• 
•  > 
• Частным клиентам
•  > 
• БАНК Онлайн

Рекомендации по информационной безопасности

Методические рекомендации лицам,

присоединившимся к Соглашению о применении электронных документов

1. Общие положения

Целью Рекомендаций по информационной безопасности (далее по тексту Рекомендации) является предоставление рекомендаций пользователям системы электронного документооборота (системы «Банк Онлайн»), при выполнении которых достигается необходимый и достаточный уровень безопасного применения технологии электронной цифровой подписи (ЭЦП) всеми участниками системы.

Оператор системы просит с пониманием и внимательно отнестись к настоящим Рекомендациям, так как от их точного и неукоснительного выполнения зависит безопасность применения ЭЦП.

В документе используются понятия и термины, которые определены в Приложении № 1 к Соглашению о применении электронных документов. Для более точного понимания требований, изложенных в настоящем документе, рекомендуется перед дальнейшей работой с Рекомендациями еще раз ознакомиться с определениями, которые даны в указанном выше документе.

2. Правила эксплуатации средств электронной цифровой подписи

Средство электронной цифровой подписи (средство ЭЦП), используемое в системе электронного документооборота, сертифицировано Федеральной службой безопасности России.

Перед началом эксплуатации средства ЭЦП внимательно ознакомьтесь с эксплуатационной документацией, предоставляемой вместе с ключевым носителем. Соблюдение условий эксплуатации средства ЭЦП, изложенным в документации, является необходимым и обязательным условием эксплуатации средства ЭЦП. Эти условия являются достаточными для безопасного применения средства ЭЦП.

К основным условиям безопасной эксплуатации средства ЭЦП относятся:

1. Создание на рабочем месте (компьютере) антивирусной среды;

2. Использование персонального межсетевого экрана (брандмауэра) для защиты сетевых соединений;

3. Отсутствие на рабочем месте установленных программ для разработки и/или отладки программных средств;

4. Периодическое проведение обновлений операционной системы вместе с дополнительными «опциями безопасности»;

3. Правила по хранению и использованию ключей подписи и ключевых носителей

Сохранение в тайне закрытого ключа электронной цифровой подписи – это основа безопасной технологии применения ЭЦП. Без знания закрытого ключа подписи постороннее лицо не сможет сформировать электронную цифровую подпись за владельца ключа подписи.

Исходя из этого участникам (пользователям) системы электронного документооборота рекомендуется соблюдать следующие основные правила хранения и использования ключевых носителей и ключей подписи:

1.в качестве ключевого носителя необходимо использовать только устройства (съемные носители информации), сертифицированные Федеральной службой по техническому и экспортному контролю предоставляемые Банком – RuToken 32Кб

2. ни при каких условиях не передавать другим лицам ключевой носитель, содержащий ключевую информацию;

3. ни при каких условиях не сообщать другим лицам пароль (ПИН-код) к ключевому контейнеру, содержащемуся на ключевом носителе;

4. запрещается оставлять подключенным к USB порту носитель персональной ключевой информации, в случае если не производится работа в системе «Банк Онлайн»;

5. необходимо создать условия хранения ключевых носителей, при которых невозможен несанкционированный доступ к ним и обеспечивается сохранность ключевой информации;

7. при транспортировке ключевых носителей с ключевой информацией создаются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

Хранение и использование закрытых ключей подписи должно осуществляться в соответствии с требованиями, приведенными в эксплуатационной документации на соответствующее средство ЭЦП.

Пользователь должен самостоятельно производить смену пароля на ключевой носитель не реже одного раза в месяц. Пароль не должен быть меньше 4 символов. Использование ключевых контейнеров без парольной защиты ЗАПРЕЩАЕТСЯ.

При завершении процедуры смены ключей подписи и сертификата ключа подписи (как плановой, так и внеплановой) пользователь должен самостоятельно уничтожить ключи подписи, действие которых закончилось. Уничтожение выполняется путем удаления с ключевого носителя ключевого контейнера с помощью функции, предоставляемой средством ЭЦП.

Удостоверяющий центр изготавливает ключи подписи своим пользователям с записью в ключевой контейнер с пометкой «неэкспортируемые». Это означает, что функциями, предоставляемыми средством ЭЦП, скопировать ключевой контейнер не представляется возможным. Именно это свойство назначается ключевым контейнерам, формируемым пользователем при генерации ключей подписи самостоятельно с использованием программных средств, предоставляемых Удостоверяющим центром. Использование для генерации ключей и формирования ЭЦП иных программных средств категорически ЗАПРЕЩАЕТСЯ.

4. Правила по созданию на рабочем месте (компьютере) антивирусной среды

Для создания на рабочем месте (компьютере) пользователя антивирусной среды необходимо установить и постоянно обновлять антивирусное ПО, и антивирусные базы для него.

Некоторые письма, полученные по электронной почте, могут содержать в себе «опасные» вложения и ссылки, с помощью которых конфиденциальные данные пользователя могут стать, доступны третьим лицам.

Следует избегать выполнения небезопасных действий – не открывать сообщения и файлы от неизвестных отправителей, не переходить по ссылкам в сообщениях электронной почты и интернет-пейджеров (лучше вручную набирать их в поисковой строке браузера), а также не загружать подозрительные файлы из других источников данных.

После установки антивирусного ПО, пользователь получит возможности по обнаружению и уничтожению вредоносных программ, а использование антиспамового ПО обезопасит его почтовые ящики от получения фишинговых писем. Также рекомендуется регулярно обновлять установленные на компьютере программы, чтобы защитить себя от уязвимостей, через которые проникают вредоносные программы. Помимо этого следует убедиться, что у пользователя установлена современная версия Web-браузера, и для него установлены самые последние обновления. Если данные обновления не установлены на компьютере, то для их получения следует обратиться на Web-сайт производителя браузера. Для своевременного обнаружения вредоносных программ необходимо проводить регулярные сканирования компьютера при помощи антивирусного ПО.

Для защиты компьютера пользователя рекомендуется использовать персональный межсетевой экрана (брандмауэр). Использование брандмауэра для защиты сетевых соединений поможет, блокируя связи с нежелательными источниками, сохранить конфиденциальную информацию на компьютере пользователя в безопасности.

5. Правила защиты от фишинга

Фишинг — это вид мошенничества, использующий сообщения электронной почты, и предназначенный для того, чтобы перенаправить пользователей на Web-сайты, разработанные специально для кражи банковских данных. Таким способом, «фишеры» могут завладеть идентификационными данными пользователя и использовать их в преступных целях. Они могут использовать название и логотип Оператора системы, чтобы завоевать доверие и совершить подлог.

В фишинговом письме пользователю могут предложить так же пойти по ссылке на поддельный сайт или всплывающее окно, которые выглядит в точности так, как и оригинальный сайт, но созданные исключительно для целей похищения персональных данных. Еще при одном способе мошенничества пользователь все-таки попадет на настоящий Интернет-сайт Оператора системы, но по пути ему загрузят шпионскую программу, которая будет передавать преступникам все, что в дальнейшем будет набрано на клавиатуре.

Доверчивые люди, обманутые такими мошенническими приемами, открывают злоумышленникам номера своих кредитных карт, пароли и другую конфиденциальную информацию. Чтобы не попасть в такую ситуацию, крайне важно быть уверенным, что все транзакции совершаются в защищенной среде, которую успешно обеспечивает Оператор системы.

Для противодействия возможным мошенническим действиям (фишинговым атакам) направленным против пользователей Оператор системы рекомендует придерживаться следующих правил:

1) Никогда не следует отвечать на письма, запрашивающие конфиденциальную информацию о пользователе.

Оператор системы никогда не будет связываться с пользователем по электронной почте (или по телефону), чтобы запросить какие-либо пароли, данные счетов, прочую подобную информацию. Пользователю следует удалять любые полученные сообщения, запрашивающие личную информацию или содержащие ссылку на Web-страницу, где ему предлагается эти данные ввести. Вероятнее всего, такие сообщения являются мошенничеством.

2) Заходить на Интернет-сайт Оператора системы необходимо путем ввода его URL-адреса через адресную строку браузера.

Фишеры часто используют ссылки в письмах, чтобы завлечь свои жертвы на поддельные Web-сайты, имеющие похожие адреса, к примеру, https://my.amtbanka.com/ вместо истинного https://my.amtbank.com/ Так же, если пойти по указанной ссылке, то адрес сайта в адресной строке может выглядеть как настоящий, однако, существует несколько приемов его фальсификации, чтобы вывести пользователя на поддельный сайт. Если существует подозрение, что полученное письмо от Оператора системы является фальшивым, не используйте указанные в нем ссылки. Помните, что нельзя следовать ссылкам, указанным в письмах. Всегда вводите адреса через браузер.

3) Необходимо регулярно проверять состояние своих счетов.

Необходимо регулярно проверять выполненные транзакции по своим счетам. Если пользователь обнаружит какую-то подозрительную транзакцию, то ему следует незамедлительно связаться с Оператором системы.

4) Следует проверять уровень защиты посещаемого пользователем системы электронного документооборота сайта.

Перед тем, как ввести данные собственного банковского счета или другую конфиденциальную информацию, стоит провести несколько проверок, чтобы убедиться, что на Web-сайте для защиты личных данных пользователя используются криптографические методы.

Для этого следует проверить Web-адрес в адресной строке браузера. Если Web-сайт, который посетил пользователь, расположен на защищенном сервере, то адрес должен начинаться с «https://» («s» от security), а не с обычного «http://».

Также следует посмотреть состояние иконки с изображением замка в статусной строке браузера. Пользователь может проверить уровень криптозащиты, поводив курсором мыши над этой иконкой. Если остаются сомнения, следует убедиться, что сертификат Web-страницы действителен, для этого необходимо дважды щелкнуть левой кнопкой мышки по замку.

5) Следует всегда сообщать об обнаруженной подозрительной активности.

Если у пользователя возникли подозрения о том, что полученное электронное сообщение поддельно, то тогда данное сообщение следует перенаправить Оператору системы.

При необходимости пользователь может получить квалифицированную консультацию специалиста по любым вопросам, касающимся услуг предоставляемых Оператором системы. Контактная информация для связи с Оператором системы:

Телефон	(495) 363-00-50  (495) 363-00-50 (Call-центр)
Адрес электронной почты	online@btabank.ru

6. Правила по использованию пароля на рабочем месте (компьютере)

Для ограничения доступа третьих лиц на компьютер пользователя рекомендуется использовать парольную защиту. При организации парольной защиты на компьютере Оператор системы рекомендует придерживаться следующих правил:

1. Помнить логин и пароль для доступа на компьютер. Никогда не следует записывать их в местах доступных посторонним лицам.

2. При вводе нового пароля не рекомендуется использовать простые комбинации, лучше всего, если пароль будет состоять из заглавных и строчных букв, а также цифр. Это обеспечит максимальную защиту от подбора и взлома пароля.

3. Необходимо регулярно производить смену пароля для доступа на компьютер пользователя.