УРАЛСИБ |
Клиент-Банк
| Архангельск |
Рекомендации по безопасности
1 Настоящие рекомендации определяются условиями лицензирования ФСБ деятельности Банка, а также требованиями ФСБ к средствам криптографической защиты конфиденциальной информации.
Архангельск, Филиал ПАО "БАНК УРАЛСИБ" в г. Санкт-Петербург
Рекомендации по безопасности
- 1.
При работе с Системой Клиент-Банк через Интернет
- 1.1.
Обеспечьте безопасность компьютера, с использованием которого осуществляется работа в СКБ:
- 1.1.1. Перед входом в СКБ необходимо удостовериться в том, что на компьютере, с использованием которого осуществляется работа в СКБ, отсутствует вредоносное программное обеспечение, на компьютере установлено, активировано и работает современное лицензионное антивирусное программное обеспечение, регулярно обновляются его антивирусные базы. Только регулярные обновление антивирусных баз и проведение антивирусных проверок позволит Вам своевременно обнаружить и предотвратить появление вредоносных программ (особенно важно контролировать обновление, если нет постоянного подключения к Интернету).
- 1.1.2. На компьютере рекомендуется использовать только лицензионное программное обеспечение, регулярно устанавливать рекомендуемые производителями обновления, как операционной системы, так и прикладного программного обеспечения, в том числе браузера, это позволит устранить выявленные уязвимости.
- 1.1.3. Рекомендуется использовать на вашем компьютере персональный межсетевой экран для входа в Интернет. Это позволит значительно снизить риск удаленного управления злоумышленниками из Интернет и локальной сети вашим компьютером и кражи вашей конфиденциальной информации. Дополнительно в настройках персонального межсетевого экрана рекомендуется разрешить подключение вашего Компьютера только к северу СКБ (https://dbo.ХХХ.uralsibbank.ru, где XXX – сокращенный территориальный признак Банка, и https://dbo.uralsibbank.ru) и серверам обновлений разработчиков используемого программного обеспечения, любые иные подключения рекомендуется запретить.
- 1.1.4. Рекомендуется осуществлять работу в СКБ с использованием отдельной учетной записи в операционной системе компьютера, защищенной сложным паролем, известным только Вам. При возможности рекомендуется осуществлять доступ в СКБ с выделенного компьютера, используемого исключительно для работы с СКБ. Права пользователя в операционной системе компьютера должны быть минимально необходимыми, должна быть запрещена установка прикладного программного обеспечения за исключением необходимого для работы в СКБ.
- 1.1.5. Рекомендуется избегать работы в СКБ с «недоверенных» компьютеров (в Интернет-кафе или другие общедоступные компьютеры, а так же «чужие» компьютеры временно используемые вами и т.п.). Крайне не желательно использование для работы в СКБ публичных беспроводных сетей (например, бесплатный Wi-Fi и т.п.), вместо этого лучше воспользуйтесь «мобильным Интернетом» (GPRS / EDGE / HSPA / 3G соединение). В выше описанных случаях существенно повышается риск кражи ваших конфиденциальных данных и денежных средств. Если же данные рекомендации Вами не выполнены, то сразу же при первой возможности измените пароль, войдя в СКБ с «доверенного» Компьютера.
- 1.1.6. Не оставляйте без присмотра компьютер с активной СКБ.
- 1.1.7. По возможности исключите посещение с данного компьютера сайтов сомнительного содержания и любых других потенциально опасных Интернет-ресурсов (социальные сети, форумы, чаты, телефонные сервисы и т.д.), а также чтение почты и открытие почтовых документов полученных из недостоверных источников.
- 1.2.
Выполняйте правила безопасности при работе в Системе Клиент-Банк
- 1.2.1. Перед вводом логина и пароля при входе в СКБ убедитесь, что соединение установлено именно со стартовой страницей СКБ и в адресной строке web-браузера отображается https://dbo.ХХХ.uralsibbank.ru (где XXX – сокращенный территориальный признак Банка) или https://dbo.uralsibbank.ru. Злоумышленники могут создать мошеннический ресурс с похожим адресом и визуально похожим на сайт СКБ. Если вы заметили, что адрес сайта отличается или есть иные причины вызывающие подозрения в подлинности сайта (например, сообщение web-браузера о перенаправлении на другой сайт), то не вводите никакой конфиденциальной информации и незамедлительно сообщите о данном факте в Банк по телефону техподдержки. Рекомендуется вводить адрес СКБ только вручную в адресной строке web-браузера и не переходить на данную страницу по ссылкам с Интернет ресурсов (за исключением http://www.bankuralsib.ru/) или из сообщений по e-mail / в социальных сетях / СМС сообщений, даже если они отправлены от имени Банка.
- 1.2.2. При работе с СКБ для обеспечения конфиденциальности весь трафик между Банком и вашим компьютером шифруется с помощью защищенного протокола TLS (Transport Layer Security). Перед началом работы в СКБ необходимо удостовериться, что соединение установлено в защищенном режиме TLS. В префиксе в адресной строке web-браузера должен появиться символ S - https://dbo.ХХХ.uralsibbank.ru (где XXX – сокращенный территориальный признак Банка) или https://dbo.uralsibbank.ru, а так же отобразиться иконка «закрытый замок». Расположение иконки зависит от версии web-браузера, но как правило «закрытый замок» располагается в конце правой части адресной строки, либо в правом нижнем углу экрана. При клике на данное изображение должны отображаться сведения о сертификате (в строке сертификата «кем выдан» должно быть указано Thawte SSL CA), важно проверить наличие данных сведений так как мошеннические сайты могут содержать имитацию иконки «закрытый замок».
- 1.2.3. После окончания работы в СКБ обязательно завершайте сеанс работы.
- 1.3.
Соблюдайте правила безопасности при работе с ключевыми носителями:
- 1.3.1. Уделите вопросу хранения ключей СКБ должное внимание. Помните, что наличие ключа позволяет заверить от Вашего имени документ и передать его на исполнение в Банк. Для большей безопасности храните ключи на съемных защищенных ключевых носителях (eToken, iKey1000).
- 1.3.2. Подключайте ключевой носитель к компьютеру только на время подписи документов. Не держите ключевые носители постоянно подключенными к компьютеру. Ни в коем случае не храните ключи на жестком диске компьютера.
- 1.3.3. Постарайтесь внедрить использование для отправки документов двух подписей (2-х ключей). Украсть два ключа сложнее, чем один.
- 1.3.4. При вводе ключа и пароля особое внимание, обращайте на правильное отображение названия ключа.
- 1.3.5. При компрометации секретных ключей или компьютера, увольнения ответственного сотрудника или ИТ специалиста Вашей компании, который имел доступ к компьютеру или к секретным ключам незамедлительно сообщите в Банк для блокировки ключей и генерации новых.
- 1.4.
Соблюдайте правила безопасности при использовании паролей
- 1.4.1.
Для работы в СКБ необходимо использовать только сложные пароли, удовлетворяющие следующим требованиям:
- пароль должен иметь длину от 6 до 20 символов, в нем должно быть не менее двух цифр и двух букв, допускается использование букв латинского алфавита, цифр, знаков ! # $ % & ( ) * + - . / : ; < = > ? [ \ .
- пароль не должен содержать последовательности одинаковых символов и групп символов, легко угадываемые комбинации символов (dddddd, 333444555, qwerty, 12345, abc123 и т.п.)
- пароль не должен содержать связанных c Вами данных (имена и даты рождения членов семьи, адреса, телефоны, часть номера вашей банковской карты и т.п.)
- пароль не должен содержать словарных слов (passw0rd, football, shadow, sergey, natalia, русские слова, набранные в английской кодировке, например, Сергей – Cthutq).
- пароль не должен совпадать с предыдущими паролями и не должен совпадать с именем входа.
- пароль не должен быть копией или комбинаций паролей используемых Вами в других системах операционная система компьютера, электронная почта, развлекательный ресурсы в Интернет и т.п.)
- 1.4.2. Никогда не сообщайте свой пароль третьим лицам, в том числе коллегам, родственникам и сотрудникам Банка, вводите пароль только при работе в СКБ. Сотрудник Банка не имеет права запрашивать у Вас пароль, даже если вы самостоятельно обратились в Банк. Вводите пароль только в СКБ, Банк никогда не отправляет сообщений с просьбой уточнить или предоставить пароль.
- 1.4.3. Не записывайте свой пароль там, где доступ к нему могут получить третьи лица. Запрещается сохранять пароль на компьютере, мобильном устройстве, а так же на иных электронных носителях, доступ к которым могут получить третьи лица.
- 1.4.4. Рекомендуется осуществлять смену пароля доступа к СКБ не реже одного раза в 3 месяца.
- 1.4.5.
При возникновении подозрений, что Ваш пароль стал известен третьим лицам, необходимо
незамедлительно сменить пароль или заблокировать доступ в СКБ, обратившись в Банк по
телефону техподдержки.
В случае утраты, а так же при возникновении любых подозрений, что Ваши логин и пароль стали известны третьим лицам (в том числе представившихся сотрудниками Банка) незамедлительно заблокируйте Вашу учетную запись в СКБ. Вы можете сделать это, связавшись с Банком по телефону техподдержки.
- 1.4.1.
Для работы в СКБ необходимо использовать только сложные пароли, удовлетворяющие следующим требованиям:
- 1.5.
Остерегайтесь мошенничества:
- 1.5.1. Банк никогда не связывается по телефону и не осуществляет рассылок сообщений по СМС или email с просьбой предоставить, подтвердить или уточнить Вашу конфиденциальную информацию (пароли, логины, кодовое слово, Ф.И.О., паспортные данные, номер мобильного телефона, на который приходят одноразовые пароли и другие конфиденциальные данные). Не отвечайте на такие сообщения.
- 1.5.2. Банк никогда не связывается с просьбой установить или обновить программное обеспечение, в своих электронных письмах никогда не рассылает программы. Не открывайте подозрительные файлы, присланные вам по электронной почте.
- 1.5.3. При получении подозрительного сообщения якобы от имени Банка не отвечайте на него, не переходите по ссылкам указанным в подозрительном сообщении (даже если адрес похож на адрес сайта Банка). В сообщениях Банка никогда не будет просьбы зайти в СКБ по указанной в сообщении ссылке.
- 1.5.4. При работе с СКБ обратите внимание на страницу входа и интерфейс, если вы заметите любые отличия, не заявленные ранее Банком, или возникнут иные причины для возникновения подозрений в том что сайт поддельный, необходимо незамедлительно прекратить работу и обратиться в Банк по телефону техподдержки (никогда не связывайтесь по телефону указанному на подозрительной странице).
- 1.5.5. Если вы самостоятельно связались с Банком, сотрудники могут уточнить у Вас персональную информацию, но не имеют права запрашивать у Вас пароль на вход в СКБ.
- 1.5.6. Банк никогда не направляет сообщений о блокировке/разблокировке Вашей учетной записи в СКБ. Сотрудники Банка никогда не связываются по телефону, чтобы сообщить о недоступности СКБ вследствие проведения каких-либо регламентных работ. Если вы получили подозрительное сообщение от имени Банка, либо с Вами связались по телефону с одной из просьб, перечисленных в данном разделе, то рекомендуется сообщить о данном факте в Банк по телефону техподдержки (никогда не связывайтесь с Банком по телефону указанному в подозрительном сообщении).
- 1.5.7. Обращайте внимание на появление подозрительной активности на Вашем компьютере, например, самопроизвольные движение курсора на экране, набор текста и т.п. Обращайте внимание на невозможность зайти на сайт СКБ, при том, что другие Интернет-сайты у Вас загружаются, а так же на невозможность войти в СКБ по причине несовпадения логина и пароля, при том, что они корректны. Обращайте внимание на «зависания» СКБ, при нормальной работе других Интернет сайтов. Данные факты могут свидетельствовать о заражении Вашего компьютера вредоносными программами. Избегайте работы в СКБ с зараженных компьютеров, если на зараженном компьютере уже осуществлялась работа в СКБ, то незамедлительно заблокируйте Вашу учетную запись в СКБ. Вы можете сделать это, связавшись с Банком по телефону техподдержки.
- 1.5.8.
В случае если, по Вашему мнению, произошло несанкционированное списание денежных средств,
необходимо незамедлительно обратиться в Банк с сообщением о несанкционированном списании.
В случае если операция не совершалась ни Клиентом, ни его Представителем, а так же имеются
иные признаки незаконного завладения денежными средствами (кражи) с использованием СКБ, то
после обращения в Банк Вам рекомендуется оперативно обратиться с заявлением в
правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств
(глава 21 УК РФ). После чего предоставить в Банк копию заявления о возбуждении уголовного дела,
либо копию талона-уведомления, подтверждающего непосредственное обращение в
правоохранительные органы и содержащего порядковый номер из книги учета сообщений о
преступлениях содержащую отметку правоохранительного органа о его приеме.
Помните, что Ваше оперативное обращение в Банк может предотвратить несанкционированное списание, либо приостановить списание денежных средств, снизив Ваши финансовые потери.
- 1.1.
Обеспечьте безопасность компьютера, с использованием которого осуществляется работа в СКБ:
- 2.
При эксплуатации средств защиты информации 1
- 2.1.
Рекомендации по организационному обеспечению безопасности средств защиты информации (далее - СЗИ):
- в организации Клиента выделяются (определяются) должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СЗИ;
- в организации Клиента разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СЗИ;
- к работе с СЗИ допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации СЗИ.
- 2.2.
Рекомендации по размещению СЗИ и режиму охраны:
- помещения, в которых размещаются технические средства клиентского рабочего места со встроенными СЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ;
- размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств;
- размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности;
- входные двери режимных помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время;
- окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией;
- размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна;
- в режимные помещения допускаются руководители организации Клиента, сотрудники подразделения безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальных документов;
- системные блоки компьютеров с СЗИ оборудуются средствами контроля вскрытия;
- ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СЗИ.
- 2.3.
Рекомендации по обеспечению безопасности ключевой информации:
- необходимо по возможности производить резервное копирование рабочих ключевых носителей с ключами АСП;
- ключевые носители в организации Клиента берутся на поэкземплярный учет в выделенных для этих целей журналах;
- учет и хранение ключей поручается руководством Клиента специально выделенным сотрудникам;
- для хранения ключевых носителей с ключами АСП выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации;
- хранение ключей допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное применение, не предусмотренное правилами пользования СЗИ;
- ключевые носители с рабочими ключами (копиями рабочих ключей) хранятся раздельно с обеспечением условия невозможности их одновременной компрометации;
- при транспортировке ключевых носителей с секретной ключевой информацией создаются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.
- 2.1.
Рекомендации по организационному обеспечению безопасности средств защиты информации (далее - СЗИ):
1 Настоящие рекомендации определяются условиями лицензирования ФСБ деятельности Банка, а также требованиями ФСБ к средствам криптографической защиты конфиденциальной информации.