАЦИИ

Клиенту по обеспечению безопасности информации при эксплуатации системы «Клиент-Банк»

1. По организационному обеспечению информационной безопасности и работе со средствами защиты информации (далее - СЗИ):

- определить должностное (-ых) лиц (-иц) , ответственное (-ых) за обеспечение безопасности информации и эксплуатации СЗИ;

- разработать внутренние акты (документы), регламентирующие вопросы безопасности информации и эксплуатации СЗИ;

- допускать к работе с СЗИ должностных лиц Клиента из определенного ограниченного списка, сотрудники должны имеют навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации СЗИ.

2. По размещению СЗИ и режиму охраны:

- помещения, в которых размещаются технические средства клиентского рабочего места со встроенными СЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ;

- размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств;

- размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности;

- входные двери режимных помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время;

- окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией;

НЕ нашли? Не то? Что вы ищете?

- размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна;

- в режимные помещения допускаются руководители организации Клиента, сотрудники подразделения безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальных документов;

- системные блоки компьютеров с СЗИ оборудуются средствами контроля вскрытия;

- ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СЗИ.

3. По обеспечению безопасности при использовании ключевой информации:

- ключевые носители, в организации Клиента берутся на поэкземплярный учет в выделенных для этих целей журналах;

- учет и хранение ключей поручается руководством Клиента специально выделенным сотрудникам;

- для хранения ключевых носителей выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации;

- хранение ключей и дистрибутива клиентской части Системы «Клиент-Банк» с СЗИ допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное применение, не предусмотренное правилами пользования СЗИ;

- ключевые носители хранятся раздельно с обеспечением условия невозможности их одновременной компрометации;

-при транспортировке ключевых носителей с секретной ключевой информацией создаются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

4. В целях воспрепятствования злоупотреблению и неправомерному использованию СЗИ и секретных ключей электронной подписи (далее - ЭП) неуполномоченными лицами,

Банк обращает внимание соблюдать следующие правила:

- использовать для хранения секретных ключей ЭП специализированные устройства - USB-токены (смарт-карты) ;

- отключать, извлекать носители с ключами ЭП, если они не используются для работы с Системой;

- во время активного сеанса связи с банком на стадиях ввода пароля и подписания документов проверять содержимое адресной строки браузера. (Действующий адрес начинается с https://212.76.178.238:1443);

- на компьютерах, используемых для работы с Системой, как минимум исключить посещение Интернет-сайтов сомнительного содержания, загрузку и установку нелицензионного программного обеспечения и прочих некорректных действий, и лучше выделить отдельный компьютер, который использовать только для работы с Системой и никакие другие задачи на этом компьютере не выполнять;

- ограничить доступ к ключевой информации, используемой для работы с Системой, в том числе полностью исключить доступ к компьютерам персонала, не имеющего отношения к работе с Системой;

- использовать лицензионное программное обеспечение (операционные системы, офисные пакеты и пр.), обеспечить автоматическое обновление системного и прикладного программного обеспечения;

- применять на рабочем месте лицензионные средства антивирусной защиты, обеспечить выполнение регулярного автоматического обновления антивирусных баз;

- применять дополнительные программные средства безопасности - персональные файрволы и пр.;

- при обслуживании компьютера ИТ-сотрудниками - обеспечивать контроль за выполняемыми ими действиями;

- не передавать ключи ЭП ИТ-сотрудникам для проверки работы Системы, проверки настроек взаимодействия с Банком и т. п. При необходимости таких проверок только лично владелец ключа ЭП должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа, и лично ввести пароль, исключая просмотр его посторонними лицами;

- при увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭП, обязательно заблокировать его ключ ЭП;

- при возникновении любых подозрений на компрометацию ключей – обязательно заблокировать ключи ЭП;

- если Вы заметили проявление сбоев, ошибок, неполадок программного обеспечения Системы «Клиент-Банк» или какие-то изменения в интерфейсе программы - позвонить в Банк и выяснить, не связаны ли такие изменения с обновлением версии программного обеспечения. Если нет - заблокировать ключи ЭП.

5. Информация о возможных угрозах информационной безопасности в процессе обмена в системе дистанционного банковского обслуживания, мерах соблюдения безопасных способов работы в системе «Клиент-Банк», способах пресечения попыток злоупотребления третьими лицами денежными средствами Клиента и других способах защиты

Злоупотребление денежными средствами, находящимися на расчетном счете Клиента, возможно при получении неуполномоченными третьими лицами тем или иным способом доступа к секретным ключам электронной ЭП и паролям, удаленного доступа к компьютеру, с целью направления в Банк платежных поручений, заверенных от имени Клиента, что предположительно могут осуществить:

- ответственные сотрудники компании Клиента, ранее имевшие доступ к секретным ключам ЭП для Системы, например: уволенные директора, бухгалтеры и их заместители, и прочие ответственные лица Клиента;

- штатные ИТ-сотрудники компании Клиента, имеющие или имевшие технический доступ к носителям (дискеты, флеш-носители, USB-токены, жесткие диски и пр.) с секретными ключами ЭП, а также доступ к компьютерам, с которых осуществлялась работа по Системе;

- нештатные ИТ-специалисты, обслуживающие компьютеры Вашей компании, осуществляющие профилактику и подключение к сети Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого программного обеспечения на компьютеры, с которых осуществлялась или осуществляется работа по Системе;

- другие неуполномоченные лица, путем заражения через Интернет Ваших компьютеров вредоносными программами (троянами), используя уязвимости системного и прикладного программного обеспечения (операционные системы, WEB-браузеры, почтовые e-mail-клиенты и пр.) с последующим злоупотреблением cекретными ключами ЭП и паролями, путем удаленного подключения к Вашему компьютеру и через программы дистанционного управления компьютером (Microsoft Remote Assistant, TeamViewer, R-Admin и др.) и через системные средства (службы) ОС, которые позволяют получить такой удаленный доступ.

Таким образом, в Банк могут поступать не вызывающие подозрений платежи, направленные от третьих лиц с использованием корректных и действующих секретных ключей ЭП Клиента, имеющие вполне обычные реквизиты получателей и типовые назначения платежа. Правомерное, в данном случае, исполнение таких платежей Банком, может привести к злоупотреблению денежными средствами находящихся на расчетном счете.

Важно понимать, что Банк не имеет доступа к секретным ключам ЭП и не может от имени Клиента сформировать корректную ЭП под электронным платежным документом. Вся ответственность за конфиденциальность секретных ключей ЭП полностью возложена на Клиента, как единственного владельца секретных ключей ЭП.

6. Банк информирует Клиента, что не осуществляет рассылку электронных писем с просьбой прислать секретный ключ ЭП или пароль.

Банк не рассылает по электронной почте программы для установки на компьютеры.

Если есть сомнения в конфиденциальности своих секретных ключей ЭП или есть подозрение в их компрометации (несанкционированном доступе к ним), Клиент обязан заблокировать свои ключи ЭП.

Изменение пароля доступа к секретному ключу ЭП не защищает от полного несанкционированного использования его третьими лицами в противоправных целях.

7. Пресечь неправомерное использование ключей ЭП позволяет дополнительный встроенный механизм безопасности Системы «Клиент-Банк» при обработке электронных платежей Клиента. Данный механизм расширенной многофакторной аутентификации основан на подтверждении входа в систему и подтверждении подготовленных к отправке в Банк платежных документов (свыше суммы лимита) дополнительными одноразовыми паролями. В качестве источника одноразового пароля может выступать либо SMS-сообщение отправляемое Клиенту на заявленный мобильный телефон либо дополнительное устройство E-токен-pass, которое регистрируется в системе на стороне Банка.

Оцените свои риски возможных потерь.

Выставьте адекватный лимит суммы платежа!!!

Использование лимита платежа в миллионы рублей - сводит к нулю один из действенных на текущий момент механизмов защиты операций в системах дистанционного банковского обслуживания.

8. Если Клиент получил уведомление (или пароль на проведение платежа) о совершении каких-либо действий от имени компании, но сотрудники Клиента не совершали этих действий:

- необходимо срочно связаться с Банком и заблокировать ключи ЭП. Таким образом, получение данных сообщений позволит Клиенту своевременно узнать о несанкционированном доступе и оперативно предпринять необходимые меры.

Наиболее частыми признаками несанкционированного доступа в Системе являются:

- нестабильное функционирование ПК, на котором работают с системой «Клиент-Банк» (медленная работа, произвольная перезагрузка, другие неполадки);

- выход из строя ПК, на котором работают с Системой;

- перебои с доступом в Систему ;

- невозможность авторизации в Системе ;

- DDoS-атака на вашу ИТ-инфраструктуру (вдруг возникшая низкая скорость обмена информацией);

- несоответствие порядковых номеров платежных поручений;

- попытки авторизации в Системе с других IP-адресов или в нерабочее время.

9. Банк информирует Клиента, что в Системе, наряду с вышеупомянутыми СЗИ, существует сервис электронного оповещения Системы (SMS-Банкинг). Сервис электронного оповещения позволяет организовать рассылку Клиентам сообщений по каналам связи SMS и E-mail. Использование услуги электронного оповещения Системы «Клиент-Банк» позволит Вам оперативно получать извещения о следующих событиях:

- вход в систему «Клиент-Банк»;

- поступление в Банк платежного поручения;

- списание средств с расчетного счета.

10. У Банка существует возможность разрешить каждому Клиенту работать только с заданными для него фиксированными IP-адресами и MAC-адресами. Использование встроенного в Систему механизма фильтрации немного ограничивает возможности Клиента работать с системой при подключении к Интернету из произвольного места, но при этом дает дополнительную степень защиты от злоупотребления средствами на расчетном счете.

Для получения дополнительной информации по системе «Клиент-Банк» обращайтесь в Департамент информационных технологий

по телефону (34

Технические требования к удаленному рабочему месту Клиента в Cистеме ДБО

Windows-клиент:

1. Персональный компьютер:

- установленная лицензированная операционная система Windows (не ниже Windows 98), с настроенным периодическим обновлением ОС (основных выпусков обновлений),

- 1024 МБайт оперативной памяти,

- 150 МБайт свободного пространства на жёстком диске.

2. Модем, подключенный к телефонной линии и к компьютеру, настроенное коммутируемое соединение.

3. Лицензированное антивирусное ПО, наличие настроенных процедур периодического обновления антивирусной базы.

Internet-клиент:

1. Персональный компьютер:

- установленная лицензированная операционная система Windows (не ниже Windows 98),

- 512 МБайт оперативной памяти,

- Браузер Internet Explorer версии 8.0 или выше (прочие браузеры не поддерживаются).

2. Настроенный Internet-канал (выделенная линия либо коммутируемое соединение).

3. Доступ по линии связи провайдера Internet к портам 1024, 1443.

4. Лицензированное антивирусное ПО, наличие настроенных процедур периодического обновления антивирусной базы.