Рекомендации по защите информации в системе CONTACT

Рекомендации по защите информации Участниками Системы CONTACT.
Уважаемые коллеги, напоминаем Вам о необходимости соблюдать принципы обеспечения
информационной безопасности при эксплуатации программного обеспечения CONTACT NG с целью защиты
информации от воздействия вредоносного кода и исключения случаев несанкционированного доступа к рабочему
месту, с целью недопущения осуществления переводов денежных средств лицами, не обладающими правом
распоряжения этими денежными средствами.
В связи с этим направляем Вам рекомендации по соблюдению требований по обеспечению мер
информационной безопасности рабочих мест (РМ) и иного компьютерного оборудования:
Требования по защите ПО РМ КЛИЕНТА от несанкционированного доступа (НCД):
1.
2.
3.
4.
5.
6.
7.
8.
Защита ПО РМ КЛИЕНТА - участника системы (УС) и носителей ключевой информации от
несанкционированного доступа осуществляется с целью исключения возможностей:
 появления в компьютерах, на которых установлено программного обеспечение CONTACT NG,
компьютерных вирусов и программ, направленных на разрушение, нарушение работоспособности
или модификацию ПО Системы, либо на перехват информации;
 внесения несанкционированных изменений в технические и программные средства Системы, а
также в их состав;
 внесения несанкционированных изменений в электронные документы (ЭД).
Программное обеспечение автоматизированного рабочего места участника системы CONTACT NG
рекомендуется устанавливать на отдельный, специально выделенный для этих целей персональный
компьютер. В обязательном порядке должна быть обеспечена защита данного компьютера от сетевых
атак и антивирусная защита.
В целях защиты РМ КЛИЕНТА от несанкционированного доступа на компьютеры рекомендуется
установить программно-аппаратный комплекс защиты от несанкционированного доступа.
Рекомендуется сформировать с помощью комплекса защиты от НСД функционально замкнутую среду,
обеспечивающую контроль целостности ПО и допускающую работу пользователей строго в рамках,
предоставляемых им возможностей и полномочий. Защите подлежат системные и загрузочные файлы,
а также файлы, связанные с работой средств криптографической защиты информации (СКЗИ).
На ЭВМ не должны устанавливаться средства разработки ПО и отладчики.
Следует принять меры, препятствующие несанкционированному вскрытию системных блоков
персональных компьютеров, входящих в состав РМ КЛИЕНТА.
Права администратора программно-аппаратных средств защиты от НСД предоставляются сотруднику,
ответственному за обеспечение безопасности РМ. Указанный сотрудник формирует права доступа для
каждого пользователя Системы, участвующего в работе с системой CONTACT NG и использовании
носителей ключевой информации.
Для защиты компьютеров РМ от НСД также должны использоваться штатные возможности
операционной системы.
Требования по организации хранения и использования носителей ключевой информации:
1.
2.
3.
4.
5.
КЛИЕНТ - участник системы (УС) должен самостоятельно генерировать криптографические ключи.
Носители ключевой информации должны храниться только у тех лиц, которым они принадлежат.
Порядок хранения и использования носителей ключевой информации с ключами электронной подписи
должен исключать возможность несанкционированного доступа к ним.
Список лиц, имеющих доступ к носителям ключевой информации, определяется приказом или
распоряжением руководства КЛИЕНТА, согласно закрепленными за ними функциями и
полномочиями.
Во время работы с носителями ключевой информации доступ к ним посторонних лиц должен быть
исключен.
1
6.
7.
8.
9.
Для хранения носителей ключевой информации должны устанавливаться надежные металлические
сейфы.
По окончании рабочего дня, а также вне времени сеансов связи с системой CONTACT носители
ключевой информации должны храниться в сейфе.
Хранение носителей ключевой информации допускается в одном сейфе с другими документами, при
этом отдельно от них и в упаковке, исключающей возможность негласного доступа к ним посторонних
лиц.
Не разрешается:
 передавать носители ключевой информации лицам, к ним не допущенным;
 выводить ключи электронной подписи на дисплей или принтер;
 вставлять носитель ключевой информации в считывающее устройство компьютера в режимах, не
предусмотренных функционированием РМ, а также в считывающие устройства других
компьютеров;
 оставлять носитель ключевой информации без присмотра на рабочем месте;
 записывать на носитель ключевой информации посторонние файлы.
Практические рекомендации по защите РМ от несанкционированного доступа:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Рекомендуется полностью блокировать сетевой доступ к ресурсам РМ (в том числе и удаленный вход в
сеть) с других рабочих станций локальной сети и, в особенности, из внешних сетей. С этой целью
рекомендуется установить и настроить соответствующим образом персональный межсетевой экран.
Рекомендуется ограничить использование сети Интернет пользователями РМ, т.е. ограничить список
доступных для соединения адресов, например, разрешить только соединение с сервером системы
CONTACT NG. С этой целью также лучше всего использовать установленный персональный
межсетевой экран.
На РМ должна быть осуществлена настройка обозревателя Интернета для запрета автоматической
загрузки и запуска файлов из сети Интернет, автоматической загрузки неподписанных элементов
ActiveX.
В обязательном порядке должно быть установлено и регулярно обновляться антивирусное
программное обеспечение. Рекомендуется установить по умолчанию максимальный уровень политик
безопасности, т.е. не требующий ответов пользователя при обнаружении вирусов.
В обязательном порядке должно должна производиться установка обновлений безопасности
операционных систем на РМ (желательно в автоматическом режиме).
Пользователи РМ, работающие с системой не должны иметь прав администратора, с целью
ограничения возможностей установки под этими учетными записями программного обеспечения на
компьютере. Доступ к файловым ресурсам компьютера, особенно на запись, должен быть ограничен
минимально необходимыми правами. Пользователи должны запускать только те приложения, которые
им разрешены.
Пользователи РМ должны быть в обязательном порядке проинструктированы по вопросам соблюдения
основных требований безопасности и, в особенности, по вопросам использования антивирусных
программ.
Локальными (или доменными) политиками на компьютере рекомендуется ограничить список
пользователей, имеющих возможность входа в операционную систему.
Рекомендуется ограничить или полностью отказаться от приема внешней (из Сети Интернет)
электронной почты. В обязательном порядке получаемая почта должна проверяться антивирусными
средствами.
На компьютере должна быть установлена только одна ОС.
Средствами BIOS компьютера следует исключить возможность загрузки операционной системы,
отличной от установленной на жестком диске, т.е. должна быть отключена возможность загрузки с
дискет, CD/DVD приводов, USB flash дисков, загрузка по сети и т.п.
Доступ к изменению настроек BIOS должен быть защищен паролем.
Пользователям операционной системы должны быть назначены пароли. Длина паролей должна
составлять не менее шести символов. Срок действия паролей должен быть ограничен.
Рекомендуется опечатать системный блок компьютера для предотвращения его несанкционированного
вскрытия.
Для ограничения доступа к компьютеру, проверки целостности используемого ПО рекомендуется
установить и настроить на компьютер программно-аппаратный комплекс защиты от НСД («Аккорд»,
«Соболь» и т.п.).
2
16.
17.
18.
Рекомендуется хранить ключи только на отдельных съемных носителях информации, и не
использовать их для других целей. Вставлять носители в дисководы только непосредственно при
работе с системой в моменты выполнения операций подписания или обмена с Системой CONTACT, по
завершении операции необходимо извлечь данный носитель. Не подключайте носители с ключевой
информацией к другим компьютерам.
Не рекомендуется подключать к РМ внешние устройства, в том числе носители информации, не
предусмотренные производственной необходимостью.
Для повышения уровня безопасности хранения секретных ключей ЭП используйте устройства строгой
аутентификации и хранения данных, такие как eToken или Rutoken, выполненных в виде USB-брелока
или смарт-карты.
Общие требования по учету СКЗИ:
1.
2.
3.
4.
5.
6.
Необходимо вести Журнал поэкземплярного учета СКЗИ и ключевых носителей к ним.
Уничтожение ключей электронной подписи может производиться путем физического уничтожения
ключевого носителя, на котором они расположены, или путем стирания без повреждения ключевого
носителя (для обеспечения возможности его многократного использования).
После плановой смены ключей или компрометации ключей пользователи СКЗИ уничтожают
выведенные из действия ключи электронной подписи со всех магнитных после момента вывода ключей
из действия. Об уничтожении ключей делается соответствующая запись в Журнале учета.
Порядок гарантированного уничтожения ключа электронной подписи описан в руководстве по работе с
USB eToken или Rutoken.
Уничтожение (утилизация) персонального аппаратного криптопровайдера осуществляется путем
физического разрушения его внутренних микросхем.
В случае уничтожения (утилизации) USB-токена или смарт-карты должен быть составлен акт по
форме, установленной формы.
Дополнительные меры безопасности в Системе CONTACT:
1.
2.
3.
4.
5.
Необходимо помнить о риске хищения ключей. В случае использования ключей на съемных носителях
рекомендуется включение режима, ограничивающего доступ в систему CONTACT NG с определенного
фиксированного IP адреса.
Реализован механизм ограничения доступа по IP адресам. При необходимости Вы можете предоставить
диапазон внешних или внутренних IP-адресов серверов, взаимодействующих напрямую с Оператором
Системы CONTACT. После этого доступ к серверу CONTACT с любых других IP адресов будет
запрещен. Ограничение по внутренним IP адресам возможно только для участников, использующих
CONTACT NG. Информацию необходимо направить в виде официального письма на адрес:
ddps@russlavbank.com с дальнейшей досылкой по почте (шаблон письма – Приложение №1). Если Вы
являетесь банковским платежным агентом АКБ «РУССЛАВБАНК» (ЗАО) информацию необходимо
направить в виде официального письма на адрес: agent@russlavbank.com с дальнейшей досылкой по
почте.
В специализированном программном обеспечении CONTACT NG реализована возможность
использования Участниками электронных ключей eToken PRO
– средств аутентификации и
защищенного хранения пользовательских данных, аппаратно поддерживающих работу с цифровыми
сертификатами и электронной подписью (ЭП). Применение eToken PRO позволяет реализовать
безопасное хранение ключа электронной подписи. Обращаем Ваше внимание, что организация
процесса применения Вами eToken, в т.ч. их приобретение, является полностью Вашей зоной
ответственности и осуществляется за Ваш счет.
Реализована возможность организовать защищенное SSL соединение между сервером приложений
CONTACT NG и клиентским приложением CONTACT NG с использованием Ваших
криптографических RSA-ключей. Использование данной возможности позволяет:
 обеспечить передачу данных в зашифрованном виде и в рамках Вашей сети;
 снизить риски подключения к серверу приложений с несанкционированных рабочих мест;
 снизить риски подключения с рабочих мест к "ложному" серверу приложений.
Защищенное SSL соединение возможно только для участников, использующих CONTACT NG.
В специализированном программном обеспечении CONTACT NG реализована возможность
установления Участником самостоятельно предельных размеров обязательств (лимитов).
3
Возможно установление лимитов одновременно по банку, филиалу и точке либо установление
лимитов по одному из указанных типов подразделений.
 Установление лимитов по банку означает установление лимита для каждой точки банка.
 Установление лимитов по филиалу означает установление лимита для каждой точки
филиала.
 Установление лимитов по точке позволяет установить индивидуальные ограничения для
точки.
При этом будет действовать наиболее жесткое ограничение, установленное Участником. При
наличии более жестких ограничений, установленных Оператором Системы, действуют данные
ограничения.
Настройка установления лимитов доступна в ПО CONTACT NG: строка меню «Сервис» специально созданный раздел «Лимиты». Лимиты возможно установить на единичные операции
по определенному виду услуг, а также в целом на операционный день. Лимиты устанавливаются
в трех валютах: рубли РФ, доллары США и евро.
Лимиты возможно при необходимости изменять. Установление лимитов позволит Вам снизить
риск мошеннических действий при осуществлении переводов по Системе CONTACT, в т.ч.
позволит снизить размер потерь при осуществлении мошеннических действий в отношении Вас.
В случае подозрения на компрометацию ключа необходимо незамедлительно связаться с Оператором
Системы для блокировки ключа по адресу: crl@russlavbank.com, по телефону: +7(495) 660-75-32.
Сентябрь 2014 г.
ООО НКО «Рапида» - Оператор Платежной Системы CONTACT
4