Рекомендации по хранению паролей, ключей электронно-цифровой подписи и шифрования

В настоящее время увеличилось число хищений денежных средств клиентов банков, работающих в системе дистанционного банковского обслуживания (далее - ДБО).

Если Вы не хотите потерять свои денежные средства, обязательно изучите и используйте в работе данные рекомендации по повышению уровня безопасности предприятия при работе через электронные каналы связи (через систему «Клиент-Банк»), а также предупреждению несанкционированного доступа к Вашей платежной информации.

Банк обеспечивает безопасность системы ДБО со своей стороны, но обеспечение должного уровня собственной информационной безопасности – это Ваша задача!

Рекомендации по хранению паролей, ключей электронно-цифровой подписи и шифрования

1. Никогда не храните ключи электронно-цифровой подписи (далее – ЭЦП) и шифрования (далее – ключи) на жестком диске персонального компьютера или на сетевых ресурсах. На одном носителе должна быть ЭЦП только одного пользователя.

2. Вход пользователем в систему должен осуществляться только с помощью собственной ЭЦП и пароля.

3. Не допускайте хранение иной информации (в т. ч. рабочих или личных файлов) на носителе ключевой информации.

4. Носители секретных ключей подключайте только в момент сеанса связи с банком к персональному компьютеру (далее – ПК), а после окончания сеанса связи с банком - носители сразу отключайте и убирайте в место хранения (сейф, и т. п.).

5. При возникновении малейших подозрений на компрометацию ключей, а также в случае выхода из строя компьютера с установленной системой ДБО незамедлительно информируйте Банк для принятия неотложных мер по блокировке ключей с целью недопущения их несанкционированного использования.

6. Определите круг лиц, которым доверена работа с ключами и ключевыми носителями, список лиц зафиксируйте распорядительным документом, в котором укажите права и ответственность этих лиц.

7. Заменяйте ключи во всех случаях увольнения или смены руководителей, подписывавших распоряжения (доверенности) о предоставлении сотрудникам организации полномочий подписания ЭЦП электронных документов, а также сотрудников, работающих с данными ЭЦП. Приостанавливайте работу ЭЦП по согласованию с Банком при длительном плановом неиспользовании системы (отпуск ответственного работника).

8. Для повышения уровня защиты от копирования ключей применяйте специализированные устройства хранения (например, eToken или Rutoken.)

9. Используйте две ЭЦП - директора и главного бухгалтера. Подпись документов осуществляйте с разных компьютеров. Ключи храните в разных местах, что снизит вероятность их одновременной кражи злоумышленниками.

10. При увольнении IT-специалиста, обслуживавшего компьютеры с установленной системой ДБО, обязательно проверьте компьютеры на отсутствие вредоносных программ и смените все электронные ключи. Контролируйте все действия, выполняемые IT-сотрудниками с системой ДБО и ключевыми носителями.

11. При первом входе в систему ДБО Банка измените пароль доступа и храните его в секрете. При этом пароль не должен совпадать с паролем доступа к Вашему компьютеру. Целесообразно осуществлять плановую смену пароля не реже одного раза в 3 месяца.

12. Используйте надежные пароли - длиной не менее 8 символов, содержащие буквы из различных регистров (заглавные и строчные), специальные символы (*, &, ^, % и т. п.) и цифры. Не используйте очевидные сочетания (имя, фамилия, дата рождения, номер телефона).

Рекомендации по обеспечению сохранности конфиденциальных данных при использовании систем ДБО

1. Не вводите конфиденциальные данные, если окно для ввода или его оформление (логотип, надписи, шрифт и тому подобное) отличается от стандартных окон системы ДБО или отображается не так, как всегда. Внимательно следите за сообщениями, которые появляются на экране компьютера.

2. Не отвечайте на письма с просьбой выслать секретный ключ ЭЦП, пароль и другие конфиденциальные данные. Напоминаем, что Банк никогда не осуществляет рассылку электронных писем с компьютерными программами или с просьбой предоставить конфиденциальную информацию. Ответственность за сохранение ключа несет пользователь системы.

3. При получении необычных сообщений от Банка по системе ДБО или по электронной почте (например, о проведении технических работ), а также при появлении нестандартных ошибок незамедлительно сообщите в Банк.

4. При подключении системы ДБО обязательно требуйте конкретную инструкцию (памятку) по порядку установки, подключения и использования системы Банка.

Рекомендации по техническому обеспечению безопасности

1. Используйте компьютер только для целей осуществления электронных платежей в системе ДБО Банка. Разрешите доступ с компьютера в сеть Интернет только на необходимые для работы IP-адреса (сервер системы ДБО Банка, серверы обновления операционной системы, антивируса и т. п.). Ни в коем случае не используйте компьютер, с которого осуществляется работа в системе ДБО, для развлечений и Интернет-серфинга, не посещайте сайты сомнительного содержания (наибольшие источники распространения вредоносных программ).

2. Используйте на компьютере с системой ДБО только лицензионное программное обеспечение, что снижает риск «взлома» (например, операционных систем, пакетов для офисной работы и т. п.). Своевременно устанавливайте все обновления на операционную систему.

3. Используйте современное лицензионное антивирусное программное обеспечение, которое имеет режим постоянного файлового мониторинга, контролирует сетевой трафик, электронную почту. Своевременно обновляйте антивирусные базы.

4. Установите пароль на доступ к компьютеру. Желательно установить на рабочий стол «экранную заставку» со временем блокировки экрана не более 5 минут после окончания работы (т. е. если ответственный сотрудник не работает за компьютером более 5 минут - компьютер включает «экранную заставку»), которую можно разблокировать только после ввода пароля.

5. Используйте для повседневной работы только пользователя с ограниченными, минимальными полномочиями. Не работайте на компьютере с правами Администратора. Административные полномочия в операционной системе следует использовать только Системным Администраторам для решения задач администрирования или для установки и настройки операционной системы и программного

обеспечения.

6. Ограничьте доступ к компьютеру, с которого осуществляется подключение к системе ДБО Банка: компьютер установите в недоступном для посторонних лиц месте, в закрываемом на ключ помещении.

7. Отключите режим автозапуска на сменных носителях (CD, флеш-накопителях и т. п.). Всегда проверяйте посторонние сменные носители на отсутствие вирусов и иных вредоносных программ, а также свои флеш-накопители, если они подключались к другим компьютерам.

8. Не устанавливайте на компьютер системы удаленного управления, не разрешайте подключения к компьютеру как к удаленному рабочему месту.

9. Не устанавливайте и не сохраняйте подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте, полученные в телеконференциях. Такие файлы лучше немедленно удалять. В случае необходимости загрузки файла убедитесь, что он проверен антивирусом.

Прочие рекомендации

1. При ошибке и (или) сбое в работе аппаратно-программного обеспечения системы ДБО, обязательно позвоните в банк и убедитесь, что не произошло несанкционированного использования системы ДБО.

2. Регулярно контролируйте состояние своих счетов и незамедлительно информируйте обслуживающее подразделение Банка обо всех подозрительных или несанкционированных операциях. Советуем Вам подключить услугу SMS-информирования о действиях с Вашим счетом.

3. В случаях подозрений на мошеннические действия в системе ДБО незамедлительно обращайтесь в ГУ МВД по Саратовской области – , телефон – 8 (84, *****.

Главное управление

Центрального банка

Российской Федерации

по Саратовской области

Осторожно:

мошенничество!

ПАМЯТКА

клиенту банка

по безопасному использованию

систем дистанционного

банковского обслуживания

2012 год