ПРИЛОЖЕНИЕ 4 Требования по обеспечению информационной безопасности при эксплуатации ключей АСП системы
1. Настоящие рекомендации действуют по отношению к Клиентам Банка, осуществляющим эксплуатацию ключей АСП на основании договора с Банком.
1.1. Рекомендации по организационному обеспечению безопасности ключей АСП:
• в организации Клиента назначаются лица, ответственные за эксплуатацию и хранение ключей АСП;
• в организации Клиента разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации ключей АСП;
• к работе с ключами АСП допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации ключей АСП.
1.2. Рекомендации по аппаратно-программному обеспечению рабочего места:
• на автоматизированных рабочих местах Клиента использовать только лицензионное программное обеспечение;
• на системное программное обеспечение должны быть установлены все обновления;
• необходимо использовать антивирусное программное обеспечение, с обновлением вирусных баз не реже раза в сутки и проведением периодических антивирусных проверок компьютеров;
• необходимо отключить на автоматизированных рабочих местах Клиента автозагрузку со сменных носителей (дискет, флэш-накопителей, оптических дисков) как потенциальный источник угроз;
• необходимо отключить на автоматизированных рабочих местах Клиента у пользователей права администрирования персонального компьютера и сетевой удалённый доступ.
1.3. Рекомендации по работе с системой:
• необходимо регулярно, не реже одного раза в день проверять состояние счета;
• необходимо подключиться к оповещению о проведении платежа с помощью SMS;
• при обнаружении любых признаков несанкционированного доступа к автоматизированному рабочему месту Клиента или к ключам АСП необходимо незамедлительно заявить в Банк о необходимости заблокировать доступ к системе, заменить ключи АСП и провести расследование причин случившегося.
1.4. Рекомендации по размещению автоматизированных рабочих мест Клиента:
• помещения, в которых размещаются автоматизированные рабочие места Клиента и/или сервера, взаимодействующие с Банком, должны обеспечивать конфиденциальность проводимых работ;
• размещение помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств;
• размещение автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком и предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности;
• входные двери помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время;
• системные блоки компьютеров автоматизированных рабочих мест Клиента оборудуются средствами контроля вскрытия.
1.5. Рекомендации по подключению автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, к локальным сетям и сетям общего пользования (Internet):
• необходимо исключить прямое подключение автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, к сетям общего пользования (Internet);
• автоматизированные рабочие места Клиента и/или сервера, взаимодействующие с Банком, должны располагаться за средствами межсетевого экранирования (фаервола) во внутренней сети Клиента или в демилитаризованной зоне;
• входящий и исходящий сетевой трафик должен фильтроваться средствами межсетевого экранирования (фаервола);
• должны быть настроены механизмы оповещения о попытках несанкционированного доступа;
• не реже одного раза в неделю должны проводиться мероприятия по аудиту информационной безопасности автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, согласно методикам аудита информационной безопасности, принятым у Клиента.
1.6. Рекомендации по обеспечению безопасности ключевой информации:
• ключевые носители АСП и автоматизированные рабочие места Клиента и/или сервера, взаимодействующие с Банком и содержащие ключи АСП, в организации Клиента берутся на поэкземплярный учет в выделенных для этих целей журналах;
• доступ к ключам АСП должен быть ограничен на уровне операционной системы и прикладной программы только учетными записями пользователей, имеющих прямое отношение к обработке ключевой информации, и запрещен по сети;
• должны быть настроены механизмы аудита доступа и оповещения о попытках несанкционированного доступа к ключам АСП, хранящимся на автоматизированных рабочих местах Клиента и/или серверах, взаимодействующих с Банком;
• для хранения ключевых носителей с ключами АСП выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации;
• хранение ключевых носителей допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования, применение;
• при транспортировке ключевых носителей АСП, автоматизированных рабочих мест Клиента и/или серверов, взаимодействующих с Банком, с ключевой информацией создаются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию;
• уничтожение ключей АСП осуществляется в соответствие с процедурами, принятыми у Клиента для уничтожения конфиденциальной информации.
Так же необходимо выполнять следующие требования:
необходимо исключить прямое подключение автоматизированных рабочих мест (АРМ) Клиента и/или серверов, взаимодействующих с Банком, к сетям общего пользования (Internet). Для указанного АРМ разрешается связываться по сети Интернет только с адресами и портами Банка и разработчиков антивирусного программного обеспечения. Это важнейшая, обязательная мера защиты от угрозы удаленного управления Вашим ПК злоумышленниками;
необходимо подключиться к SMS-оповещению о проведении платежа, подключиться к услуге «Автоинформатор». Это важнейшая, обязательная мера защиты;
необходимо отключить на АРМ Клиента автозагрузку со сменных носителей (дискет, флэш-накопителей, оптических дисков), как потенциальный источник угроз; выключать ПК в нерабочее время;
оборудование и программное обеспечение (ПО) АРМ Клиента должно исключать возможность бесконтрольного проникновения и обеспечивать сохранность хранения и использования конфиденциальных документов и технических средств. Должна быть исключена возможность заражения АРМ вредоносным ПО (включая: вирусы, программные закладки, троянские программы, загрузчики, вредоносные Cookie, средства удалённого администрирования ПК и прочее, в том числе неизвестные антивирусному обеспечению «свежие» модификации вредоносов). Строгое требование использовать антивирусное ПО проверенных производителей с обновлением вирусных баз не реже раза в сутки и проводить периодические антивирусные проверки АРМ;
на АРМ Клиента использовать только лицензионное программное обеспечение, на системное программное обеспечение должны быть установлены все обновления;
необходимо отключить возможность установки ПО бухгалтером - пользователем ПК;
обеспечить контроль подключения авторизационных ключей, кодов, паролей исключительно только на время подписания и отправки документов; регулярно, но не реже 1 раза в месяц менять пароль; рекомендуем использовать устройство хранения и использования ключей –token;
необходимо отключить на АРМ Клиента у пользователей права администрирования персонального компьютера и сетевой, удалённый доступ;
необходимо регулярно, не реже одного раза в день проверять состояние счета;
при обнаружении любых признаков несанкционированного доступа к АРМ Клиента или к ключам необходимо незамедлительно заявить в Банк о необходимости заблокировать доступ к системе, заменить ключи и провести расследование причин случившегося;
для клиентов использующих SMS-авторизацию платежа, необходимо исключить использование Интернет на телефоне, используемом для получения кодов подтверждения;
|
