Памятка по обеспечению информационной безопасности при
advertisement
Памятка по обеспечению информационной безопасности при использовании системы ДБО BS-Client . С целью обеспечения требований информационной безопасности обмен информацией между Банком и Клиентом осуществляется с применением средств криптографической защиты информации (далее -СКЗИ), реализующих электронную цифровую подпись (ЭЦП). Данным СКЗИ является Крипто Про, на основании алгоритмов которого осуществляется работа с криптографическими ключами во время сеанса работы в системе. Доступ к информации для входа в систему ДБО (логин/пароль) и ключам ЭЦП должен быть строго ограничен. Компрометация (утеря; ознакомление посторонних лиц; бесконтрольный доступ сотрудников организации, не связанных с использованием системы ДБО) указанных данных может привести к утечке конфиденциальной информации о деятельности организации Клиента, а также к хищению денежных средств. Храните в безопасности от посторонних лиц ключ электронно-цифровой подписи, а также перечень сеансовых ключей (при выборе данного типа дополнительной авторизации). Рекомендуется располагать ключевую информацию на съёмном носителе (предпочтительно на устройстве eToken), установить безопасный пароль на контейнер ключа. Носитель с ключом ЭЦП должен подключаться к компьютеру непосредственно перед сеансом связи с Банком и сразу же извлекаться после окончания сеанса связи Рабочее место пользователя (РМП) системы ДБО должно быть обеспечено надежной парольной защитой для запуска операционной системы (ОС). Пароль рекомендуется использовать длиной не менее 8 символов, с использованием букв в верхнем и нижнем регистре, цифр, а также специальных символов (!, @и т.д.). Не записывайте пароли и никому не сообщайте их. Периодически меняйте пароли на учетную запись пользователя в операционной системе и в системе ДБО. Должна быть настроена блокировка экрана с запросом пароля (при времени простоя более 15 минут). На РМП должно быть установлено только необходимое лицензионное ПО. Нелицензионное ПО может содержать программные закладки, вирусы или вредоносный код, о которых конечный пользователь может не иметь представления и не замечать во время работы в системе, однако все его действия могут фиксироваться и передаваться злоумышленнику. Следует устанавливать все доступные обновления для используемого ПО. На РПМ должно быть установлено лицензионное антивирусное ПО, настроенное на автоматическое обновление антивирусных баз и программных модулей. Обязателен постоянно работающий модуль контроля работающих и запускаемых программ. Перед установкой новых программ следует производить проверку инсталляционных пакетов антивирусным средством. Следует использовать функцию фильтрации трафика Интернетсоединений. При наличии встроенного брандмауэра – ограничить количество разрешенных портов ОС для работы в локальной сети и сети Интернет. На РМП должен вестись контроль учетных записей, обладающих правами «Администратора» в ОС. Количество таких учетных записей должно быть сведено к минимуму. Учетная запись пользователя системы ДБО должна обладать лишь необходимым уровнем прав для нормальной работы в ОС. Перегенерация ключа ЭЦП должна производиться лично пользователем системы ДБО, либо при консультировании сотрудником отдела поддержки системы ДБО Банка. Ознакомление с процедурой перегенерации посторонних лиц должно быть исключено. Доступ в помещение, в котором установлено РМП с системой ДБО, должен быть ограничен. Помещение в ночное время должно ставится под охрану. Не допускается: снимать несанкционированные копии с ключа ЭЦП; знакомить с логином/паролем лиц, не допущенных к работе со счетом организации; записывать на съёмный носитель, содержащий ключевую информацию, посторонние данные; оставлять съёмный носитель в РМП при завершении работы в системе ДБО; оставлять систему ДБО без внимания при удачном входе. В случае невозможности подключения к Системе, наличия ошибки с сообщением о техническом сбое или проводимых обновлениях Системы незаявленных Банком, а также в случае компрометации (или подозрении на компрометацию), при получении sms/email-сообщения о получении банком от вашего имени платежных поручений, в случае, если вы их не отправляли, следует незамедлительно обратиться в Банк, предпринять все необходимые меры по прекращению любых операций с использованием скомпрометированного ключа ЭЦП. При увольнении или переводе на другую должность сотрудника, ответственного за работу в системе ДБО, следует произвести внеплановую смену ключа. При смене номера мобильного телефона, который используется для получения кодов подтверждения при подписании электронных документов, а также для получения уведомлений о принятии и исполнении электронных документов, следует уведомить Банк, установленным договором способом. Не сообщайте никому, в том числе лицам, представившимися сотрудниками Банка коды подтверждения подписи электронных документов, а также пароль от контейнера ключа, логин/пароль от входа в систему ДБО. Для доступа к Системе Банка рекомендуется осуществлять информационное взаимодействие с применением заранее оговоренных индивидуальных дистанционно распознаваемых идентификационных признаков (статический IP- адрес, mac-адрес). Рекомендуется ограничить свой обмен только надежными информационными порталами и проверенными корреспондентами электронной почты. Воздержитесь от работы в Системе с компьютеров сторонних лиц и организаций (в гостях, в Интернет-кафе). Помните, что на них могут быть установлены программы-шпионы, запоминающие вводимые вами конфиденциальные данные. Избегайте пользоваться услугами Интернет-ресурсов сомнительного содержания. Проверяйте адреса Интернет-сайтов, к которым вы подключаетесь, т.к. злоумышленники могут использовать похожие названия для создания мошеннических ресурсов. Для получения достоверной информации об интернет-адресах кредитных организаций, Вы можете посетить сайт Банка России, где размещен список адресов официальных Webсайтов. В случае обнаружения Вами ложного сайта кредитной организации или получения от ее имени подозрительного электронного сообщения, пожалуйста, сообщите об этом персоналу Банка: по телефону (8342) 77-77-84, 47-60-15.
