Рекомендации Клиенту для обеспечения безопасности информации при использовании систем «Клиент-Банк» и «Интернет-Клиент-Банк» (в новой редакции) При работе с системами «Клиент-Банк»




Скачать 80.13 Kb.
Дата09.10.2016
Размер80.13 Kb.
Рекомендации Клиенту для обеспечения безопасности информации

при использовании систем «Клиент-Банк» и «Интернет-Клиент-Банк»

(в новой редакции)
1. При работе с системами «Клиент-Банк» и «Интернет-Клиент-Банк» Клиент в обязательном порядке должен соблюдать следующие рекомендации:
1.1. обеспечить безопасность персонального компьютера, с помощью которого осуществляется доступ в Подсистему «Клиент»/«Интернет-Клиент», в том числе:

1.1.1. устанавливать Подсистему «Клиент»/«Интернет-Клиент» на персональный компьютер с лицензионной операционной системой и регулярно осуществлять официальные обновления операционной системы;

1.1.2. для защиты операционной системы использовать лицензионное антивирусное программное обеспечение (например, Kaspersky, Dr.Web, Symantec, Avira, ESET NOD 32, McAfee и др.) и ограничить доступ к настройки антивируса паролем;

1.1.3. ежедневно обновлять антивирусные базы, а также регулярно (например, на еженедельной основе) производить полную проверку персонального компьютера на вирусы и другие программы деструктивного действия;

1.1.4. настроить ограничение доступа с персонального компьютера только к адресам Банка в сети Интернет;

1.1.5. категорически запрещается:

- не устанавливать и исключить установку программ удаленного доступа к персональному компьютеру (например, TeamViewer, Radmin, Ammyy Admin др.), а также любые другие нелицензионные программы, использующие всевозможные «крэки» и генераторы ключей;

- посещать социальные сети (например, ВКонтакте, Одноклассники, Facebook и др.), различные форумы и чаты;

- устанавливать и использовать программное обеспечение для облачного хранения (например, GoogleDisk, YandexDisk, DropBox, Mail cloud и др.);

- устанавливать и использовать программы, обеспечивающие голосовую и видео связь (например, Skype, Viber, Microsoft Lync и т.п.) и программы мгновенного обмена сообщениями (например, ICQ, QIP, Mail.ru agent, Miranda и т.п.);

1.1.6. ограничить или полностью отказаться от приема внешней (из сети Интернет) электронной почты. В случае приема внешней электронной почты получаемая почта в обязательном порядке должна проверяться антивирусом;

1.1.7. пользователи Системы не должны иметь прав администратора, доступ пользователей к файловым ресурсам компьютера должен быть ограничен минимально необходимыми правами доступа;

1.1.8. использовать пароль для входа в персональный компьютер, который должен отвечать требованиям, предусмотренном п. 1.4.1 настоящего Приложения.

При отсутствии необходимости работы с персональным компьютером (в том числе при временном отсутствии на рабочем месте) необходимо осуществлять блокирование операционной системы одним из следующих способов:

- одновременно нажать клавиши CTRL+ALT+DEL, далее в диалоговом окне нажать «Блокировать компьютер»;

- одновременно нажать клавиши «Windows» + L»;

1.1.9. каждый Владелец сертификата ключа проверки ЭП для доступа к персональному компьютеру, с которого предполагается доступ к Подсистеме «Клиент»/ «Интернет-Клиент», должен использовать собственную учетную запись. Передача учетной записи третьим лицам для доступа к персональному компьютеру недопустима;

1.1.10. настраивать блокировку учетной записи после 6 (шести) (или менее шести) неудачных попыток входа. Учетная запись в такой ситуации должна автоматически блокироваться, например, на 10 минут или до момента разблокировки учетной записи системным администратором;

1.1.11. избегать работы с Системой с персонального компьютера, не вызывающего доверие (в Интернет-кафе, другого общедоступного компьютера, компьютера, принадлежащего третьим лицам и т.п.), а также использование для работы с Системой публичных беспроводных сетей (например, бесплатный Wi-Fi и т.п.);

1.1.12. по окончании рабочего дня необходимо завершить работу с персональным компьютером (выключить компьютер);

1.2. обеспечить безопасность при работе с системами «Клиент-Банк» и «Интернет-Клиент-Банк», в том числе:

1.2.1. вход в Подсистему «Интернет-Клиент» осуществлять исключительно с официального web-сайта Банка в сети Интернет: https://clbank.sngb.ru.



Внимание: Банк никогда не помещает ссылки на страницу входа в систему «Интернет-Клиент-Банк» в исходящей корреспонденции;

1.2.2. если адрес официального web-сайта Банка отличается или имеются причины, вызывающие подозрение в подлинности сайта (например, сообщение web-браузера о перенаправлении на другой сайт), необходимо незамедлительно прекратить операцию по входу в Подсистему «Интернет-Клиент» и сообщить о данном факте в Банк по телефону, указанному в Договоре;

1.2.3. ежедневно просматривать созданные и отправленные в течение дня ЭД на предмет отсутствия несанкционированных ЭД. При обнаружении несанкционированных ЭД необходимо незамедлительно обратиться в Банк;

1.2.4. после окончании работы с Системой необходимо обязательно завершить сеанс связи и выйти из Подсистемы «Клиент»/«Интернет-Клиент»;


1.3. обеспечить безопасность при работе с внешним ключевым носителем, в том числе:

1.3.1. осуществлять поэкземплярный учет внешних ключевых носителей, дистрибутивов и регистрировать их копии;

1.3.2. устанавливать внешний ключевой носитель в usb-порт персонального компьютер только в момент подписания ЭД или получения информации из Банка (и при входе в Подсистему «Интернет-Клиент-Банк»). Запрещается держать внешний ключевой носитель постоянно подключенным к персональному компьютеру;

1.3.3. вне времени сеансов связи с Банком, а также по окончании рабочего дня хранить внешний ключевой носитель в сейфе или иное хранилище, обеспечивающее его сохранность и исключающее вероятность непреднамеренного уничтожения информации или ознакомления с ней посторонних лиц. Доступ посторонних лиц к внешнему ключевому носителю может привести к несанкционированному Клиентом получению посторонними лицами сведений, содержащих банковскую тайну, и/или может привести к несанкционированным Клиентом операциям с использованием Системы;

1.3.4. осуществлять транспортировку внешнего ключевого носителя при условиях, обеспечивающих защиту от физических повреждений и внешнего воздействия на информацию, записанную на внешний ключевой носитель;
1.4. обеспечить безопасность при использовании имя пользователя (логина) и пароля для доступа в Подсистему «Клиент»/«Интернет-Клиент» и использовании защищенного ключевого носителя, в том числе:

1.4.1. регулярно (не менее 1 раза в 2 месяца) инициировать смену паролей (и в обязательном порядке при его компрометации (подозрения на компрометацию)) с учетом следующего:

- длина пароля должны быть не менее 8 символов;

- в пароле обязательно должны присутствовать заглавные и прописные (верхнего и нижнего регистра) символы, цифры, а также специальные символы (например, #, %, * и т.п.);

- в качестве пароля не следует использовать повторяющуюся комбинацию из нескольких символов, либо комбинацию символов, набираемых в закономерном порядке (например, dddddd, 333444555, qwerty, 12345, abc123 и т.п.);

- в качестве пароля не следует использовать имя, фамилию, день рождения и другие памятные даты (в том числе членов семьи), номер телефона, автомобиля, адрес места жительства и другие данные, которые могут быть подобраны злоумышленниками путем анализа информации о пользователе;

- пароль не должен состоять из русских слов, набранных в английской кодировке (например, Сергей – sergey);

- пароль не должен совпадать с предыдущими паролями и не должен совпадать с именем входа в персональный компьютер.

Не допускается использование стандартных паролей доступа, т.е. тех, которые были назначены по умолчанию производителем/разработчиком (данные пароли должны бать незамедлительно изменены);

1.4.3. не сообщать пароль посторонним лицам, в том числе коллегам, родственникам и представителям Банка. Разглашение пароля может привести к несанкционированному Клиентом получению посторонними лицами сведений, содержащих банковскую тайну, и/или может привести к несанкционированным Клиентом операциям с использованием Системы.



Внимание: Представитель Банка не имеет права запрашивать пароль, Банк никогда не отправляет сообщений с просьбой уточнить или предоставить пароль;

1.4.4. не разрешайте программному обеспечению персонального компьютера запоминать пароли, используемые для работы в Подсистеме «Клиент»/ «Интернет-Клиент»;

1.4.5. для хранения пароля использовать сейф или иное хранилище, обеспечивающее его сохранность и исключающее вероятность непреднамеренного уничтожения информации или ознакомления с ней посторонних лиц.

2. При эксплуатации СКЗИ Клиенту необходимо:

2.1. приказом назначить работников, ответственных за обеспечение безопасности информации и эксплуатации СКЗИ, а также за учет и хранение внешних ключевых носителей;

2.2. разработать локальные нормативные акты, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ;

2.3. к работе с программным комплексом и СКЗИ допускать работников, имеющих навыки работы на персональном компьютере и ознакомленных с предоставленными Банком правилами эксплуатации программного комплекса и СКЗИ;

2.4. помещения, в которых размещаются программно-технические средства Подсистемы «Клиент»/«Интернет-Клиент» и СКЗИ, должны обеспечивать конфиденциальность проводимых работ и исключать возможность бесконтрольного проникновения в них посторонних лиц;

2.5. размещать оборудование, технические средства, предназначенные для обработки конфиденциальной информации, в помещении, соответствующем требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности;

2.6. размещать технические средств в помещении исключающем возможность визуального просмотра посторонними лицами конфиденциальной информации, в том числе с экранов мониторов, на которых она отображается;

2.7. ремонт и/или последующее использование системных блоков осуществлять после удаления с них программного комплекса СКЗИ.


Внимание: Остерегайтесь мошенничества!

1. Банк никогда не связывается по телефону и не осуществляет рассылки сообщений по смс и/или e-mail с просьбой предоставить, подтвердить или уточнить конфиденциальную информацию (пароли, логины, и пр.).

2. Банк никогда не связывается с просьбой установить или обновить программное обеспечение. Банк никогда не рассылает программы для установки посредством электронной почты (запрещается открывать подозрительные файлы, полученные по электронной почте).

3. Банк никогда не направляет сообщений о блокировке/разблокировке учетной записи. Банк никогда не направляет сообщения с просьбой войти в Подсистему «Клиент»/ «Интернет-Клиент» по указанной в сообщении ссылке.

4. При получении подозрительного сообщения от имени Банка не стоит на него отвечать и переходить по ссылкам, указанным в подозрительном сообщении (даже если адрес похож на адрес web-сайта Банка). Рекомендуется немедленно сообщить о данном факте в Банк по телефону, указанному в Договоре. При этом никогда не связывайтесь с Банком по телефону указанному в подозрительном сообщении.

5. Обращайте внимание:

- на появление подозрительной активности на персональном компьютере (например, самопроизвольные движение курсора на экране, набор текста и т.п.);

- на невозможность зайти на web-сайт Банка, при том, что другие Интернет-сайты загружаются:

- на невозможность войти в Подсистему «Клиент»/ «Интернет-Клиент» по причине несовпадения логина и пароля, при том, что они корректны;

- на «зависания» Подсистемы «Клиент»/ «Интернет-Клиент» при нормальной работе других Интернет сайтов;

- на появление на мониторе экрана персонального компьютера запроса о вводе пароля для использования ключевого носителя (если запрос на пароль не обусловлен действиями Владельца сертификата ключа проверки ЭП);

- на появление на персональном компьютере учетной записи, отличной от учетной записи Владельца сертификата ключа проверки ЭП.;

- на случаи непроизвольного (самостоятельного) отключения персонального компьютера (в данном случае не допускается осуществлять самостоятельное включение персонального компьютера, необходимо незамедлительно обратиться в Банк за получением дальнейших рекомендаций).

Указанные факты могут свидетельствовать о заражении компьютера вредоносными программами или о возможности доступа к персональному компьютеру третьих лиц.



6. Избегайте работы с Подсистемой «Клиент»/ «Интернет-Клиент» с зараженного персонального компьютера. Если на зараженном персональном компьютере уже осуществлялась работа, то необходимо незамедлительно заблокировать учетную запись самостоятельно или при помощи работника Банка.


База данных защищена авторским правом ©infoeto.ru 2016
обратиться к администрации
Как написать курсовую работу | Как написать хороший реферат
    Главная страница