ПРИЛОЖЕНИЕ 4 Требования по обеспечению информационной безопасности при эксплуатации ключей АСП системы
1. Настоящие рекомендации действуют по отношению к Клиентам Банка, осуществляющим эксплуатацию ключей АСП на основании договора с Банком. 1.1. Рекомендации по организационному обеспечению безопасности ключей АСП: • в организации Клиента назначаются лица, ответственные за эксплуатацию и хранение ключей АСП; • в организации Клиента разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации ключей АСП; • к работе с ключами АСП допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации ключей АСП.
1.2. Рекомендации по аппаратно-программному обеспечению рабочего места: • на автоматизированных рабочих местах Клиента использовать только лицензионное программное обеспечение; • на системное программное обеспечение должны быть установлены все обновления; • необходимо использовать антивирусное программное обеспечение, с обновлением вирусных баз не реже раза в сутки и проведением периодических антивирусных проверок компьютеров; • необходимо отключить на автоматизированных рабочих местах Клиента автозагрузку со сменных носителей (дискет, флэш-накопителей, оптических дисков) как потенциальный источник угроз; • необходимо отключить на автоматизированных рабочих местах Клиента у пользователей права администрирования персонального компьютера и сетевой удалённый доступ.
1.3. Рекомендации по работе с системой: • необходимо регулярно, не реже одного раза в день проверять состояние счета; • необходимо подключиться к оповещению о проведении платежа с помощью SMS; • при обнаружении любых признаков несанкционированного доступа к автоматизированному рабочему месту Клиента или к ключам АСП необходимо незамедлительно заявить в Банк о необходимости заблокировать доступ к системе, заменить ключи АСП и провести расследование причин случившегося.
1.4. Рекомендации по размещению автоматизированных рабочих мест Клиента: • помещения, в которых размещаются автоматизированные рабочие места Клиента и/или сервера, взаимодействующие с Банком, должны обеспечивать конфиденциальность проводимых работ; • размещение помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств; • размещение автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком и предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности; • входные двери помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время; • системные блоки компьютеров автоматизированных рабочих мест Клиента оборудуются средствами контроля вскрытия.
1.5. Рекомендации по подключению автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, к локальным сетям и сетям общего пользования (Internet): • необходимо исключить прямое подключение автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, к сетям общего пользования (Internet); • автоматизированные рабочие места Клиента и/или сервера, взаимодействующие с Банком, должны располагаться за средствами межсетевого экранирования (фаервола) во внутренней сети Клиента или в демилитаризованной зоне; • входящий и исходящий сетевой трафик должен фильтроваться средствами межсетевого экранирования (фаервола); • должны быть настроены механизмы оповещения о попытках несанкционированного доступа; • не реже одного раза в неделю должны проводиться мероприятия по аудиту информационной безопасности автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, согласно методикам аудита информационной безопасности, принятым у Клиента.
1.6. Рекомендации по обеспечению безопасности ключевой информации: • ключевые носители АСП и автоматизированные рабочие места Клиента и/или сервера, взаимодействующие с Банком и содержащие ключи АСП, в организации Клиента берутся на поэкземплярный учет в выделенных для этих целей журналах; • доступ к ключам АСП должен быть ограничен на уровне операционной системы и прикладной программы только учетными записями пользователей, имеющих прямое отношение к обработке ключевой информации, и запрещен по сети; • должны быть настроены механизмы аудита доступа и оповещения о попытках несанкционированного доступа к ключам АСП, хранящимся на автоматизированных рабочих местах Клиента и/или серверах, взаимодействующих с Банком; • для хранения ключевых носителей с ключами АСП выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации; • хранение ключевых носителей допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования, применение; • при транспортировке ключевых носителей АСП, автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, с ключевой информацией создаются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию; • уничтожение ключей АСП осуществляется в соответствие с процедурами, принятыми у Клиента для уничтожения конфиденциальной информации.
Так же необходимо выполнять следующие требования:
необходимо исключить прямое подключение автоматизированных рабочих мест (АРМ) Клиента и/или серверов, взаимодействующих с Банком, к сетям общего пользования (Internet). Для указанного АРМ разрешается связываться по сети Интернет только с адресами и портами Банка и разработчиков антивирусного программного обеспечения. Это важнейшая, обязательная мера защиты от угрозы удаленного управления Вашим ПК злоумышленниками;
необходимо подключиться к SMS-оповещению о проведении платежа, подключиться к услуге «Автоинформатор». Это важнейшая, обязательная мера защиты;
необходимо отключить на АРМ Клиента автозагрузку со сменных носителей (дискет, флэш-накопителей, оптических дисков), как потенциальный источник угроз; выключать ПК в нерабочее время;
оборудование и программное обеспечение (ПО) АРМ Клиента должно исключать возможность бесконтрольного проникновения и обеспечивать сохранность хранения и использования конфиденциальных документов и технических средств. Должна быть исключена возможность заражения АРМ вредоносным ПО (включая: вирусы, программные закладки, троянские программы, загрузчики, вредоносные Cookie, средства удалённого администрирования ПК и прочее, в том числе неизвестные антивирусному обеспечению «свежие» модификации вредоносов). Строгое требование использовать антивирусное ПО проверенных производителей с обновлением вирусных баз не реже раза в сутки и проводить периодические антивирусные проверки АРМ;
на АРМ Клиента использовать только лицензионное программное обеспечение, на системное программное обеспечение должны быть установлены все обновления;
необходимо отключить возможность установки ПО бухгалтером - пользователем ПК;
обеспечить контроль подключения авторизационных ключей, кодов, паролей исключительно только на время подписания и отправки документов; регулярно, но не реже 1 раза в месяц менять пароль; рекомендуем использовать устройство хранения и использования ключей –token;
необходимо отключить на АРМ Клиента у пользователей права администрирования персонального компьютера и сетевой, удалённый доступ;
необходимо регулярно, не реже одного раза в день проверять состояние счета;
при обнаружении любых признаков несанкционированного доступа к АРМ Клиента или к ключам необходимо незамедлительно заявить в Банк о необходимости заблокировать доступ к системе, заменить ключи и провести расследование причин случившегося;
для клиентов использующих SMS-авторизацию платежа, необходимо исключить использование Интернет на телефоне, используемом для получения кодов подтверждения;
|