Рекомендации по обеспечению безопасности банкоматов
advertisement
ООО «РУСОФТ»
Рекомендации
по обеспечению безопасности банкоматов
© ООО "РУСОФТ". Москва, 2013
Авторские права на эту работу принадлежат "РУСОФТ". Содержание этого документа не может полностью или частично
копироваться, использоваться или распространяться без предварительного письменного разрешения "РУСОФТ".
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Лист регистрации изменений
Дата
Версия
документа
19.06.2009
11.09.2011
1.0
1.1
04.04.2013
1.2
23.05.2013
1.3
13.09.2013
1.4
20.12.2013
1.5
24.12.2013
1.6
© 2013
ООО «РУСОФТ»
Описание изменений
Составление документа
Изменено описание функциональных модулей:
4.8 Безопасность файловой системы
4.9 Установка разрешений на ключи реестра
Изменена структура документа.
Изменено описание функциональных модулей:
3.7 Автоматическое обновление системы
3.9 Политики аудита
3.14 Политики учетных записей
Изменено описание функциональных модулей:
3.3 Центр обеспечения безопасности Windows
3.9 Политики аудита
3.12 Безопасность файловой системы
3.13 Установки разрешений на ключи реестра
Изменено описание функциональных модулей:
3.4 Настройка брандмауэра
Изменено название документа
Изменено описание функциональных модулей:
2.1 Требования к аппаратному обеспечению
2.2 Требования к программному обеспечению
Изменено название документа
Изменено описание функциональных модулей:
1. Общие положения
2. Требования по обеспечению информационной безопасности ОС
Windows XP
Добавлены функциональные модули:
5. Обеспечение физической безопасности банкоматов
Стр. 2/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Общие положения ........................................................................................................................4
Требования по обеспечению информационной безопасности ОС Windows XP .........4
2.1.
Требования к аппаратному обеспечению ...........................................................4
2.2.
Требования к программному обеспечению ........................................................4
2.3.
Организационные мероприятия ..............................................................................5
2.4.
Сетевые параметры .......................................................................................................5
2.5.
Центр обеспечения безопасности Windows .......................................................5
2.6.
Настройка брандмауэра ..............................................................................................6
2.7.
Настройка параметров сетевого окружения .....................................................9
2.8.
Отключение доступа по нулевой сессии и гостевого логина ..................11
2.9.
Автоматическое обновление системы ................................................................12
2.10. Настройка параметров системных журналов ОС ..........................................13
2.11. Политики аудита ...........................................................................................................14
2.12. Установка аудита на ключи реестра ...................................................................15
2.13. Управление пользователями и группами ..........................................................16
2.14. Безопасность файловой системы ..........................................................................18
2.15. Установка разрешений на ключи реестра ........................................................21
2.16. Политики учетных записей ......................................................................................23
2.16.1.
Политика паролей .............................................................................................23
2.16.2.
Политика блокировки учетных записей .................................................24
2.17. Параметры безопасности ..........................................................................................25
2.18. Настройка параметров автоматического входа в систему .......................25
2.19. Используемые службы ...............................................................................................27
2.20. Назначение прав пользователя ...........................................................................29
3. Конфигурирование BIOS SETUP банкомата .......................................................................31
4. Установка и конфигурирование модуля «СОФИТ-КОМ ЛАЙТ» .....................................32
5. Обеспечение физической безопасности банкоматов .......................................................32
1.
2.
© 2013
ООО «РУСОФТ»
Стр. 3/33
Рекомендации по обеспечению безопасности банкоматов
1.
1/16/2016
v1.6
ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие Рекомендации определяют состав и порядок действий в части терминального
оборудования (банкоматов, управляемых программным обеспечением «Sofit ATM WIN» и «Sofit
CASH-IN») по их размещению, установке, а также настройке политик безопасности ОС Windows XP и
BIOS SETUP в целях обеспечения соблюдения требований ЦБ РФ и законодательства РФ в области
информационной безопасности.
Работы, описанные в данной инструкции, проводятся квалифицированным персоналом
(сотрудником службы безопасности, техником и системным администратором).
Сотрудник службы безопасности осцществляет следующие функции:
контролирует состояние помещения требованиям противопожарной безопасности;
организует работы по осуществлению видеонаблюдения и сигнализации;
организует ввод криптографических ключей;
организует работы по программированию кодового замка и ключей от сейфовой части.
Техник осуществляет следующие функции:
выполняет работы по проведению необходимых коммуникаций, их подключению и
настройке;
организует работы по физическому размещению и укреплению банкоматов.
Администратор рабочей станции осуществляет следующие функции:
конфигурирует BIOS SETUP;
определяет и устанавливает пароли администратора и пользователя, дающие возможность
доступа к программно-аппаратным средствам банкомата;
устанавливает и настраивает ПО «Sofit ATM WIN» и «Sofit CASH-IN», а также очередные
версии и обновления;
контролирует текущее состояние информационной безопасности на банкоматах.
2.
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ОС WINDOWS XP
В данном разделе кратко сформулированы общие требования безопасности, которые должны быть
выполнены в результате конфигурирования ОС Windows XP и BIOS SETUP. Основной задачей
описанных мер является защита ПО банкомата и используемых им данных от несанкционированного
доступа (чтения данных, модификации ПО).
2.1.
Требования к аппаратному обеспечению
В соответствии с эксплуатационными требованиями ПО банкомата:
1. Банкомат должен управляться стандартным РС-совместимым компьютером, имеющим
конфигурацию не ниже P4 2.4 CPU; 512 M RAM; 40 GB HDD.
Актуальные минимальные аппаратные требования к АТМ размещены на сайте www.rucard.net в
разделе «Программное обеспечение для партнеров/Для терминальных сетей/Банкоматы (АТМ)».
2. Банкомат должен быть подключен к шине гарантированного электропитания или обеспечен
автономным источником бесперебойного питания.
2.2.
Требования к программному обеспечению
Для инсталляции ОС должна быть использована официальная версия операционной системы MS
Windows XP.
На всех дисках управляющего компьютера, должна использоваться только файловая система
NTFS. При этом операционная система должна инсталлироваться только с использованием NTFS на
«чистую» машину, не содержащую на жестком диске сторонних данных или программ, в том числе
© 2013
ООО «РУСОФТ»
Стр. 4/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
альтернативных Windows XP операционных систем (использование других операционных систем
категорически запрещено).
Кроме ОС на управляющем компьютере банкомата должны быть инсталлированы:
пакет обновления № 2 для MS Windows XP (Service Pack 2);
программное обеспечение «Sofit ATM Win», «Sofit CASH-IN» или «OpenVPN client»
(инсталлируется пользователем с правами администратора);
пакет антивирусного ПО с последним обновлением антивирусной базы (инсталлируется
специалистами банка).
На управляющем компьютере банкомата запрещается установка программного обеспечения,
отличного от указанного выше. В том числе запрещается установка:
программного обеспечения, такого, как Internet Information Server, Personal Web Server,
Personal Transaction Server и т.д.;
офисного программного обеспечения (Microsoft Office и др.);
игровых программ (в том числе входящих в пакет операционной системы);
графических оболочек, типа Norton Commander.
На управляющем компьютере должен быть включен и настроен Windows Firewall или
альтернативный брандмауэр, в соответствии с политикой информационной безопасности банка.
2.3.
Организационные мероприятия
Организационные мероприятия включают в себя следующие действия:
конфигурирование программы “SETUP” управляющего компьютера (установка пароля и
др.);
закрытие системного блока штатными средствами (встроенный замок) и его опечатывание
защитной номерной наклейкой для исключения возможности негласного вскрытия;
установка ПО;
настройка политики безопасности.
Так же должно быть обеспечено хранение электронной копии журнальной ленты и технического
журнала (*.PRJ, *.ERL) в течение 180 дней.
2.4.
Сетевые параметры
Для обеспечения работы банкомата в сети должен использоваться сетевой протокол TCP/IP.
2.5.
Центр обеспечения безопасности Windows
При проведении настроек ОС Windows XP и BIOS каждый пользователь рабочей станции должен
иметь свою уникальную учетную запись.
Первое, что необходимо сделать – это задать пароль пользователю «Administrator»! Так же
необходимо убедиться, что в системе отсутствуют учетные записи с пустым паролем.
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Выполните «Start» => «Settings» => «Control Panel» => «Security Center» («Пуск» => «Настройка»
=> «Панель управления» => «Центр обеспечения безопасности»). В окне «Windows Security Center»
(«Центр обеспечения безопасности Windows») выберите следующие установки: «Firewall» — «ON»,
«Automatic Updates» — «OFF», «Virus Protection» — «NOT FOUND» (см. рис. ниже).
© 2013
ООО «РУСОФТ»
Стр. 5/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 1 - Окно «Windows Security Center» («Центр обеспечения безопасности Windows»)
В этом же окне «Windows Security Center» («Центр обеспечения безопасности Windows») в разделе
«Resources» («Ресурсы») выберите «Change the way Security Center alerts me» («Изменить способ
оповещений Центром обеспечения безопасности») и снимите все три «галочки» в окне «Alert Settings»
(«Способ оповещения»).
Рисунок 2 - Окно «Alert Settings» («Способ оповещения»)
2.6.
Настройка брандмауэра
Для настройки брандмауэра войдите в «Start» => «Settings» => «Control Panel», выберите и
загрузите системную утилиту Windows «Firewall». В появившемся окне, на закладке «General»
включите переключатель «On (recommended)».
© 2013
ООО «РУСОФТ»
Стр. 6/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 3 - Включение брандмауэра
Настройками Windows Firewall необходимо обеспечить двухсторонний обмен данными только
между сервисом RCOMM (SofitCom Lite) банкомата и сервером SofitCom процессингового центра.
В случае подключения банкомата к процессинговому центру по технологии OpenVPN
необходимо:
добавить в исключения брандмауэра порт 7777 TCP, как показано на рисунке 4;
отключить брандмауэр на сетевом интерфейсе, появившемся после установки клиента
OpenVPN (обычно «Подключение по локальной сети 2», адаптер TAP-Win32 Adapter V9).
Сделать это можно убрав соответствующую галочку на вкладке «Дополнительно»
брандмауэра.
© 2013
ООО «РУСОФТ»
Стр. 7/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 4 – Настройки исключений
Весь остальной трафик должен быть заблокирован.
По умолчанию ведение журналов отключено. Нужно включить ведение журналов.
Рисунок 5 - Дополнительные настройки брандмауэра
Для этого необходимо перейти на закладку «Advanced» и в группе «Security Logging» нажать
кнопку «Settings».
© 2013
ООО «РУСОФТ»
Стр. 8/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 6 - Ведение журналов
В появившемся окне включите переключатели «Log dropped packets» («Записывать
пропущенные пакеты») и «Log successful connections» («Записывать успешные подключения»). Нажмите
кнопку «OК».
В окне «Windows Firewall» в разделе «ICMP» нажмите кнопку «Settings…». В появившемся окне
«ICMP Settings» разрешите запрос входящего эха, поставив галочку напротив «Allow incoming echo
request».
Рисунок 7 - Окно «ICMP Settings»
2.7.
Настройка параметров сетевого окружения
В настройках параметров подключения к локальной сети необходимо отключить все службы
кроме протокола Интернета (TCP/IP).
© 2013
ООО «РУСОФТ»
Стр. 9/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 8 – Параметры сетевого окружения
Активировать фильтрацию трафика, ограничить используемые порты и добавить порт, по
которому идет соединение с терминальным контроллером в разделы «TCP-порты» и «UDP- порты».
Рисунок 9 – Фильтрация TCP/IP трафика
Отключить NetBIOS через TCP/IP.
© 2013
ООО «РУСОФТ»
Стр. 10/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 10 – Окно дополнительных параметров TCP/IP
2.8.
Отключение доступа по нулевой сессии и гостевого логина
В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA установите
значение параметра RestrictAnonymous = 2 (тип параметра – REG_DWORD)
Рисунок 11 – Отключение гостевого логина
В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver
© 2013
ООО «РУСОФТ»
Стр. 11/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
установите значение параметра RestrictNullSessAccess = 1 (тип параметра – REG_DWORD)
Рисунок 12 – Отключение доступа по нулевой сессии
2.9.
Автоматическое обновление системы
Обновление системы необходимо производить в ручном режиме по мере выхода критических
обновлений ОС Windows XP. Для запрета автоматического обновления войдите в «Start» => «Settings»
=> «Control Panel», выберите и загрузите системную утилиту «Automatic Updates».
Рисунок 13 - Запрет автоматического обновления
© 2013
ООО «РУСОФТ»
Стр. 12/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
В появившемся окне, на закладке «Automatic Updates» установите переключатель в положение
«Turn off Automatic Updates» и нажмите «Ok».
2.10. Настройка параметров системных журналов ОС
Для настройки параметров системных журналов откройте «Start» => «Settings» => «Control
Panel», выберите и откройте папку «Administrative Tools» и загрузите системную утилиту «Event
Viewer».
Рисунок 14 - Установка параметров системных журналов
В системе ведется три основных системных журнала:
Application — журнал событий работы приложений;
System — журнал системных событий;
Security — журнал событий системы безопасности.
Для установки параметров журналов, выберите журнал и нажмите правую клавишу мыши. В
появившемся выпадающем меню выберите пункт «Properties».
© 2013
ООО «РУСОФТ»
Стр. 13/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 15 - Настройка свойств журнала
В появившемся окне необходимо включить параметр «Overwrite events older then … days» и
установить значение «31», а также изменить параметр «Maximum log size» на «100032» Kb. Остальные
параметры оставить по умолчанию.
Данные действия повторите для всех журналов.
2.11. Политики аудита
По умолчанию весь аудит отключен. Необходимо включить аудит в соответствии с
нижеприведенной таблицей. Для этого в дереве параметров безопасности выберите «Security Settings»
=> «Local Policies» => «Audit Policy».
Политика аудита
Audit account logon events
(Аудит событий входа в систему)
Audit account management
(Аудит управления учетными записями)
Audit directory service access
(Аудит доступа к службе каталогов)
Audit logon events
(Аудит входа в систему)
Audit objects access
(Аудит доступа к объектам)
Audit policy change
(Аудит изменения политики)
Audit privilege use
(Аудит использования привилегий)
Audit process tracking
(Аудит отслеживания процессов)
Audit system events
(Аудит системных событий)
© 2013
ООО «РУСОФТ»
Стр. 14/33
Success
Failure
Да
Да
Да
Да
Нет
Да
Да
Да
Нет
Да
Да
Да
Нет
Да
Нет
Нет
Да
Да
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 16 - Настройка политики аудита
2.12. Установка аудита на ключи реестра
Далее установите аудит на ключ реестра «HKEY_LOCAL_MACHINE» для всех пользователей.
Для
этого
необходимо
запустить
редактор
системного
реестра,
выбрать
ключ
«HKEY_LOCAL_MACHINE», нажать правую клавишу мыши и в появившемся всплывающем меню
выбрать пункт «Permissions».
В окне «Permissions for HKEY_LOCAL_MACHINE» нажать кнопку «Advanced».
В окне «Advanced Security Settings for HKEY_LOCAL_MACHINE» перейдите на закладку «Auditing»
и нажмите кнопку «Add».
Рисунок 17 - Установка аудита
В появившемся окне нажмите кнопку «Advanced», а затем «Find Now».
После того как заполнится список встроенных учетных записей участников безопасности в
нижней части окна, выберите в нем «Everyone» и нажмите «OК», а затем еще раз «OК».
© 2013
ООО «РУСОФТ»
Стр. 15/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 18 - Выбор пользователей или групп
В появившемся окне «Auditing for HKEY_LOCAL_MACHINE» необходимо проставить флажки
«Successful» и «Failed» напротив значения «Full Control» и нажать кнопку «OК».
Рисунок 19 - Запись аудита
2.13. Управление пользователями и группами
Для работы с пользователями системы откройте «Start» => «Settings» => «Control Panel»,
выберите и откройте папку «Administrative Tools» и загрузите «Computer Management».
© 2013
ООО «РУСОФТ»
Стр. 16/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
После завершения установки всего ПО, необходимого для работы банкомата (заметим, что
установку ПО «Sofit ATM WIN» и «Sofit CASH-IN» следует производить, входя в систему с правами
администратора), удалите из системы всех пользователей и все группы пользователей кроме встроенных
групп (к встроенным группам относятся «Backup Operators», «Network Configuration Operators», «Power
Users», «Remote Desktop Users» и «Replicator»), которые не могут быть удалены, оставив только одного
пользователя «Administrator» из группы «Administrators» и группу «Users». При этом свойства
пользователя «Full Name» и «Description» не должны быть заполнены. В последующем произведите
переименование пользователя «Administrator» на любое другое произвольное (в нашем случае —
«Ivanov»).
Удаление пользователя «Guest» системой запрещено, поэтому необходимо запретить этому
пользователю доступ в систему. Для этого необходимо установить флажок на свойстве «Account is
disabled».
Рисунок 20 - Работа с пользователями системы
Далее необходимо создать нового пользователя в группе «Users», от имени которого будет
загружаться ПО банкомата. Для этого выберите «System Tools» => «Local Users and Groups» => «Users»
и нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «New User».
В появившемся диалоговом окне в поле «User Name» («Наименование нового пользователя»)
укажите «ATM» и введите «Password» («Пароль»), а остальные поля оставьте пустыми.
© 2013
ООО «РУСОФТ»
Стр. 17/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 21 - Создание нового пользователя
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Внимание!
После создания пользователя необходимо войти под его именем для создания профайла
пользователя и внести изменения в региональные настройки.
2.14. Безопасность файловой системы
Для нормального функционирования ПО банкомата необходимо установить разрешения
(«Permissions») на системные файлы и каталоги в соответствии с нижеприведенной таблицей.
Каталог (файл)
Разрешения
Administrators:
Full
Control
С:\ и все файлы, находящиеся в
CREATOR OWNER: Special Permissions
корневом каталоге
Пользователь, осуществляющий автоматический вход в
систему: установить разрешения согласно Рисунку 22
Administrators: Full Control
С:\ и все подкаталоги
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в
систему: установить разрешения согласно Рисунку 23
Administrators: Full Control
%SYSTEMROOT% и все подкаталоги
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в
систему: Read & Execute
\Document and Settings\Username и все
Administrators: Full Control
Username: Full Control
подкаталоги
\Boot.ini
\Ntdetect.com
\Ntldr
© 2013
ООО «РУСОФТ»
Administrators: Full Control
Стр. 18/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 22 - Окно «Permission Entry for WINOS (C:)»
Рисунок 23 - Окно «Permission Entry for WINOS (C:)»
Примечание!
Помечаются галочкой только те поля, которые видны на Рисунке 22 и Рисунке 23. Остальные
поля остаются пустыми.
На компьютерах, используемых в банкоматах, должны быть дополнительно установлены
следующие разрешения («Permissions») для пользователя, осуществляющего автоматический вход в
систему (в нашем случае — пользователь с именем «ATM»).
Банкоматы NCR:
Каталог
C:\Program Files\NCR APTRA и все
© 2013
ООО «РУСОФТ»
Разрешения
Пользователь, осуществляющий автоматический вход
Стр. 19/33
Рекомендации по обеспечению безопасности банкоматов
подкаталоги
C:\Program Files\Common Files\NCR и
все подкаталоги
C:\ssds\ и все подкаталоги
C:\40COLFIL
Банкоматы DIEBOLD:
Каталог
C:\Diebold
C:\Program Files\Diebold\ и все
подкаталоги
C:\Program Files\Lanit\ и все
подкаталоги
1/16/2016
v1.6
в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический вход в
систему: Full Control
Пользователь, осуществляющий автоматический вход
в систему: Read
Разрешения
Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
Банкоматы WINCOR NIXDORF:
Каталог
Разрешения
Пользователь, осуществляющий автоматический
C:\CSCW32 и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\FITPCI и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\INSTALL и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\PACKAGE и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\PARAC и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\PROEINFO и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\PROPXD и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\PROSOP и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\PROTOPAS и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\PROVIEW и все подкаталоги
вход в систему: Read & Execute + Write
Пользователь, осуществляющий автоматический
C:\WOSASSP и все подкаталоги
вход в систему: Read & Execute + Write
Для установки разрешений к файлам необходимо загрузить Windows Explorer (Проводник). В окне
проводника выберете в дереве каталогов каталог (например, «SSDS») и нажмите правую клавишу мыши.
В появившемся всплывающем меню выберите пункт «Properties». В окне перейдите на закладку
«Security».
© 2013
ООО «РУСОФТ»
Стр. 20/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 24 - Настройка безопасности для каталога
Внимание!
Не следует применять опцию «Replace permissions entries on all child objects with entries shown
here that apply to child objects». Права должны добавляться одно «сверху» другого.
2.15. Установка разрешений на ключи реестра
Для нормального функционирования ПО банкомата пользователю, с именем которого будет
производиться автоматический вход в систему и последующий автоматический запуск ПО (в нашем
случае — это пользователь с именем «ATM»), необходимо дать разрешения на редактирование ключей
реестра, в которых располагаются параметры ПО банкомата:
Банкоматы DIEBOLD:
Ключ реестра
HKEY_LOCAL_MACHINE\Software\Lanit и все подразделы
HKEY_LOCAL_MACHINE\Software\Diebold и все подразделы
HKEY_LOCAL_MACHINE\Software\Gemplus и все подразделы
HKEY_LOCAL_MACHINE\Software\MayFair Software и все подразделы
HKEY_LOCAL_MACHINE\Software\MayFairSoftware и все подразделы
HKEY_LOCAL_MACHINE\Software\Nexus и все подразделы
HKEY_LOCAL_MACHINE\Software\Sygate Technologies, Inc и все подразделы
HKEY_LOCAL_MACHINE\Software\XFS и все подразделы
Разрешения
Full Control
Full Control
Full Control
Full Control
Full Control
Full Control
Full Control
Full Control
Банкоматы Wincor Nixdorf:
Ключ реестра
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT
\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT
HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000000000000046}\ProxyStubClsid32\(Default)
HKEY_CURRENT_USER\Control Panel\International
HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows
NT\CurrentVersion\DRIVERS32
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus
© 2013
ООО «РУСОФТ»
Стр. 21/33
Разрешения
Full Control
Full Control
Read Access
Read Access
Full Control
Read Access
Read Access
Read Access
Рекомендации по обеспечению безопасности банкоматов
sub-keys)
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File
Execute Options
1/16/2016
v1.6
Read Access
Банкоматы NCR:
Ключ реестра
\HKEY_LOCAL_MACHINE\SOFTWARE\NCR\SSDS
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT
\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT
HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000000000000046}\ProxyStubClsid32\(Default)
HKEY_CURRENT_USER\Control Panel\International
HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\DRIVERS32
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus subkeys)
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execute
Options
HKEY_LOCAL_MACHINE\Software\NCR и все подразделы
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ActiveComputer
Name (plus all sub keys)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggrea
gte Installer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggrea
gte Installer Wizard
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Arbitration
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Platform
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Platform API
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Platform Localisation
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
PRS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
UEH
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\WosaC
trl
© 2013
ООО «РУСОФТ»
Стр. 22/33
Разрешения
Full
Control
Full
Control
Full
Control
Read
Access
Read
Access
Full
Control
Read
Access
Read
Access
Read
Access
Read
Access
Full
Control
Read
Access
Read
Access
Full
Control
Full
Control
Full
Control
Full
Control
Full
Control
Full
Control
Full
Control
Full
Control
Full
Control
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Для этого запустите редактор системного реестра. В открывшемся окне приложения найдите и
выберите каждый из указанных ключей, например: HKEY_LOCAL_MACHINE\SOFTWARE\SSDS.
Нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «Permissions».
Рисунок 25 - Установка разрешений на ключи реестра
В появившемся окне необходимо добавить в список пользователя, который указан в параметрах
автоматического входа в систему (в нашем случае — это пользователь с именем «ATM»).
Для этого нажмите кнопку «Add», в открывшемся диалоговом окне нажмите кнопку «Advanced», в
появившемся окне нажмите кнопку «Find Now». После того как заполнится список в нижней части окна,
выберите в нем необходимого пользователя и нажмите «OK». Затем еще раз нажмите «OK». Выбранный
пользователь появится в списке «Group or user name». Выберите этого пользователя и установите
флажок «Allow» напротив «Full Control» в списке разрешений.
Внимание!
Для банкоматов серии Nautilus установка разрешений на ключи реестра не требуется.
Внимание!
Не следует применять опцию «Replace permissions entries on all child objects with entries shown
here that apply to child objects». Права должны добавляться одно «сверху» другого. Редактирование
реестра следует производить с предельным вниманием и не изменять параметры, не предусмотренные
данным описанием.
2.16. Политики учетных записей
Для настройки политики учетных записей откройте «Start» => «Settings» => «Control Panel»,
выберите и откройте папку «Administrative Tools» и загрузите «Local Security Policy».
2.16.1.
Политика паролей
Необходимо установить следующие параметры политики паролей. Для этого в дереве параметров
безопасности выберите «Security Settings» => «Account Policies» = > «Password Policy».
© 2013
ООО «РУСОФТ»
Стр. 23/33
Рекомендации по обеспечению безопасности банкоматов
Политика паролей
Enforce password history
(Требовать неповторяемости паролей)
Maximum password age
(Максимальный срок действия)
Minimum password age
(Минимальный срок действия)
Minimum password length
(Минимальная длина пароля)
Password must meet complexity requirements
(Пароль должен отвечать требованиям сложности)
Store Password using Reversible encryption (хранение
пароля с использованием обратимого шифрования)
1/16/2016
v1.6
Значение
24 passwords remembered
(Помнить 24 пароля)
0 (Password will not expire)
(Пароль никогда не истекает)
0 days (Password can't be changed
immediately)
(Разрешить смену по истечении 1 дня )
12 characters (Password must be at least)
(По крайней мере 12 символов)
Enable (Разрешено)
Disabled (Запрещено)
Рисунок 26 - Настройка политики паролей
2.16.2. Политика блокировки учетных записей
Необходимо указать следующие параметры политики блокировки учетных записей. Для этого в
дереве параметров безопасности выберите «Security Settings» => «Account Policies» => «Account Lockout
Policy».
Политика блокировки учетных записей
Account lockout duration
(Блокировка учетной записи на)
Account lockout threshold
(Пороговое значение блокировки)
Reset account lockout counter after
(Сброс счетчика блокировки через)
Значение
30 minutes
(30 минут)
5 invalid logon attempts
(5 неудачных попыток)
30 minutes
(30 минут)
Рисунок 27 - Настройка политики блокировки учетных записей
© 2013
ООО «РУСОФТ»
Стр. 24/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
2.17. Параметры безопасности
Назначение параметров безопасности необходимо производить в соответствии с нижеприведенной
таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies»
=> «Security Options».
Политика безопасности
Accounts: Administrator account status
(Учетные записи: Состояние учетной записи «Администратор»)
Accounts: Guest account status
(Учетные записи: Состояние учетной записи «Гость»)
Accounts: Limit local account use of blank passwords to console logon only
(Учетные записи: ограничить использование пустых паролей только для
консольного входа)
Audit: Shut down system immediately if unable to log security audits
(Аудит: немедленное отключение системы, если невозможно внести в
журнал записи об аудите безопасности)
Interactive logon: Do not display last user name
(Интерактивный вход: не отображать последнего имени пользователя)
Interactive logon: Number of previous logons to cache
(Интерактивный вход: количество предыдущих подключений к кэшу)
Network access: Sharing and security model for local accounts
(Сетевой доступ: модель совместного доступа и безопасности для
локальных учетных записей)
Shutdown: Allow system to be shut down without having to log on
(Завершение работы: позволять системе быть отключенной без входа в
систему)
Значение
Enabled
(Разрешено)
Disabled
(Запрещено)
Enabled
(Разрешено)
Disabled
(Запрещено)
Enabled
(Разрешено)
1 logons
(1 подключение)
Classic
– local
users
authenticate as themselves
(Обычная - локальные
пользователи
удостоверяются как они
сами)
Disabled (Отключено)
Примечание!
Значения параметров политики безопасности, не вошедших в таблицу, остаются по
умолчанию.
2.18. Настройка параметров автоматического входа в систему
Для настройки параметров автоматического входа в систему необходимо запустить редактор
системного реестра, для чего нажмите кнопку «Start», выберите команду «Run» в стартовом меню, в
поле ввода наберите regedit.exe и нажмите «ОK».
Рисунок 28 - Запуск редактора системного реестра
В появившемся окне выберите последовательно ключ реестра HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon.
© 2013
ООО «РУСОФТ»
Стр. 25/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Рисунок 29 - Окно Редактора системного реестра
Затем добавьте или отредактируйте следующие параметры:
1)
AutoAdminLogon:
(String):
1
Рисунок 30 - Редактирование параметра «AutoAdminLogon»
Для изменения параметра «AutoAdminLogon» необходимо выбрать его в списке ключей и нажать
правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода
«Value data» ввести значение «1».
Если данного параметра в списке не найдено, то его необходимо создать.
2)
DefaultUserName:
(String):
< имя пользователя >
Рисунок 31 - Редактирование параметра «DefaultUserName»
Для изменения параметра «DefaultUserName» необходимо выбрать его в списке ключей и нажать
правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода
© 2013
ООО «РУСОФТ»
Стр. 26/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
«Value data» ввести имя пользователя, от имени которого будет загружаться ПО банкомата (в нашем
случае — это пользователь с именем «АТМ»).
Если данного параметра в списке не найдено, то его необходимо создать.
3)
DefaultPassword: (String):
< пароль пользователя >
Рисунок 29 - Редактирование параметра «DefaultPassword»
Для изменения параметра «DefaultPassword» необходимо выбрать его в списке ключей и нажать
правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода
«Value data» ввести пароль, назначенный пользователю.
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Если данного параметра в списке не найдено, то его необходимо создать.
Внимание!
После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы
изменения вступили в силу.
2.19. Используемые службы
Необходимо настроить правила работы служб в соответствии с нижеприведенной таблицей:
Name
Alerter
Application Layer Gateway Service
Application Management
Automatic Updates
Background Intelligent Transfer Service
ClipBook
COM+ Event System
COM+ System Application
Computer Browser
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
Fast User Switching Compatibility
Help and Support
© 2013
ООО «РУСОФТ»
Стр. 27/33
Startup
Type
Disabled
Disabled
Manual
Disabled
Disabled
Disabled
Manual
Manual
Disabled
Disabled
Automatic
Disabled
Disabled
Disabled
Disabled
Disabled
Automatic
Disabled
Disabled
Рекомендации по обеспечению безопасности банкоматов
HTTP SSL
Human Interface Device Access
IMAPI CD-Burning COM Service
Indexing Service
IPSEC Services
Logical Disk Manager
Logical Disk Manager Administrative Service
Messenger
MS Software Shadow Copy Provider
Net Logon
NetMeeting Remote Desktop Sharing
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number Service
Print Spooler
Protected Storage
QoS RSVP
RouterConnect
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
Removable Storage
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Security Center
Server
Shell Hardware Detection
Smart Card
SNMP Service
SNMP Trap Service
SSDP Discovery Service
System Event Notification
System Restore Service
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Telnet
Terminal Services
Themes
Uninterruptible Power Supply
Universal Plug and Play Device Host
Volume Shadow Copy
WebClient
© 2013
ООО «РУСОФТ»
Стр. 28/33
1/16/2016
v1.6
Manual
Disabled
Disabled
Manual
Manual
Automatic
Manual
Disabled
Manual
Manual
Disabled
Manual
Disabled
Disabled
Disabled
Manual
Manual
Manual
Automatic
Manual
Automatic
Automatic
Manual
Automatic
Manual
Manual
Manual
Automatic
Manual
Disabled
Manual
Disabled
Disabled
Automatic
Automatic
Disabled
Disabled
Manual
Disabled
Disabled
Manual
Automatic
Automatic
Disabled
Automatic
Manual
Disabled
Disabled
Disabled
Manual
Manual
Manual
Disabled
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
Windows Audio
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver
Extensions
Windows Time
Wireless Zero Configuration
WMI Performance Adapter
Workstation
Automatic
Automatic
Manual
Manual
Automatic
Manual
Disabled
Disabled
Manual
Automatic
Примечание!
Данный набор сервисов должен быть после установки и конфигурирования ОС. После
установки ПО банкомата в системе появятся службы, необходимые для его работы. Дополнительно
может быть установлен «Remote Access Service» (RAS) для подключения устройства по выделенным
линиям, GPRS и т.д.
Внимание!
После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы
изменения вступили в силу.
2.20. Назначение прав пользователя
Назначение прав пользователей необходимо производить в соответствии с нижеприведенной
таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies»
=> «User Rights Assignments».
Политика прав пользователей
Access this computer from the network
(Доступ к компьютеру из сети)
Adjust memory quotas for a process
(Настройка квот памяти для процесса)
Allow logon through Terminal Services
(Разрешать вход в систему через службу терминалов)
Back up files and directories
(Архивирование файлов и каталогов)
Change system time
(Изменение системного времени)
Create a pagefile
(Создание страничного файла)
Create a token object
(Создание маркерного объекта)
Create global objects
(Создание глобальных объектов)
Create permanent shared objects
(Создание постоянных объектов совместного
использования)
Debug programs
(Отладка программ)
Deny access to this computer from the network
© 2013
ООО «РУСОФТ»
Значение
Отказано ВСЕМ
Отказано ВСЕМ
Отказано ВСЕМ
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Группа «Administrators»
Отказано ВСЕМ
Группа «Administrators»
Отказано ВСЕМ
Отказано ВСЕМ
Группа «Everyone»
Стр. 29/33
Рекомендации по обеспечению безопасности банкоматов
(Отказ в доступе к компьютеру из сети)
Deny logon as batch job
(Отказ в качестве пакетного задания)
Deny logon as service
(Отказ в качестве службы)
Deny logon locally
(Отклонить локальный вход)
Deny logon through Terminal Services
(Отклонить вход в систему через службу терминалов)
Force shutdown from a remote system
(Принудительное завершение с удаленного
компьютера)
Increase scheduling priority
(Увеличение приоритета диспетчирования)
Load and unload device drivers
(Загрузка и выгрузка драйверов)
Log on as a batch job
(Вход к качестве пакетного задания)
Log on as a service
(Вход в качестве службы)
Log on locally
(Локальный вход в систему)
1/16/2016
v1.6
Группа «Everyone»
Группа «Everyone»
Пользователь «Guest»
Группа «Everyone»
Группа «Administrators»
Отказано ВСЕМ
Группа «Administrators»
Отказано ВСЕМ
Отказано ВСЕМ
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Manage auditing and security log
(Управление аудитом и журналом безопасности)
Modify firmware environment values
(Изменение параметров среды оборудования)
Perform volume maintenance tasks
(Запуск операций по обслуживанию тома)
Profile single process
(Профилирование одного процесса)
Profile system performance
(Профилирование загруженности системы)
Remove computer from docking station
(Извлечение компьютера из стыковочного узла)
Группа «Administrators»
Replace a process level token
(Замена маркера уровня процесса)
Restore files and directories
(Восстановление файлов и каталогов)
Shut down the system
(Завершение работы системы)
Отказано ВСЕМ
Take ownership of files or other objects
(Овладение файлами или иными объектами)
Группа «Administrators»
Группа «Administrators»
Группа «Administrators»
Группа «Administrators»
Группа «Administrators»
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Группа «Administrators»
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Примечание!
Значения прав пользователей, не вошедших в таблицу, остаются по умолчанию.
Внимание!
После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы
изменения вступили в силу.
© 2013
ООО «РУСОФТ»
Стр. 30/33
Рекомендации по обеспечению безопасности банкоматов
3.
1/16/2016
v1.6
КОНФИГУРИРОВАНИЕ BIOS SETUP БАНКОМАТА
После завершения установки прикладного ПО банкомата необходимо произвести необходимую
настойку BIOS SETUP компьютера.
Настройки BIOS SETUP компьютеров разных моделей могут производиться различными
способами, но все они должны содержать основные параметры, которые необходимо изменить. К
основным параметрам относятся:
Разрешить использование дисковода А для гибких дисков (Floppy A: Enabled);
Второй дисковод (дисковод В) — запрещен (Floppy B: Not Installed);
Второй жесткий диск HDD — запрещен (Slave Disk: Not Installed);
Запретить использование второго контролера (Secondary IDE Ctrl Drivers: Disabled);
Запретить использование режима управления питанием (Power Management: Disabled);
Запретить использование режима управления питанием для дисков (IDE Drivers Standby Timer:
Disable);
Запретить установку Secondary IDE (Disabled);
Num Lock — включен (ON);
Начальная загрузка системы (System Boot Up Sequence) производится с диска С, если есть
возможность выбора, то необходимо установить «Only С», если такой возможности нет, то
установить порядок загрузочных дисков — «С, А»;
Разрешить установку пароля на изменение SETUP (Password Checking);
Установить пароль (Passwords Supervisor) — произвольный набор из 6 символов.
Пример конфигурации BIOS SETUP.
1) Для настройки BIOS SETUP необходимо выключить банкомат, подсоединить стандартную
клавиатуру PC AT и включить его снова. При появлении на экране монитора строки Hit SPACE if you
want to run SETUP, нажмите клавишу «Пробел».
2) В открывшейся экранной форме Setup выберите раздел Standard и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
Setup/Standard/Floppy B: Not Installed
Setup/Standard/Slave Disk: Not Installed
3) В открывшейся экранной форме Setup выберите раздел Advanced и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
Setup/Advanced/System Boot Up Num Lock: On
Setup/Advanced/System Boot Up Sequence: C, A
Setup/Advanced/Password Checking: Setup
Setup/Advanced/Sec. IDE Ctrl Drives Installed: Disabled
4) В открывшейся экранной форме Setup выберите раздел PowerMgmt и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
PowerMgmt/Power Management Mode Select: Disabled
PowerMgmt/IDE Drives Standby Timer: Disabled
5) В открывшейся экранной форме Setup выберите раздел Peripheral и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
Peripheral/Programming Mode: Manual
Peripheral/Secondary IDE: Disabled
Peripheral/Parallel Port: Enabled
© 2013
ООО «РУСОФТ»
Стр. 31/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
6) В открывшейся экранной форме Passwords выделите раздел Supervisor и нажмите «Enter».
Далее, в открывшемся окне выполните следующие установки:
Supervisor/Password: Пароль из 6 символов
7) Нажмите «Escape». Из предложенного меню выберите Save changes and exit.
8) Выключите банкомат, подсоедините обратно штатную цифровую клавиатуру и включите
банкомат.
4.
УСТАНОВКА И КОНФИГУРИРОВАНИЕ МОДУЛЯ «СОФИТ-КОМ ЛАЙТ»
На банкомат должен быть установлен программный модуль «Софит-ком Лайт» для обеспечения
шифрованного обмена данными с Процессинговым Центром.
Для инсталляции ПО в виде сервиса, из каталога «Софит-ком Лайт» необходимо выполнить
команду: rcomm /install.
Настройки модуля «Софит-ком Лайт» хранятся в конфигурационном файле rcomm.ini :
TerminalAddress = 127.0.0.1
ListenPort = 8008
HOSTAddress = xxx.xxx.xxx.xxx
HOSTPort = xxxx
RunAsService= Y
указывается IP-адрес АТМ
указывается открытый IP-порт, на который устанавливает
соединение АТМ
указывается IP-адрес коммуникационного сервера ПЦ
указывается открытый IP-порт на сервере ПЦ, на который
устанавливает соединение модуль «Софит-ком Лайт»
признак запуска модуля в виде сервиса
Для деинсталляции сервиса RouterConnect «Софит-ком Лайт», из каталога «Софит-ком Лайт»
необходимо выполнить команду:
rcomm /remove
Внимание!
Установка криптографического ключа для шифрования трафика ПМ «Софит-ком Лайт»
осуществляется только уполномоченными офицерами безопасности банка.
5.
ОБЕСПЕЧЕНИЕ ФИЗИЧЕСКОЙ БЕЗОПАСНОСТИ БАНКОМАТОВ
Помещение с зоной обслуживания банкоматов с сейфом 1 (первого) класса устойчивости к взлому
должно отвечать требованиям правил и нормам противопожарной безопасности. Конструктивные
элементы помещений (стены, перекрытия, перегородки и т.п.) должны находиться в исправном
состоянии.
Свободное пространство, необходимое для установки, и служебные проходы определяются
технической документацией к банкоматам.
Пол должен иметь антистатическое покрытие, не образующее пыли и волокон.
Банкомат следует установить так, чтобы исключить попадание на экран прямых солнечных лучей.
Перекрытия должны выдерживать максимальный вес банкомата, обозначенный в технической
документации. Если требуется прикрепить банкомат к полу, то необходимо, чтобы пол был твердым
ровным и способным выдержать максимальный вес банкомата.
Температура и влажность воздуха при эксплуатации банкоматов определяются технической
документацией (отдельно для установки в помещениях и снаружи).
Наиболее распространенные требования к инженерным сетям:
максимальный потребляемый ток при установленных напряжениях питающей сети составляет
4.1A при напряжении сети 240 В;
© 2013
ООО «РУСОФТ»
Стр. 32/33
Рекомендации по обеспечению безопасности банкоматов
1/16/2016
v1.6
максимальный бросок тока при включении аппарата для данных напряжений составляет 150 A
(амплитудное значение) при напряжении 257 В;
банкомат может функционировать при следующих значениях напряжения питающей сети от 198
В до 257 В при частоте питающей сети 50/60 Гц.
Примечание
Дополнительные настройки операционной системы банкомата могут устанавливаться системным
администратором банка. Устанавливаемые дополнительные настройки не должны снижать безопасность
функционирования операционной системы, прикладного программного обеспечения и приводить к
сбоям в работе банкомата.
Для защиты программного обеспечения от вирусов, «шпионских» и «троянских» программ на
банкомате должен быть установлен «антивирусный модуль». Производителя и модель «антивирусного
модуля» банк выбирает самостоятельно в соответствии с политикой информационной безопасности
банка. Установка и настройка «антивирусного модуля» осуществляется специалистами банка и не
должна снижать безопасность функционирования операционной системы, прикладного программного
обеспечения и приводить к сбоям в работе банкомата.
Для защиты программного обеспечения от несанкционированного сетевого доступа на
банкомате может быть установлен дополнительный аппаратный либо программный модуль межсетевого
экрана. Производителя и модель межсетевого экрана банк выбирает самостоятельно в соответствии с
политикой информационной безопасности банка. Установка и настройка межсетевого экрана
осуществляется специалистами банка и не должна снижать безопасность функционирования
операционной системы, прикладного программного обеспечения и приводить к сбоям в работе
банкомата.
© 2013
ООО «РУСОФТ»
Стр. 33/33