Главная
страница 1

Памятка по обеспечению безопасности работы систем дистанционного банковского обслуживания



Новикомбанк придает большое значение обеспечению безопасности доступа к средствам Клиентов. Пожалуйста, внимательно прочитайте нижеизложенную информацию и следуйте нашим рекомендациям.

В последнее время в банках участились попытки хищения денежных средств со счетов юридических лиц, использующих системы дистанционного банковского обслуживания.

Обратите внимание! Согласно статистике, наиболее часто попытки хищения средств осуществляются:

  • сотрудниками организаций, в том числе уволенными, имеющими или имевшими доступ к носителям ключей ЭП (дискетам, флеш-носителям, жестким/сетевым дискам и пр.), а также доступ к компьютерам, с которых осуществляется работа с системой ДБО;

  • ИТ-специалистами (штатными и внештатными), оказывающими (или оказывавшими ранее, в т.ч. однократно) различные ИТ-услуги по поддержке, подключению к сети Интернет, установке, обновлению и поддержке различных программ (бухгалтерских, правовых, информационных и др.) на компьютерах, с которых осуществляется работа с системой ДБО;

  • мошенниками, с использованием сети Интернет, путем заражения компьютеров различными вирусами и вредоносным программным обеспечением (используя «бреши» в безопасности компьютеров и корпоративной сети организации), с последующим хищением через Интернет ключей ЭП и средств доступа к системе ДБО.

Во всех перечисленных случаях мошенники, завладев ключами ЭП и средствами доступа к системе ДБО Клиента, направляют от его имени в банк различные платежи в адрес физических и юридических лиц.

После того, как Банк передал Вам средства доступа к системе ДБО (логин/пароль) и ключи электронной подписи (ЭП), конфиденциальность полученных Банком данных по системе ДБО полностью зависит от того насколько ответственно Вы отнесётесь к их использованию и хранению, а также к защите компьютеров, с которых осуществляется работа с системой ДБО.

Для снижения риска несанкционированного доступа к системе ДБО рекомендуем Вам осуществить следующие организационные и технические меры:



  1. Обеспечить безопасность носителей с ключами ЭП, используемых в системах ДБО:

    1. Для хранения ключей ЭП использовать только внешние носители (дискеты, флеш-накопители, USB-eToken), а не жёсткие/сетевые диски компьютера. Доступ к ключевым носителям должен быть строго ограничен: лица, обладающие правом подписи на документах, бухгалтер, работающий с системой ДБО по доверенности - далее «уполномоченные лица».

Хорошей практикой является хранение вышеуказанных носителей в сейфе в опечатанном контейнере. Целостность печати (пломбы) должна ежедневно, в начале рабочего дня, контролироваться руководителем организации или уполномоченным лицом. После завершения работы ключевой носитель помещается в контейнер и заново опечатывается (пломбируется) уполномоченным лицом.

    1. Не использовать носители с ключами ЭП для каких-либо других целей (в частности, не хранить на них любую другую информацию).

    2. Извлекать носители с ключами ЭП из компьютера каждый раз после завершения их использования (т.е. носители с ключами ЭП должны находиться в компьютере только в момент подписания) – даже если работа в системе ДБО продолжается, носители должны быть извлечены из компьютера сразу после окончания подписания документов.

Не допускать (даже на минимальное время) нахождение носителей с ключами ЭП:

      • установленными в компьютер, если Вы их не используете;

      • в открытом доступе (например, на столе) в тот момент, когда они не находятся в зоне «прямой видимости» – в случае необходимости отлучиться от рабочего места поместите носители с ключами ЭП в защищённое место (например, в сейф).

    1. Не передавать носители ключей ЭП кому-либо, в том числе ИТ-специалистам для проверки работы системы, настроек взаимодействия с Банком и т.п. При необходимости таких проверок владелец ЭП (уполномоченное лицо) обязан лично подключать носитель с ключами ЭП к компьютеру.

        1. Обеспечить безопасность средств доступа (логин/пароль), используемых в системе ДБО:

          1. Не допускать использования простых паролей (123456, qwerty и др.) – использовать различные сложные комбинации из букв (в т.ч. в разных регистрах) и цифр, не расположенных «подряд» на клавиатуре.

          2. Осуществлять регулярную (минимум – 1 раз в месяц) смену паролей, используемых в системе ДБО.

          3. Не назначать пароль, используемый в системе ДБО, в любых других системах и сервисах.

          4. Не сообщать логин или пароль, используемый в системе ДБО, кому-либо, в том числе ИТ-специалистам для проверки работы системы, настроек взаимодействия с Банком и др. При необходимости таких проверок владелец средств доступа обязан лично вводить свои логин и пароль в системе ДБО.

Не записывайте пароли на бумажных листках или в текстовых файлах на компьютере, не оставляйте их в легкодоступных местах (на рабочем столе), не передавайте их третьим лицам. Если есть необходимость – храните все пароли, записанными на одном листе, в сейфе, в опечатанном контейнере вместе с ключевым носителем.

Рекомендуем Вам незамедлительно сменять пароль и осуществлять перегенерацию ключей ЭП (используя соответствующие возможности системы ДБО) или обращаться в Банк за выдачей новых средств доступа и ключей ЭП в следующих случаях:



            • при смене, увольнении сотрудника, имевшего даже потенциально доступ к ключевому носителю ЭП;

            • при возникновении любых подозрений на компрометацию (копирование) ключей ЭП и/или средств доступа;

            • в случае обнаружения каких-либо вредоносных программ на компьютере, используемом для работы в системе ДБО.

              1. На компьютере, с которого осуществляется работа с системой ДБО:

    1. Физический доступ к компьютеру предоставлять только уполномоченным лицам. Рекомендуется использовать следующие методы защиты физического доступа к компьютеру:

                • опечатать системный блок компьютера пломбой (или голографической наклейкой, стикером), целостность пломбы (наклейки, стикера) регулярно контролируется уполномоченным лицом;

                • установить пароль BIOS на включение компьютера и на вход в настройки BIOS;

                • установить пароль на включение операционной системы Windows с помощью команды syskey, позволяющей хранить пароли пользователей компьютера в зашифрованном виде;

                • выполнять вход в Windows путем нажатия клавиш Ctrl-Alt-Del и ввода имени пользователя и его пароля;

                • не допускать использования «пустых» или простых паролей (123456, qwerty, и пр.) для всех учетных записей, имеющих право входа в Windows, а также осуществлять периодическую смену паролей (рекомендуемая частота смены паролей – 1 месяц);

                • заблокировать учетную запись пользователя «Гость» («guest»);

                • не допускать работу под учетной записью Windows, имеющей права администратора – необходимо использовать учетную запись с ограниченными правами в операционной системе Windows, установленной на компьютере, используемом для работы с системой ДБО. Рекомендуется использовать разрешения файловой системы NTFS, а именно: предоставить полный доступ к папке (и всем вложенным в нее папкам и файлам), в которой находятся программные модули системы ДБО, пользователю, работающему с системой ДБО, и указать явный запрет на доступ к этой папке для всех остальных пользователей;

                • на компьютере с установленной системой ДБО остановить и запретить для запуска службу Server, остановить и запретить службу удаленного управления реестром Windows. Это приведет к невозможности доступа к компьютеру с установленной системой ДБО по сети, что, повлечет однако ряд ограничений: на этом компьютере нельзя будет создавать общие сетевые папки и предоставлять доступ к его локальному принтеру по сети для других компьютеров Вашей организации.

Тем не менее, применение этой меры является необходимым, так как оно обеспечивает (при условии соблюдения пп. 3.3, 3.5) сетевую информационную безопасность персонального компьютера, используемого для работы с системой ДБО;

                  • включить на компьютере с установленной системой ДБО системный аудит, регистрирующий возникающие ошибки, вход пользователей и запуск программ, периодически просматривать журнал событий и реагировать на ошибки;

                  • наблюдать за всеми действиями сотрудников (в т.ч. ИТ-специалистов, администраторов), в течение всего времени выполнения ими каких-либо действий на компьютерах, используемых для работы с системой ДБО. Администратор (ИТ-специалист) должен подробно объяснять уполномоченному лицу, какие действия и с какой целью он выполняет в настоящее время.

  1. Обеспечивать своевременную (по возможности, автоматическую, используя Windows Update) загрузку и установку всех последних обновлений от Microsoft, а также регулярное обновление другого системного и прикладного программного обеспечения по мере появления их новых версий.

  2. Установить и регулярно обновлять лицензионное антивирусное программное обеспечение. Монитор антивируса должен быть постоянно включен с момента загрузки компьютера. Должно быть настроено регулярное автоматическое сканирование оперативной памяти и жестких дисков компьютера на наличие вирусов.

  3. Применять специализированные программные средства безопасности: персональные межсетевые экраны (файрволы), антишпионское программное обеспечение и другое специализированное программное обеспечение, использующееся для обеспечения ИТ-безопасности, которое должно регулярно обновляться и правильно настраиваться.

При настройке персонального межсетевого экрана необходимо заблокировать несанкционированный исходящий и входящий трафик по всем TCP и UDP портам для всех адресов, как Интернет, так и внутренней локальной сети организации (настроить персональный экран по принципу: запрещено все, что не разрешено), запретить работу по протоколам ftp и smtp, разрешить доступ только к необходимым ресурсам (в частности, к используемым системой ДБО).

При наличии в Вашей организации грамотного системного администратора возможна более тонкая настройка файрвола – открытие определенных портов и адресов для правильного взаимодействия компьютера, например, с контроллерами домена, запрет на установку и исполнение любых несанкционированных программ (отслеживание вирусных атак на компьютер) и т.д.

Если в Вашей организации уже есть развернутая программная или аппаратная система сетевого экранирования, защищающая периметр сети, то включение собственного файрвола на компьютере (при условии правильной его настройки и регулярном обновлении), все равно, является обязательным требованием – это Ваш последний рубеж обороны.

Более подробную информацию по п.п. 3.2 – 3.4 Вы можете получить на сайте Microsoft:

http://www.microsoft.com/Rus/Security/Protect/Default.mspx

http://www.microsoft.com/Rus/Protect/Computer/default.mspx


  1. Рекомендуется не посещать посторонние Интернет-сайты (не относящиеся к системе ДБО), сайты сомнительного содержания, не работать с электронной почтой (особенно через общедоступные почтовые Web-сервера: Mail.ru и т.д.), устанавливать и использовать нелицензионное программное обеспечение, программы мгновенных почтовых сообщений (ICQ, QIP и т.д.), запрещается пользоваться Skype, устанавливать игры и любые программы с пиратских дисков, просматривать видеофильмы, слушать музыку, загружать и устанавливать любые программы из Интернет, открывать и редактировать непроверенные антивирусом DOC, XLS, PDF файлы.

Внимание! Компьютер, который используется для работы с ДБО должен обслуживаться грамотным системным администратором, на нем должны выполняться следующие регулярные работы: проверка успешности функционирования антивирусного программного обеспечения и файрвола, полное сканирование компьютера антивирусом, резервное копирование программных модулей системы ДБО (на отдельный съемный носитель, который должен храниться в сейфе в опечатанном контейнере), обновление антивируса и файрвола, установка необходимых обновлений операционной системы (установка патчей, критичных обновлений системы безопасности Windows). Во время проведения этих работ ключевой носитель должен находиться в сейфе!

НАСТОЯТЕЛЬНО ПРОСИМ ВАС НЕЗАМЕДЛИТЕЛЬНО ОБРАЩАТЬСЯ В БАНК ПРИ ВОЗНИКНОВЕНИИ СЛЕДУЮЩИХ СИТУАЦИЙ:



  • У Вас не работает система ДБО по неизвестным («необычным») причинам (например, не запускается операционная система Windows, Вы не можете войти в систему ДБО, т.к. возникает «ошибка авторизации», говорящая о неправильно набранном пароле, хотя пароль Вы набираете на клавиатуре верно или вход в систему заблокирован, невозможно связаться с банковским сервером системы ДБО, необычная работа известных программ и т.п.).

  • Обнаружены (или есть подозрения на несанкционированный доступ к Вашей информации) факты проникновения в систему посторонних лиц (вход в систему с нетипичного IP-адреса либо в нетипичное для Вас время и т.п.).

  • В выписке обнаружены несанкционированные Вами расходные операции.

Обращаем Ваше внимание, что своевременное обращение в Банк позволит принять оперативные меры по предотвращению мошенничества и сохранить Ваши средства.

Приложение № 5

к Договору №____________________


о предоставлении услуги электронного документооборота

с использованием системы «Клиент-Банк»
Рекомендации о мерах по обеспечению информационной безопасности

1. Организационные меры

1.1. Компакт-диск с дистрибутивом программы «Клиент-Банк» и ключевой носитель eToken должны храниться в сейфе, доступ к которому должен быть строго ограничен: лица, обладающие правом подписи на документах, бухгалтер, работающий с системой «Клиент-Банк»» по доверенности – далее «уполномоченные лица».

Хорошей практикой является хранение вышеуказанных носителей в сейфе в опечатанном контейнере. Целостность печати (пломбы) должна ежедневно, в начале рабочего дня, контролироваться руководителем организации или уполномоченным лицом. После завершения работы ключевой носитель помещается в контейнер и заново опечатывается (пломбируется) уполномоченным лицом.

Не держите ключевые носители постоянно вставленными в компьютер, используйте их только в случае необходимости заверки платежных документов. Хранение закрытого ключа системы «Клиент-Банк» на жестком диске персонального компьютера недопустимо.

1.2. Категорически запрещается использовать компьютер, на котором развернута программа «Клиент-Банк» (далее - компьютер), для просмотра посторонних (не относящихся к «Клиент-Банк») Интернет сайтов, работы с электронной почтой (особенно через общедоступные почтовые Web-сервера: Mail.ru и т.д.), запрещается устанавливать и использовать программы мгновенных почтовых сообщений (ICQ, QIP и т.д.), запрещается пользоваться Skype, устанавливать игры и любые программы с пиратских дисков, просматривать видеофильмы, слушать музыку, загружать и устанавливать любые программы из Интернет, открывать и редактировать непроверенные антивирусом DOC, XLS, PDF файлы.

Пожалуйста, не пожалейте средств на выделение отдельного компьютера для работы только с «Клиент-Банк»!

1.3. В случае временного перерыва в работе с компьютером (совещание, обед, «перекуры» и т.д.) необходимо завершить работу с программой «Клиент-Банк», убрать в сейф ключевой носитель, выключить компьютер или, как минимум, заблокировать его клавиатуру и экран путем нажатия клавиш Ctrl-Alt-Del.

1.4. Запрещается записывать пароли на бумажных листках (или в текстовых файлах на компьютере), оставлять их в легкодоступных местах (на рабочем столе), передавать неуполномоченным лицам. Если есть необходимость – храните все пароли, записанными на одном листе, в сейфе, в опечатанном контейнере вместе с ключевым носителем.

1.5. Компрометация системы «Клиент-Банк» это:

а). Любые кадровые перестановки лиц, имевших доступ к компьютеру и ключам (в т.ч. увольнение системного администратора).

б). Любые Ваши подозрения в несанкционированном доступе (локально или по сети) неуполномоченных лиц к компьютеру, ключам, программе «Клиент-Банк», паролям.

в). Обнаружение вируса на компьютере.

г). Работа на компьютере с Интернет без включенной защиты (антивирус с активным монитором + файрвол (персональным экраном)), просмотр Интернет – сайтов, не относящихся к «Клиент-Банк», установка любых программ с нелицензионных дисков или по сети.



В случае возникновения компрометации Вам необходимо срочно связаться со специалистами Банка любым доступным способом, сообщить название Вашей организации, номер договора (Ваш идентификатор системы «Клиент-Банк» для службы технической поддержки) и детально описать что произошло. Это позволит нам оперативно заблокировать доступ к Вашему счету через «Клиент-Банк».

2. Технические меры

2.1. Физический доступ к компьютеру должен быть ограничен и предоставлен только уполномоченным лицам. Рекомендуется использовать следующие методы защиты физического доступа к компьютеру:

а). Установка пароля BIOS на включение компьютера и на вход в настройки BIOS.

б). Установка пароля на включение операционной системы Windows с помощью команды syskey.

в). Вход в Windows должен выполняться путем нажатия клавиш Ctrl-Alt-Del и ввода имени пользователя и его пароля. Пароли учетных записей пользователей и администратора должны быть сложными, не должно быть учетных записей с пустыми паролями.

г). Пользователь «Гость» Guest») обязательно должен быть заблокирован.

д). Системный блок компьютера должен быть опечатан пломбой (или голографической наклейкой, стикером), целостность пломбы (наклейки, стикера) должна регулярно контролироваться уполномоченным лицом.

е). Как дополнительное средство защиты можно использовать аппаратный модуль доверенной загрузки, например АМДЗ «Аккорд–5» (или аналогичное по функциональности ПО или аппаратно-программное средство, обеспечивающее защиту от несанкционированного доступа и контроль целостности информации до загрузки операционной системы).

ж). Как дополнительное средство защиты можно использовать разрешения файловой системы NTFS, а именно: предоставить полный доступ к папке (и всем вложенным в нее папкам и файлам), в которой находится программа «Клиент-Банк», пользователю, работающему с «Клиент-Банк», и указать явный запрет на доступ к этой папке для всех остальных пользователей.

з). На компьютере должен быть включен системный аудит, регистрирующий возникающие ошибки, вход пользователей и запуск программ, необходимо периодически просматривать журнал и реагировать на ошибки.

и). Контролировать состояние своего счета в Банке (путем просмотра выписки).

к). Обращать внимание на дату и время последних входов в систему «Клиент-Банк».

2.2. На компьютере должно быть установлено и регулярно обновляться лицензионное антивирусное программное обеспечение. Монитор антивируса должен быть постоянно включен с момента загрузки компьютера. Должно быть настроено регулярное автоматическое сканирование оперативной памяти и жестких дисков компьютера на наличие вирусов.

2.3. На компьютере должен быть включен файрвол (встроенный в Windows или установлен и включен персональный экран стороннего производителя) и заблокирован несанкционированный входящий трафик по всем TCP и UDP портам для всех адресов, как Интернет (настроить персональный экран по принципу: запрещено все, что не разрешено), так и локальной сети, запретить работу по протоколам ftp, smtp. На компьютере должна быть остановлена и запрещена для запуска служба Server, остановлена и запрещена служба удаленного управления реестром Windows. Это приведет к невозможности доступа к компьютеру по сети, что повлечет, однако, ряд ограничений: на этом компьютере нельзя будет создавать общие сетевые папки и предоставлять доступ к его локальному принтеру по сети для других компьютеров Вашей организации.

Тем не менее, применение этой меры является необходимым, так как оно обеспечивает (при условии соблюдения п. 1.2, 2.2.) сетевую информационную безопасность персонального компьютера с установленной системой «Клиент-Банк».

При наличии в Вашей организации грамотного системного администратора возможна более тонкая настройка файрвола – открытие определенных портов и адресов для правильного взаимодействия компьютера, например, с контроллерами домена, запрет на установку и исполнение любых несанкционированных программ (отслеживание вирусных атак на компьютер) и т.д.

Если в Вашей организации уже есть развернутая программная или аппаратная система сетевого экранирования, защищающая периметр сети, то включение собственного файрвола на компьютере (при условии правильной его настройки и регулярном обновлении), все равно, является обязательным требованием – это Ваш последний рубеж обороны.

2.4. Компьютер должен регулярно обслуживаться грамотным системным администратором и только в присутствии уполномоченного лица. Администратор должен подробно объяснять Вам, какие действия и с какой целью он выполняет в настоящее время. Необходимо выполнять следующие регулярные работы: проверка успешности функционирования антивируса и файрвола, полное сканирование компьютера антивирусом, резервное копирование программы «Клиент-Банк» (на отдельный съемный носитель, который должен храниться в сейфе в опечатанном контейнере), обновление антивируса и файрвола, установка необходимых обновлений операционной системы Windows (установка патчей, критичных обновлений системы безопасности). Во время проведения этих работ ключевой носитель должен находиться в сейфе!

2.5. Не использовать права администратора при отсутствии необходимости. В повседневной практике (особенно при работе с «Клиент-Банк») входить в систему как пользователь, не имеющий прав администратора.

2.6. Обязательно смените пароль на вход в программу «Клиент-Банк» в соответствии с инструкцией, выдаваемой вместе с дистрибутивом системы «Клиент-Банк».



Внимание! При смене, увольнении лица, имеющего даже потенциально, доступ к ключевому носителю (например, системного администратора), необходимо незамедлительно:

  • сменить пароль доступа в систему

  • заблокировать скомпрометированный ключевой носитель (установленным порядком) и получить новый в Банке.

НАСТОЯТЕЛЬНО ПРОСИМ ВАС НЕЗАМЕДЛИТЕЛЬНО ОБРАЩАТЬСЯ В БАНК ПРИ ВОЗНИКНОВЕНИИ СЛЕДУЮЩИХ СИТУАЦИЙ:

  • у Вас не работает система «Клиент-Банк» по неизвестным («необычным») причинам (например, Вы не можете войти в систему, т.к. возникает «ошибка авторизации», говорящая о неправильно набранном пароле, хотя пароль Вы набираете на клавиатуре верно или вход в систему заблокирован, невозможно связаться с банковским сервером «Клиент-Банк», необычная работа известных программ и т.п.).

  • Обнаружены (или есть подозрения на несанкционированный доступ к Вашей информации) факты проникновения в систему посторонних лиц (вход в систему с нетипичного IP-адреса либо в нетипичное для Вас время и т.п.).

  • В выписке обнаружены несанкционированные Вами расходные операции.

Обращаем Ваше внимание, что своевременное обращение в Банк позволит принять оперативные меры по предотвращению мошенничества и сохранить Ваши средства.

Клиент
________________________________



_____________( _________________ )

М.П.


Смотрите также:
Памятка по обеспечению безопасности работы систем дистанционного банковского обслуживания
151.09kb.
1 стр.
Правила дистанционного банковского обслуживания физических лиц в московском филиале ОАО банк
336.49kb.
1 стр.
Обеспечение безопасности при работе в системе Дистанционного Банковского Обслуживания (дбо) «Банк-Клиент»
49.63kb.
1 стр.
Термины и определения
295.85kb.
1 стр.
Развитие инновационных систем банковского обслуживания и оценка эффективности их внедрения
443.56kb.
3 стр.
Перечень мер по обеспечению безопасности работы систем дбо
46.09kb.
1 стр.
Правила дистанционного банковского обслуживания физических лиц в акционерном коммерческом федеральном банке инноваций и развития
512.41kb.
2 стр.
Дата Время проведения
93.59kb.
1 стр.
Методические рекомендации по организации работы по обеспечению пожарной безопасности муниципальных детских учреждений
1121.29kb.
4 стр.
Обзор систем безопасности современных автомобилей
434.07kb.
3 стр.
Правила и нормативы 6 ионизирующее излучение, радиационная безопасность гигиенические требования к обеспечению радиационной безопасности
205.82kb.
1 стр.
Применение методов теории массового обслуживания при исследовании надежности систем
97.68kb.
1 стр.