Приложение 6 к Правилам обмена электронными документами



Скачать 77.67 Kb.
Дата18.01.2013
Размер77.67 Kb.
ТипДокументы

ПРИЛОЖЕНИЕ 6

к Правилам обмена электронными документами

по АС «Банк-Клиент» (BSS)

в КБ «КРЕДИТИМПЭКС БАНК» (ООО)



Рекомендации по обеспечению безопасности

при работе с системами дистанционного банковского обслуживания (ДБО)
Уважаемые клиенты, в связи с учащением попыток неправомерного получения персональной информации пользователей систем дистанционного банковского обслуживания (далее - ДБО) (пароли, закрытые ключи средств шифрования и аналогов собственноручной подписи, ПИН-коды и номера банковских карт, а также персональные данные их владельца), предлагаем Вам внимательно ознакомиться с представленными рекомендациями по обеспечению безопасности при работе с системами ДБО.


  1. Рекомендации по организационному обеспечению эксплуатации СКЗИ:

    1. Назначить работников, ответственных за обеспечение безопасности информации и эксплуатации СКЗИ.

    2. Разработать внутренние нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ.

    3. исключить возможность неправомерного получения персональной информации пользователей систем ДБО (не передавайте такую информацию другим лицам);

    4. закрепите каждый комплект ключей за сотрудником персонально и под роспись ознакомьте его с мерой ответственности за нарушение правил сохранности ключа;

    5. разработайте регламент доступа своих сотрудников к компьютерам, с которых осуществляется работа с системой «ИНТЕРНЕТ-КЛИЕНТ» или «БАНК-КЛИЕНТ», максимально ограничьте доступ к компьютеру (в том числе и по локальной сети), исключите работу на компьютере других лиц из-за угрозы заражения вредоносными программами, компрометации ключей и парольной информации, обеспечьте безопасность помещения, в котором он установлен;

    6. регулярно, не реже одного раза в 45 дней, производите смену паролей доступа в систему «ИНТЕРНЕТ-КЛИЕНТ», не храните пароли на жестком диске, записанными на стикерах и т.п.;

    7. регулярно, не реже одного раза в год, производите перегенерацию рабочих ключей;

    8. в обязательном порядке производите перегенерацию ключей КА и смену паролей в следующих случаях:

  • при смене ответственных лиц, имеющих право использования системы «ИНТЕРНЕТ-КЛИЕНТ» или «БАНК-КЛИЕНТ»;

  • при увольнении сотрудника, имевшего доступ, в т.ч. технический, к рабочим ключам или компьютеру, с которого осуществлялась работа системы «ИНТЕРНЕТ-КЛИЕНТ» или «БАНК-КЛИЕНТ»;

  • при обнаружении фактов доступа неуполномоченных лиц к ключевой информации (а также при подозрении о таком доступе, в том числе и удаленном доступе по сети).


    1. осуществляйте постоянный контроль за отправляемыми платежными документами при работе с системой ДБО, а также состоянием Вашего счета;



  1. Рекомендации по размещению СКЗИ и режиму охраны:

    1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, должны обеспечивать конфиденциальность проводимых работ.

    2. Размещение помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них неуполномоченных лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств.

    3. Ремонт и/или последующее использование системных блоков осуществляются после удаления с них программного обеспечения СКЗИ.




  1. Рекомендации по обеспечению безопасности ключевой информации:

    1. Учет и хранение секретных ключей должно быть поручено специально выделенным работникам.

    2. Для хранения носителей секретных ключей ЭЦП и шифрования (USB-eToken, Flash-накопитель, дискета) выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации;

    3. Настоятельно рекомендуется извлекать носители с ключами ЭЦП из компьютера каждый раз после завершения их использования (т.е. носители с секретными ключами ЭЦП должны находиться в компьютере только в момент подписания ЭД).

    4. Владельцам ключа eToken PRO - установите пароль на контейнер с закрытым ключом (буквы и цифры не менее 8 символов);

    5. Никогда не копируйте закрытый ключ КА на жесткий диск компьютера;

    6. не используйте ключи КА и другую аутентификационную информацию для входа в систему «ИНТЕРНЕТ-КЛИЕНТ» или «БАНК-КЛИЕНТ» с гостевых рабочих мест (интернет-кафе и т.д.);

    7. для хранения секретных ключей ЭЦП и шифрования вместо дискет и обычных Flash-накопителей используйте USB-eToken-ы, которые обеспечивают защищенное хранение ключевой информации.

    8. Для системы «ИНТЕРНЕТ-КЛИЕНТ» используйте генератор одноразовых паролей eToken-PASS




  1. Рекомендации по эксплуатации ПО и обеспечению сетевой безопасности ПК:

    1. Рекомендуется устанавливать клиентский модуль АС «Банк-Клиент» на отдельный, специально выделенный для этих целей персональный компьютер (ПК) с лицензионно “чистой” операционной системой.

    2. установите лицензионные средства антивирусной защиты и регулярно (не реже одного раза в неделю) обновляйте антивирусную базу, проводите периодическую полную проверку на вирусы.

    3. установите специализированные программные средства безопасности: персональный межсетевой экран (firewall), антишпионское программное обеспечение и т.п.

    4. не должно быть установлено программных средств удаленного доступа к компьютеру;

    5. обеспечьте защиту компьютера от несанкционированного доступа – настройте политики безопасности, обеспечьте своевременную установку обновлений безопасности операционной системы и прикладных программ, отключите неиспользуемые сервисы, службы и порты;

    6. постоянную работу в операционной системе осуществляйте с правами обычного пользователя, вход в операционную систему с правами администратора осуществляйте только в случае необходимости проведения технических работ. Отключите учётную запись «Гость»;

    7. устанавливайте все официальные обновления к используемой операционной системе, системному и прикладному ПО после проверки на тестовой рабочей станции (при отсутствии возможности тестирования – включите автоматическое обновление);

    8. при обслуживании компьютера IT-сотрудниками – обеспечьте контроль за выполняемыми ими действиями, не передавайте ключи КА IT-сотрудникам для проверки работы системы «ИНТЕРНЕТ-КЛИЕНТ» или «БАНК-КЛИЕНТ», проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа КА должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа системы, и лично ввести пароль, исключая его подсматривание;

    9. Следует исключить установку на ПК программных средств, не входящих в состав АС «Банк-Клиент» и не используемых в работе.

    10. Требуется минимизировать вероятность заражения вредоносным ПО из внешней сети за счет ограничения доступа ПК в сеть Интернет только для адресов системы «ИНТЕРНЕТ-КЛИЕНТ» или «БАНК-КЛИЕНТ» и несколькими доверенными сайтами, необходимыми для выполнения производственных задач. Данное ограничение наиболее эффективно реализовывать не на уровне персонального межсетевого экрана, а на вышестоящем уровне (например – за счет образования на прокси-сервере группы пользователей с жестко ограниченным доступом в Интернет);

    11. при увольнении IT-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой «ИНТЕРНЕТ-КЛИЕНТ» или «БАНК-КЛИЕНТ», примите меры для обеспечения отсутствия вредоносных программ на компьютерах;

    12. при работе с электронной почтой обращайте особое внимание на отправителя сообщения. Если отправитель Вам неизвестен - открывать вложения и иные присланные файлы категорически не рекомендуется, что бы ни было написано в тексте сообщения. Сервисами обмена мгновенными сообщениями (ICQ, Skype, Mail.Ru-Агент и т.п.) на данном компьютере желательно не пользоваться;

    13. не устанавливайте и не сохраняйте подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте и т.д. В случае необходимости загрузки файла, обязательно проверьте его антивирусом перед использованием;

    14. не отвечайте на подозрительные письма с просьбой выслать закрытый ключ КА, пароль и другие конфиденциальные данные. Подобное письмо гарантированно создано злоумышленниками. Банк ни при каких обстоятельствах и ни в какой форме не запрашивает у клиентов конфиденциальную информацию о закрытых ключах и паролях.

    15. При использовании версии системы с 2-мя подписями Уполномоченных лиц степень защищенности Клиента от воздействия «троянских» программ и формирования ложных транзакций многократно повышается при условии, что процедуры ЭЦП осуществляются на двух разных ПК, а 2 секретных ключа ЭЦП физически находятся на разных съемных носителях.

    16. В случае использования АС «Банк-Клиент» целесообразно обеспечить, при наличии технической возможности, непрерывный контроль за целостностью программного обеспечения клиентского модуля Системы с помощью специализированного ПО.




  1. Использование SMS-Уведомлений в «Интернет-Клиент».

    1. При подключении к «Интернет-Клиент» обязательно указать номер телефона, на который Банк будет отсылать SMS-уведомления о принятых платежах.

    2. Обеспечить круглосуточную работу мобильного телефона с указанным номером.

    3. При смене номера телефона для SMS-уведомлений уведомить Банк (письменным заявлением).

    4. НИ В КОЕМ СЛУЧАЕ не указывать номер телефона письмом в «Интернет-Клиент».


Производители Систем ДБО и специалисты Банка постоянно работают над повышением уровня защиты информационной безопасности.

Регулярно узнавайте у специалистов Банка о существующих возможностях усиления информационной безопасности при работе ДБО.

Помните, что только комплекс организационных, программных и технических мер, сможет обеспечить безопасность Ваших финансовых транзакций.
При обнаружении Вами попыток несанкционированного доступа или в случае мотивированных опасений, что такие попытки могут быть осуществлены, просим Вас:

§ немедленно сообщить об этом в Банк по тел. (495)234-95-40 или (495)234-95-25 (Управление Технического Обеспечения);

§ выключить технические средства, используемые для работы в системах ДБО;

§ представить в Банк подробное письменное описание обстоятельств компрометации ключей или несанкционированного доступа.

Похожие:

Приложение 6 к Правилам обмена электронными документами iconПриложение 5 к Правилам обмена электронными документами
Требования к аппаратно-программному Обеспечению Клиента для работы по ас «Банк-Клиент» (bss)
Приложение 6 к Правилам обмена электронными документами iconПриложение 9 к Правилам обмена электронными документами
Предоставление программного обеспечения Системы "Банк-Клиент" и регистрационного ключа шифрования и эцп на eToken pro (в качестве...
Приложение 6 к Правилам обмена электронными документами iconПраВила обмена электронными документами по Системе дбо ас «Банк-Клиент» ( bss ) в кб «кредитимпэкс банк» (ооо) термины и определения
Банком для обмена Электронными документами с использованием средств криптографической защиты информации (скзи)
Приложение 6 к Правилам обмена электронными документами iconИнструкция по правилам обращения с ключевыми документами электронной цифровой подписи и шифрования
Администратор безопасности информации – лицо, организующее, обеспечивающее и контролирующее выполнение требований безопасности информации...
Приложение 6 к Правилам обмена электронными документами icon«Банк-Клиент» и «Интернет Банк-Клиент»
Безопасность обмена Электронными документами обеспечивается посредством шифрования таких документов, использования электронной цифровой...
Приложение 6 к Правилам обмена электронными документами icon«Банк-Клиент» и «Интернет Банк-Клиент»
Безопасность обмена электронными документами обеспечивается посредством их шифрования и наложением электронно-цифровой подписи, которая...
Приложение 6 к Правилам обмена электронными документами iconКонтактные телефоны лиц, обеспечивающих заключение договоров об обмене электронными документами и поддержку абонентов системы электронного документооборота в отделениях Управления Федерального казначейства по Красноярскому краю
Контактные телефоны лиц, обеспечивающих заключение договоров об обмене электронными документами в отделении
Приложение 6 к Правилам обмена электронными документами iconСоглашение об обмене электронными документами в системе электронного документооборота пфр
Абонент системы и Отделение пфр осуществляют обмен документами в соответствии с Федеральным законом от 01. 04. 96 №27-фз Об индивидуальном...
Приложение 6 к Правилам обмена электронными документами iconВстроенное приложение «Управление документами» Конструкторы
Система Docsvision 5 предназначена для автоматизации управления документами и бизнес-процессами, включая как общую управленческую...
Приложение 6 к Правилам обмена электронными документами iconСоглашение № об обмене электронными документами
«Абонент системы», с другой стороны, заключили настоящее Соглашение о нижеследующем
Разместите кнопку на своём сайте:
ru.convdocs.org


База данных защищена авторским правом ©ru.convdocs.org 2016
обратиться к администрации
ru.convdocs.org