Интернет-Клиент-Банк

Рекомендации Клиенту для обеспечения безопасности информации
при использовании систем «Клиент-Банк» и «Интернет-Клиент-Банк»
(в новой редакции)
1. При работе с системами «Клиент-Банк» и «Интернет-Клиент-Банк» Клиент
в обязательном порядке должен соблюдать следующие рекомендации:
1.1. обеспечить безопасность персонального компьютера, с помощью которого
осуществляется доступ в Подсистему «Клиент»/«Интернет-Клиент», в том числе:
1.1.1. устанавливать Подсистему «Клиент»/«Интернет-Клиент» на персональный
компьютер с лицензионной операционной системой и регулярно осуществлять
официальные обновления операционной системы;
1.1.2. для защиты операционной системы использовать лицензионное антивирусное
программное обеспечение (например, Kaspersky, Dr.Web, Symantec, Avira, ESET NOD 32,
McAfee и др.) и ограничить доступ к настройки антивируса паролем;
1.1.3. ежедневно обновлять антивирусные базы, а также регулярно (например, на
еженедельной основе) производить полную проверку персонального компьютера на
вирусы и другие программы деструктивного действия;
1.1.4. настроить ограничение доступа с персонального компьютера только к
адресам Банка в сети Интернет;
1.1.5. категорически запрещается:
- не устанавливать и исключить установку программ удаленного доступа к
персональному компьютеру (например, TeamViewer, Radmin, Ammyy Admin др.), а также
любые другие нелицензионные программы, использующие всевозможные «крэки» и
генераторы ключей;
- посещать социальные сети (например, ВКонтакте, Одноклассники, Facebook и
др.), различные форумы и чаты;
- устанавливать и использовать программное обеспечение для облачного хранения
(например, GoogleDisk, YandexDisk, DropBox, Mail cloud и др.);
- устанавливать и использовать программы, обеспечивающие голосовую и видео
связь (например, Skype, Viber, Microsoft Lync и т.п.) и программы мгновенного обмена
сообщениями (например, ICQ, QIP, Mail.ru agent, Miranda и т.п.);
1.1.6. ограничить или полностью отказаться от приема внешней (из сети Интернет)
электронной почты. В случае приема внешней электронной почты получаемая почта в
обязательном порядке должна проверяться антивирусом;
1.1.7. пользователи Системы не должны иметь прав администратора, доступ
пользователей к файловым ресурсам компьютера должен быть ограничен минимально
необходимыми правами доступа;
1.1.8. использовать пароль для входа в персональный компьютер, который должен
отвечать требованиям, предусмотренном п. 1.4.1 настоящего Приложения.
При отсутствии необходимости работы с персональным компьютером (в том числе
при временном отсутствии на рабочем месте) необходимо осуществлять блокирование
операционной системы одним из следующих способов:
- одновременно нажать клавиши CTRL+ALT+DEL, далее в диалоговом окне
нажать «Блокировать компьютер»;
- одновременно нажать клавиши «Windows» + L»;
1.1.9. каждый Владелец сертификата ключа проверки ЭП для доступа к
персональному компьютеру, с которого предполагается доступ к Подсистеме «Клиент»/
«Интернет-Клиент», должен использовать собственную учетную запись. Передача
учетной записи третьим лицам для доступа к персональному компьютеру недопустима;
1.1.10. настраивать блокировку учетной записи после 6 (шести) (или менее шести)
неудачных попыток входа. Учетная запись в такой ситуации должна автоматически
блокироваться, например, на 10 минут или до момента разблокировки учетной записи
системным администратором;
1.1.11. избегать работы с Системой с персонального компьютера, не вызывающего
доверие (в Интернет-кафе, другого общедоступного компьютера, компьютера,
принадлежащего третьим лицам и т.п.), а также использование для работы с Системой
публичных беспроводных сетей (например, бесплатный Wi-Fi и т.п.);
1.1.12. по окончании рабочего дня необходимо завершить работу с персональным
компьютером (выключить компьютер);
1.2. обеспечить безопасность при работе с системами «Клиент-Банк» и
«Интернет-Клиент-Банк», в том числе:
1.2.1. вход в Подсистему «Интернет-Клиент» осуществлять исключительно с
официального web-сайта Банка в сети Интернет: https://clbank.sngb.ru.
Внимание: Банк никогда не помещает ссылки на страницу входа в систему
«Интернет-Клиент-Банк» в исходящей корреспонденции;
1.2.2. если адрес официального web-сайта Банка отличается или имеются причины,
вызывающие подозрение в подлинности сайта (например, сообщение web-браузера о
перенаправлении на другой сайт), необходимо незамедлительно прекратить операцию по
входу в Подсистему «Интернет-Клиент» и сообщить о данном факте в Банк по телефону,
указанному в Договоре;
1.2.3. ежедневно просматривать созданные и отправленные в течение дня ЭД на
предмет отсутствия несанкционированных ЭД. При обнаружении несанкционированных
ЭД необходимо незамедлительно обратиться в Банк;
1.2.4. после окончании работы с Системой необходимо обязательно завершить
сеанс связи и выйти из Подсистемы «Клиент»/«Интернет-Клиент»;
1.3. обеспечить безопасность при работе с внешним ключевым носителем, в
том числе:
1.3.1. осуществлять поэкземплярный учет внешних ключевых носителей,
дистрибутивов и регистрировать их копии;
1.3.2. устанавливать внешний ключевой носитель в usb-порт персонального
компьютер только в момент подписания ЭД или получения информации из Банка (и при
входе в Подсистему «Интернет-Клиент-Банк»). Запрещается держать внешний ключевой
носитель постоянно подключенным к персональному компьютеру;
1.3.3. вне времени сеансов связи с Банком, а также по окончании рабочего дня
хранить внешний ключевой носитель в сейфе или иное хранилище, обеспечивающее его
сохранность и исключающее вероятность непреднамеренного уничтожения информации
или ознакомления с ней посторонних лиц. Доступ посторонних лиц к внешнему
ключевому носителю может привести к несанкционированному Клиентом получению
посторонними лицами сведений, содержащих банковскую тайну, и/или может привести к
несанкционированным Клиентом операциям с использованием Системы;
1.3.4. осуществлять транспортировку внешнего ключевого носителя при условиях,
обеспечивающих защиту от физических повреждений и внешнего воздействия на
информацию, записанную на внешний ключевой носитель;
1.4. обеспечить безопасность при использовании имя пользователя (логина) и
пароля для доступа в Подсистему «Клиент»/«Интернет-Клиент» и использовании
защищенного ключевого носителя, в том числе:
1.4.1. регулярно (не менее 1 раза в 2 месяца) инициировать смену паролей (и в
обязательном порядке при его компрометации (подозрения на компрометацию)) с учетом
следующего:
- длина пароля должны быть не менее 8 символов;
- в пароле обязательно должны присутствовать заглавные и прописные (верхнего и
нижнего регистра) символы, цифры, а также специальные символы (например, #, %, * и
т.п.);
- в качестве пароля не следует использовать повторяющуюся комбинацию из
нескольких символов, либо комбинацию символов, набираемых в закономерном порядке
(например, dddddd, 333444555, qwerty, 12345, abc123 и т.п.);
- в качестве пароля не следует использовать имя, фамилию, день рождения и
другие памятные даты (в том числе членов семьи), номер телефона, автомобиля, адрес
места жительства и другие данные, которые могут быть подобраны злоумышленниками
путем анализа информации о пользователе;
- пароль не должен состоять из русских слов, набранных в английской кодировке
(например, Сергей – sergey);
- пароль не должен совпадать с предыдущими паролями и не должен совпадать с
именем входа в персональный компьютер.
Не допускается использование стандартных паролей доступа, т.е. тех, которые
были назначены по умолчанию производителем/разработчиком (данные пароли должны
бать незамедлительно изменены);
1.4.3. не сообщать пароль посторонним лицам, в том числе коллегам,
родственникам и представителям Банка. Разглашение пароля может привести к
несанкционированному Клиентом получению посторонними лицами сведений,
содержащих банковскую тайну, и/или может привести к несанкционированным Клиентом
операциям с использованием Системы.
Внимание: Представитель Банка не имеет права запрашивать пароль, Банк никогда
не отправляет сообщений с просьбой уточнить или предоставить пароль;
1.4.4. не разрешайте программному обеспечению персонального компьютера
запоминать пароли, используемые для работы в Подсистеме «Клиент»/ «ИнтернетКлиент»;
1.4.5. для хранения пароля использовать сейф или иное хранилище,
обеспечивающее его сохранность и исключающее вероятность непреднамеренного
уничтожения информации или ознакомления с ней посторонних лиц.
2. При эксплуатации СКЗИ Клиенту необходимо:
2.1. приказом назначить работников, ответственных за обеспечение безопасности
информации и эксплуатации СКЗИ, а также за учет и хранение внешних ключевых
носителей;
2.2. разработать локальные нормативные акты, регламентирующие вопросы
безопасности информации и эксплуатации СКЗИ;
2.3. к работе с программным комплексом и СКЗИ допускать работников, имеющих
навыки работы на персональном компьютере и ознакомленных с предоставленными
Банком правилами эксплуатации программного комплекса и СКЗИ;
2.4. помещения, в которых размещаются программно-технические средства
Подсистемы
«Клиент»/«Интернет-Клиент»
и
СКЗИ,
должны
обеспечивать
конфиденциальность проводимых работ и исключать возможность бесконтрольного
проникновения в них посторонних лиц;
2.5. размещать оборудование, технические средства, предназначенные для
обработки конфиденциальной информации, в помещении, соответствующем требованиям
техники безопасности, санитарным нормам и требованиям пожарной безопасности;
2.6. размещать технические средств в помещении исключающем возможность
визуального просмотра посторонними лицами конфиденциальной информации, в том
числе с экранов мониторов, на которых она отображается;
2.7. ремонт и/или последующее использование системных блоков осуществлять
после удаления с них программного комплекса СКЗИ.
Внимание: Остерегайтесь мошенничества!
1. Банк никогда не связывается по телефону и не осуществляет рассылки
сообщений по смс и/или e-mail с просьбой предоставить, подтвердить или уточнить
конфиденциальную информацию (пароли, логины, и пр.).
2. Банк никогда не связывается с просьбой установить или обновить программное
обеспечение. Банк никогда не рассылает программы для установки посредством
электронной почты (запрещается открывать подозрительные файлы, полученные по
электронной почте).
3. Банк никогда не направляет сообщений о блокировке/разблокировке учетной
записи. Банк никогда не направляет сообщения с просьбой войти в Подсистему «Клиент»/
«Интернет-Клиент» по указанной в сообщении ссылке.
4. При получении подозрительного сообщения от имени Банка не стоит на него
отвечать и переходить по ссылкам, указанным в подозрительном сообщении (даже если
адрес похож на адрес web-сайта Банка). Рекомендуется немедленно сообщить о данном
факте в Банк по телефону, указанному в Договоре. При этом никогда не связывайтесь с
Банком по телефону указанному в подозрительном сообщении.
5. Обращайте внимание:
- на появление подозрительной активности на персональном компьютере
(например, самопроизвольные движение курсора на экране, набор текста и т.п.);
- на невозможность зайти на web-сайт Банка, при том, что другие Интернет-сайты
загружаются:
- на невозможность войти в Подсистему «Клиент»/ «Интернет-Клиент» по причине
несовпадения логина и пароля, при том, что они корректны;
- на «зависания» Подсистемы «Клиент»/ «Интернет-Клиент» при нормальной
работе других Интернет сайтов;
- на появление на мониторе экрана персонального компьютера запроса о вводе
пароля для использования ключевого носителя (если запрос на пароль не обусловлен
действиями Владельца сертификата ключа проверки ЭП);
- на появление на персональном компьютере учетной записи, отличной от учетной
записи Владельца сертификата ключа проверки ЭП.;
- на случаи непроизвольного (самостоятельного) отключения персонального
компьютера (в данном случае не допускается осуществлять самостоятельное включение
персонального компьютера, необходимо
незамедлительно обратиться в Банк за
получением дальнейших рекомендаций).
Указанные факты могут свидетельствовать о заражении компьютера вредоносными
программами или о возможности доступа к персональному компьютеру третьих лиц.
6. Избегайте работы с Подсистемой «Клиент»/ «Интернет-Клиент» с зараженного
персонального компьютера. Если на зараженном персональном компьютере уже
осуществлялась работа, то необходимо незамедлительно заблокировать учетную запись
самостоятельно или при помощи работника Банка.