Памятка по обеспечению информационной безопасности при

реклама
Памятка по обеспечению информационной безопасности
при использовании системы ДБО BS-Client .
С целью обеспечения требований информационной безопасности обмен
информацией между Банком и Клиентом осуществляется с применением
средств криптографической защиты информации (далее -СКЗИ), реализующих
электронную цифровую подпись (ЭЦП). Данным СКЗИ является Крипто Про, на
основании алгоритмов которого осуществляется работа с криптографическими
ключами во время сеанса работы в системе.
Доступ к информации для входа в систему ДБО (логин/пароль) и ключам
ЭЦП должен быть строго ограничен. Компрометация (утеря; ознакомление
посторонних лиц; бесконтрольный доступ сотрудников организации, не
связанных с использованием системы ДБО) указанных данных может привести
к утечке конфиденциальной информации о деятельности организации
Клиента, а также к хищению денежных средств.
Храните в безопасности от посторонних лиц ключ электронно-цифровой
подписи, а также перечень сеансовых ключей (при выборе данного типа
дополнительной авторизации).
Рекомендуется располагать ключевую информацию на съёмном
носителе (предпочтительно на устройстве eToken), установить безопасный
пароль на контейнер ключа.
Носитель с ключом ЭЦП должен подключаться к компьютеру
непосредственно перед сеансом связи с Банком и сразу же извлекаться после
окончания сеанса связи
Рабочее место пользователя (РМП) системы ДБО должно быть
обеспечено надежной парольной защитой для запуска операционной системы
(ОС). Пароль рекомендуется использовать длиной не менее 8 символов, с
использованием букв в верхнем и нижнем регистре, цифр, а также
специальных символов (!, @и т.д.). Не записывайте пароли и никому не
сообщайте их. Периодически меняйте пароли на учетную запись пользователя
в операционной системе и в системе ДБО.
Должна быть настроена блокировка экрана с запросом пароля (при
времени простоя более 15 минут).
На РМП должно быть установлено только необходимое лицензионное
ПО. Нелицензионное ПО может содержать программные закладки, вирусы или
вредоносный код, о которых конечный пользователь может не иметь
представления и не замечать во время работы в системе, однако все его
действия могут фиксироваться и передаваться злоумышленнику.
Следует устанавливать все доступные обновления для используемого
ПО.
На РПМ должно быть установлено лицензионное антивирусное ПО,
настроенное на автоматическое обновление антивирусных баз и программных
модулей. Обязателен постоянно работающий модуль контроля работающих и
запускаемых программ. Перед установкой новых программ следует
производить проверку инсталляционных пакетов антивирусным средством.
Следует использовать функцию фильтрации трафика Интернетсоединений. При наличии встроенного брандмауэра – ограничить количество
разрешенных портов ОС для работы в локальной сети и сети Интернет.
На РМП должен вестись контроль учетных записей, обладающих
правами «Администратора» в ОС. Количество таких учетных записей должно
быть сведено к минимуму. Учетная запись пользователя системы ДБО должна
обладать лишь необходимым уровнем прав для нормальной работы в ОС.
Перегенерация ключа ЭЦП должна производиться лично пользователем
системы ДБО, либо при консультировании сотрудником отдела поддержки
системы ДБО Банка. Ознакомление с процедурой перегенерации посторонних
лиц должно быть исключено.
Доступ в помещение, в котором установлено РМП с системой ДБО,
должен быть ограничен.
Помещение в ночное время должно ставится под охрану.
Не допускается:
снимать несанкционированные копии с ключа ЭЦП;
знакомить с логином/паролем лиц, не допущенных к работе со
счетом организации;
записывать на съёмный носитель, содержащий ключевую
информацию, посторонние данные;
оставлять съёмный носитель в РМП при завершении работы в
системе ДБО;
оставлять систему ДБО без внимания при удачном входе.
В случае невозможности подключения к Системе, наличия ошибки с
сообщением о техническом сбое или проводимых обновлениях Системы
незаявленных Банком, а также в случае компрометации (или подозрении на
компрометацию), при получении sms/email-сообщения о получении банком от
вашего имени платежных поручений, в случае, если вы их не отправляли,
следует незамедлительно обратиться в Банк, предпринять все необходимые
меры
по
прекращению
любых
операций
с
использованием
скомпрометированного ключа ЭЦП.
При увольнении или переводе на другую должность сотрудника,
ответственного за работу в системе ДБО, следует произвести внеплановую
смену ключа.
При смене номера мобильного телефона, который используется для
получения кодов подтверждения при подписании электронных документов, а
также для получения уведомлений о принятии и исполнении электронных
документов, следует уведомить Банк, установленным договором способом.
Не сообщайте никому, в том числе лицам, представившимися
сотрудниками Банка коды подтверждения подписи электронных документов, а
также пароль от контейнера ключа, логин/пароль от входа в систему ДБО.
Для доступа к Системе Банка рекомендуется осуществлять
информационное взаимодействие с применением заранее оговоренных
индивидуальных
дистанционно
распознаваемых
идентификационных
признаков (статический IP- адрес, mac-адрес). Рекомендуется ограничить свой
обмен только надежными информационными порталами и проверенными
корреспондентами электронной почты.
Воздержитесь от работы в Системе с компьютеров сторонних лиц и
организаций (в гостях, в Интернет-кафе). Помните, что на них могут быть
установлены
программы-шпионы,
запоминающие
вводимые
вами
конфиденциальные данные.
Избегайте пользоваться услугами Интернет-ресурсов сомнительного
содержания. Проверяйте адреса Интернет-сайтов, к которым вы
подключаетесь, т.к. злоумышленники могут использовать похожие названия
для создания мошеннических ресурсов. Для получения достоверной
информации об интернет-адресах кредитных организаций, Вы можете
посетить сайт Банка России, где размещен список адресов официальных Webсайтов. В случае обнаружения Вами ложного сайта кредитной организации или
получения от ее имени подозрительного электронного сообщения, пожалуйста,
сообщите об этом персоналу Банка: по телефону (8342) 77-77-84, 47-60-15.
Скачать