Клиент-Банк и Интернет-Банк: Безопасность

Для опознавания пользователей системы и подтверждения их подлинности, а также для защиты передаваемой между клиентом и сервером информации от просмотра посторонними лицами и искажения (как случайного, так и преднамеренного), используется СКЗИ Крипто-КОМ 3.2, разработанный фирмой Сигнал-ком.

ООО «Сигнал-ком» лицензии и сертификаты

лицензии ФСБ России:

• 5690П на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем;
• 5691Х на осуществление технического обслуживания шифровальных (криптографических) средств;
• 5692Р на осуществление распространения шифровальных (криптографических) средств;
• 5693У на осуществление предоставления услуг в области шифрования информации;

лицензии Федеральной службы по техническому и экспортному контролю:

• 0195 на деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
• 0305 на деятельность по технической защите конфиденциальной информации;

сертификаты ФСБ России

• СФ/114-1068 на СКЗИ Крипто-КОМ 3.2 (безопасность информации по уровню КС1, Windows 2000/XP/2003/Vista (x86))
• СФ/114-1069 на СКЗИ Крипто-КОМ 3.2 (безопасность информации по уровню КС1, Windows XP/2003/Vista (x86-64))
• СФ/124-1070 на СКЗИ Крипто-КОМ 3.2 (безопасность информации по уровню КС2, Windows 2000/XP/2003/Vista (x86))
• СФ/114-1071 на СКЗИ Крипто-КОМ 3.2 (безопасность информации по уровню КС2, Windows XP/2003/Vista (x86-64))
• СФ/114-1170 на СКЗИ Крипто-КОМ 3.2 (безопасность информации по уровням КС1 и КС2, OC Linux Red Hat 9, Red Hat Enterprise 3/4/5, Fedora Core 7, Solaris 9/10 (Intel и SPARC), FreeBSD 6)

Все документы подписываются электронной цифровой подписью (ЭЦП) и шифруются. ЭЦП обеспечивает больший уровень безопасности, чем традиционные методы защиты документов. Ее подделка за разумное время невозможна.

Однако, самого факта наличия хороших алгоритмов защиты и их правильной реализации в программном обеспечении недостаточно. Необходимо правильно организовать эксплуатацию комплекса, так как человеческий фактор, как самое слабое звено, может сделать неэффективной самую строгую и продуманную защиту.

Банк «Первомайский» (ЗАО) имеет лицензии, выданные Управлением ФСБ России по Краснодарскому краю:

• 654/Т от 21.03.2007 г. осуществлять деятельность по техническому обслуживанию шифровальных средств, предназначенные для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, при ее обработке, хранении и передаче по каналам связи, в его системе электронной документооборота;
• 654/Р от 21.03.2007 г. осуществлять деятельность по распространении шифровальных средств;
• 654/У от 21.03.2007 г. осуществлять предоставление услуг в области шифрования информации, не содержащей сведений составляющих государственную тайну, в его системе электронного документооборота.

Эксплуатация средств криптографической защиты информации в банке осуществляется в полном соответствии с законом «О лицензировании отдельных видов деятельности».

Факт выдачи банку лицензий свидетельствует о том, что в банке созданы все условия для безопасной эксплуатации средств криптографической защиты. Однако, поскольку в этом процессе задействованы две стороны (банк и клиент), необходимо и клиенту озаботиться вопросами обеспечения информационной безопасности. Конечно, потребуется приложение некоторых усилий, но это закономерно, так как уровень защищенности и простота использования всегда находились в обратной пропорции.

Банк «Первомайский» (ЗАО) уделяет большое внимание обеспечению безопасности клиентов при дистанционном управлении счетами.

Пожалуйста, внимательно прочитайте нижеизложенную информацию и следуйте нашим рекомендациям.

В последнее время в банках участились попытки хищения денежных средств со счетов юридических лиц и физических лиц, использующих системы дистанционного банковского обслуживания (ДБО).

Обратите внимание! Согласно статистике, наиболее часто попытки хищения денежных средств осуществляются:

• сотрудниками организаций, в том числе уволенными,
• IТ-специалистами (штатными и внештатными) или иными лицами, имеющими или имевшими доступ к носителям ключей ЭЦП (дискетам, флеш-дискам и пр.), а также доступ к компьютерам, с которых осуществляется работа с системой ДБО;
• мошенниками, с использованием сети Интернет, путём заражения компьютеров различными вирусами и вредоносным ПО (используя «бреши» в безопасности компьютеров и корпоративной сети организации), с последующим хищением через Интернет ключей ЭЦП и Средств Доступа к системе ДБО.

Во всех перечисленных случаях мошенники, завладев ключами ЭЦП, логином, паролем к системе ДБО Клиента, направляют от его имени в Банк различные платежи в адрес различных физических и юридических лиц.

После того, как Банк передал Вам Средства Доступа к системе ДБО: логин / пароль и ключи электронно-цифровой подписи (ЭЦП); конфиденциальность полученных данных полностью зависит от того, насколько ответственно Вы отнесётесь к их использованию и хранению.

Помните, что Средства Доступа к системе ДБО — это полный аналог вашей печати и подписи, поэтому относитесь к ним так же внимательно.

Для снижения риска несанкционированного доступа к системе ДБО рекомендуем Вам использовать следующие меры предосторожности:

1. Смените пароль Доступа при первом входе в систему ДБО.
2. Ежедневно проверяйте движения средств на Ваших счетах (выписки).
3. Обеспечьте безопасность носителей с ключами ЭЦП, используемых в системах ДБО:
4. Для хранения ключей ЭЦП используйте только внешние носители (дискеты или флеш-накопители). Запрещено хранить ключи на жёстких/сетевых дисках компьютера.
5. Используйте носители с ключами ЭЦП только для доступа к ДБО. Запрещено использовать их для любой другой цели, например, для переноса документов или фотографий с одного компьютера на другой.
6. Извлекайте носители с ключами ЭЦП из компьютера каждый раз после завершения работы с ДБО.
7. Не допускайте (даже на минимальное время) нахождение носителей с ключами ЭЦП установленными в компьютер, если Вы их не используете. После завершения работы с ДБО носители с ключами ЭЦП необходимо убирать в защищённое место (например, в личный сейф, или запирающийся ящик).
8. Не передавайте Средства Доступа к системе ДБО кому-либо, в том числе IT-специалистам, для проверки работы системы, настроек взаимодействия с Банком и т.п. При необходимости таких проверок, владелец ЭЦП обязан лично подключать носитель с ключами ЭЦП к компьютеру и производить необходимые настройки/проверки самостоятельно под наблюдением IT-специалиста.
9. Сетевой доступ к носителям с ключами ЭЦП должен быть закрыт. Запрещается открывать общий доступ по сети («расшаривать») носители/папки с ключами ЭЦП или другими средствами Доступа. Так же необходимо запретить отправление приглашения удаленному помощнику и удаленный вход и управление компьютером, например, через удаленный рабочий стол или Radmin.
10. Обеспечьте безопасность Средств Доступа, используемых в системе ДБО:
11. Не допускайте использования простых паролей(123456, qwerty и др.) — используйте различные сложные комбинации из букв (в т.ч. в разных регистрах) и цифр, не расположенных «подряд» на клавиатуре.
12. Осуществляйте регулярную (минимум — 1 раз в месяц) смену паролей, используемых в системе ДБО.
13. Не сообщайте логин или пароль, используемый в системе ДБО, кому-либо, в том числе IT-специалистам для проверки работы системы, настроек взаимодействия с Банком и др. При необходимости таких проверок владелец Средств Доступа обязан лично вводить свои логин и пароль в системе ДБО.
14. Не назначайте пароль, используемый в системе ДБО, в любых других системах и сервисах.

Рекомендуем Вам незамедлительно сменить пароль, обратиться по телефону 8(800)100-5-100 для блокировки доступа к ДБО и перегенерации Средств Доступа и ключей ЭЦП в следующих случаях:

• При увольнении сотрудника, имевшего доступ к ключам ЭЦП.
• При возникновении любых подозрений на компрометацию (копирование) ключей ЭЦП и/или Средств Доступа.
• В случае обнаружения, каких либо вредоносных программ на компьютере, используемом для работы в системе ДБО.
• На компьютере, с которого осуществляется работа с системой ДБО, необходимо:
• Применять средства антивирусной защиты, обеспечивая при этом регулярное обновление антивирусных баз, а также еженедельную полную антивирусную проверку.
  Обращаем Ваше внимание, что заражение компьютера троянскими вирусами представляет собой серьезный риск для безопасности, т.к. позволяют отслеживать нажатия клавиш и похищать конфиденциальную банковскую информацию типа номеров счетов, паролей и логинов!
• Применять специализированные программные средства безопасности: персональные файрволы (Personal Firewall), антишпионское программное обеспечение (Anti-Malware software) и другое специализированное ПО, использующееся для обеспечения информационной безопасности.
• Обеспечивать своевременную (по возможности, автоматическую, используя Windows Update) загрузку и установку всех последних обновлений от Microsoft, а также регулярное обновление другого системного и прикладного ПО по мере появления их новых версий.
• Исключать возможность посещения интернет-сайтов сомнительного содержания, загрузку и установку нелицензионного ПО. По возможности, полностью запретить все соединения (входящие и исходящие) с сетью Интернет, разрешив только доступ к необходимым ресурсам (в частности, к используемым системой ДБО).
• Осуществлять антивирусную проверку любых файлов и программ, загружаемых из сети Интернет либо полученных по электронной почте или на внешних носителях (дискеты, флеш-накопители, CD/DVD и др.).
• Ограничивать доступ к компьютеру персонала, не имеющего отношения к работе с системой ДБО.
• Не допускать работу под учётной записью Windows, имеющей права администратора- необходимо использовать учётную запись с ограниченными правами в операционной системе Windows, установленной на компьютере.
• Не допускать использования «пустых» или простых паролей(123456, qwerty и др.) для всех учётных записей, имеющих право входа в Windows, а также осуществлять периодическую смену паролей (рекомендуемая частота смены паролей — 1 раз в месяц).
• Запрещать использование любых средств удалённого (дистанционного) доступа, которые обычно используется IT-специалистами для удалённой (дистанционной) поддержки. Заблокировать возможность использования таких средств с помощью файрвола (программного и/или аппаратного).
• Наблюдать за всеми действиями сотрудников (в т.ч. IT-специалистов), в течении всего времени выполнения ими каких-либо действий на компьютерах, используемых для работы с системой ДБО.
• Принимать повышенные меры по обеспечению отсутствия вредоносных программ (как минимум, проверять состояние антивирусного ПО и актуальность антивирусных баз, а также осуществлять полную антивирусную проверку компьютера) в следующих случаях:
• При увольнении штатного IT-специалиста (системного администратора), осуществлявшего обслуживание компьютера, используемого для работы с системой ДБО.
• После любых действий внештатных IT-специалистов или любых других сотрудников, выполнявших любые операции на компьютере, используемом для работы с системой ДБО (например, решение каких-либо проблем, подключение к сети Интернет, установка, обновление и поддержке различных бухгалтерских, правовых, информационных и др. программ и т.п.)

Обращаем Ваше внимание на то, что:

1. Банк «Первомайский» (ЗАО) не осуществляет рассылку электронных писем с просьбой прислать ключи ЭЦП и/или пароль к системе ДБО и никогда не запрашивает у Вас эту информацию.
2. Рассылка программ (или ссылок на них) по электронной почте для установки на Вашем компьютере может осуществляться только службой поддержки клиентов и систем ДБО Банка и только по предварительной договоренности с Вами.

В случае если Вы получили подобное «сомнительное» письмо от имени нашего Банка, содержащее программу для установки или запрос на предоставление ключей ЭЦП/паролей, используемых в системе ДБО, Вам следует незамедлительно сообщить об этом в службу технической поддержки клиентов и систем ДБО Банка.