+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

«Клиент-Банк»: правила безопасности

Содержание

Безопасность работы в системе «Клиент-Банк»

«Клиент-Банк»: правила безопасности

Система «Клиент-Банк» относится к классу систем защищенного электронного документооборота и может использоваться как при работе через Интернет, так и через модем.

Обмен электронными документами происходит непосредственно между банком и клиентом.

Электронный документ, отправленный клиентом и полученный банком в соответствии с Договором на расчетное обслуживание с использованием системы «Клиент-Банк», является основанием для осуществления финансовых операций.

Рекомендации по работе

Для минимизации риска мошеннических действий посторонних лиц во время работы с системой «Клиент-Банк» и заботясь о безопасности платежей, АО «Укрэксимбанк» рекомендует:

  1. Хранить электронные ключи системы «Клиент-Банк» на сменном защищенном носителе информации. Не передавать носитель с ключом системы «Клиент-Банк» третьим лицам, хранить его в персональном сейфе.
  2. Использовать (подключать, вставлять) сменный носитель информации с ключом в компьютер непосредственно во время создания платежей. Сразу после завершения работы с платежами вынуть его из компьютера и спрятать в персональный сейф.
  3. Установить лицензионное антивирусное программное обеспечение и межсетевой экран (Brandmauer, Firewall), которые блокируют вмешательство в работу с платежами вредоносного программного обеспечения, следить за своевременным обновлением антивирусных баз, проводить периодическое сканирование компьютера на наличие вредоносного программного обеспечения.
  4. Ограничить доступ к компьютеру организационно (доступ в помещение) и программно (пароль на доступ в компьютер, блокирование экрана через 5 минут неактивности, и т. п.), на котором установлена система «Клиент-Банк».
  5. Использовать пароли, состоящие из букв, цифр и символов. Не использовать тривиальные и простые пароли. Длина пароля должна быть не менее 7 знаков.
  6. Не записывать пароль на бумаге, мониторе, в файле и т.д. и не сообщать его третьим лицам. Если у Вас возникло подозрение, что пароль стал известен посторонним лицам, немедленно измените его и обратитесь к администраторам по технической поддержке системы «Клиент-Банк» для получения дополнительных консультаций.
  7. Периодически менять пароль (к компьютеру, к электронному ключу). Рекомендуемый срок смены пароля – максимум 90 дней.
  8. Обязательно после окончания работы с системой «Клиент-Банк» закрывать рабочее окно программы.
  9. Использовать лицензионное программное обеспечение на компьютере, с которого осуществляются платежи средствами систем дистанционного обслуживания. Устанавливать обновления, рекомендуемые компаниями – производителями программного обеспечения.
  10. Не хранить на сменном носителе, который используется для ключей электронно-цифровой подписи системы «Клиент-Банк», другую информацию и защитить сменный носитель от записи.
  11. Не отправлять любую персональную информацию – логин, пароль, контрольное слово, номер платежной карты и т.д. незащищенными каналами связи (электронная почта, SMS-сообщения и т.п.) по просьбе псевдопредставителей банка. Если вы получили подобное сообщение, просьба немедленно обратиться в Контакт-центр банка и сообщить о таком случае для получения дополнительных консультаций.

Соблюдайте эти несложные правила, и Ваше общение с банком будет приятным и безопасным, а средства и персональные данные – надежно защищены!

Порядок действий при выявлении случая несанкционированного доступа к счету или подозрении на компрометацию логина, пароля или ключа

В случаях выявления несанкционированного доступа или подозрения на несанкционированный доступ к счету или компрометации/подозрения на компрометацию логина, пароля или ключа; неработоспособности системы «Клиент-Банк» или компьютера, на котором установлена эта система, необходимо незамедлительно оповестить технический персонал системы «Клиент-Банк» в рабочее время по телефонам согласно перечня и Контакт-центр по телефонам: 0-800-50-44-50 (звонки по Украине бесплатные), +38 044-247-38-38.

При этом обязательно необходимо осуществить сверку остатков средств на счету и перечень последних платежей. В случае обнаружения несанкционированного платежа в кратчайший срок передать в банк письменное обращение, в котором подробно изложить все обстоятельства несанкционированного доступа.

Механизмы защиты:

  • Шифрование данных – для обеспечения конфиденциальности передаваемой информации. Все электронные документы передаются в зашифрованном виде. Шифрование данных осуществляется на сессионных ключах.
  • Механизм электронной цифровой подписи (ЭЦП) – для обеспечения аутентичности (доказательство авторства) и целостности документа в системе «Клиент-Банк». Именно электронный документ с ЭЦП является доказательной базой при разрешении конфликтной ситуации. В системе реализованы алгоритмы ЭЦП – RSA ключом и хэш-функция ISO2.

Источник: http://www.eximb.com/rus/sme/everyday/client_bank/safety/

Рекомендации по безопасному использованию системы «Банк-Клиент» — Банк Пермь (АО)

«Клиент-Банк»: правила безопасности
1. Обеспечьте сохранность ключевого носителя.

После регистрации в системе «Банк-Клиент» Вы получили ключевой носитель, который содержит ключи ЭП, базу данных, инструкции. Вы должны обеспечить его сохранность от посторонних лиц.

Ключи электронной подписи (ЭП) необходимо хранить на отдельном сменном носителе (флеш-карта, USB-флешка, дискета), не храните на нем другие данные. Используйте носитель с ключами ЭП только для работы c «Банк-Клиент», убирайте его в запираемый ящик (сейф) в остальное время.

Нельзя хранить копии ключевого носителя на жестком диске, в сетевых каталогах с общим доступом и на других общедоступных ресурсах.

Не передавайте ключевой носитель или его копию посторонним, не оставляйте его без присмотра.

Сделайте резервную копию ключевого носителя и храните ее в сейфе.

2. Ограничьте доступ к компьютеру с системой «Банк-Клиент»

Доступ к компьютеру, на котором установлен «Банк-Клиент», должны иметь только доверенные сотрудники.

Операционная система и все программы, устанавливаемые на компьютер, должны быть лицензионными, поступать из заслуживающих доверия источников. Не используйте взломанные программы.

Операционная система и установленные программы должны регулярно обновляться. В обновления системных и прикладных программ входят доработки, повышающие безопасность и надежность работы, предотвращающие распространение компьютерных вирусов.

Необходимо установить антивирусную программу и поддерживать её функционирование, регулярно обновлять, регулярно запускать. Незамедлительно удалять обнаруженное вредоносное программное обеспечение (вирусы, шпионские программы и т. д.).

Необходимо отключить “автоматическое выполнение” для подсоединяемых к компьютеру флеш-карт и компакт-дисков для исключения запуска вредоносных программ.

Необходимо предусмотреть невозможность установки посторонними лицами (гостями, посетителями, обслуживающим персоналом) на компьютер специальных “шпионских” программ. Хорошей практикой является работа на компьютере от имени пользователя, не имеющего полномочий администратора.

Нельзя устанавливать программу «Банк-Клиент» и работать в ней с чужих компьютеров.

Рекомендуем ограничить свой обмен через интернет только надёжными информационными порталами и проверенными корреспондентами электронной почты.

Не открывайте письма и вложения, полученные по электронной почте от неизвестного Вам отправителя, не переходите по подозрительным ссылкам. Часто в виде “интересной ссылки” в письме от якобы знакомого приходит вредоносная программа. Часто вредоносная программа скрывается под всплывающим окном рекламной ссылки на сайте.

Запретите удаленный доступ к компьютеру, на котором установлен «Банк-Клиент».

3. Контролируйте состояние денежных средств в банке

Регулярно проверяйте состояние Ваших счетов и документов в банке, выполняя запросы выписки и документов (ежедневно, обязательно утром и вечером, желательно в течение дня). Если Вы обнаружили документы, которые Вы не передавали — срочно звоните в банк с просьбой остановить обработку и разобраться.

При неожиданном “зависании” компьютера в момент работы с системой “Клиент-Банк”, с последующим полным отказом в работе, необходимо позвонить в операционный отдел банка и убедиться, что по Вашему счёту от Вашего имени не отправлен платёж.

Позвоните в службу технической поддержки банка и сообщите, что до момента устранения неисправности Вы не будете передавать документы в банк по системе «Банк-Клиент». Подтвердите это письмом с печатью и подписью руководителя.

4. Меняйте (создавайте новые) ключи ЭП в следующих случаях

Срок действия ключа ЭП составляет 1 год, до окончания срока его действия Вы должны самостоятельно в программе «Банк-Клиент» создать новые ключи ЭП и зарегистрировать Регистрационную карточку в банке.

Ключи ЭП необходимо менять при смене специалиста (руководителя, программиста, системного администратора, бухгалтера), непосредственно работающего с ключами ЭП, или при подозрении в компрометации ключей. В частности, компрометацией является вирусная активность на компьютере, на котором установлена программа «Банк-Клиент».

При проведении ремонтных и любых других работ на компьютере с программой «Банк-Клиент» сторонними специалистами заранее звоните в банк и предупреждайте о запрете приема банком документов по «Банк-Клиент». После окончания работ — смените ключи ЭП на новые. Просьбу о запрете приема документов обязательно подтвердите письмом с печатью и подписью руководителя.

5. Используйте все возможности системы «Банк-Клиент»

Ограничьте суммы документов, передаваемых по системе «Банк-Клиент» (первоначально Вы установили эту сумму в Заявке, можно ее изменить по дополнительному соглашению).

Если Вы работаете в интернет с постоянного ip-адреса, можете установить его как единственный разрешенный, с которого можно принимать от Вас сообщения по системе Банк-Клиент. Сообщения с других ip-адресов не будут приниматься Банком

Можете установить период обмена (например с 08:15 по 19:30), в который банк будет принимать от Вас сообщения по системе Банк-Клиент в рабочие дни Банка. Сообщения, поступающие в другое время, не будут приниматься Банком.

Кроме стандартной ЭП сообщений (которой подписываются все сообщения системы «Банк-Клиент» при передаче через интернет), можете добавить дополнительные ЭП документов (ЭПдок).

В этом случае Вы указываете количество дополнительных ЭПдок, необходимых для передачи документа в банк и создаете необходимое число дополнительных ЭПдок. Передать документ в банк в этом случае можно будет только после подписывания его нужным числом ЭПдок.

Ключи дополнительных ЭП документов должны храниться на отдельных сменных носителях, отличных от ключевых носителей ЭП сообщений.

Подробнее о дополнительных ЭП документов можете прочитать в Инструкции по безопасности на Вашем ключевом носителе.

Включить данные механизмы можно по Заявке на дополнительные меры безопасности (ЭП Документов, ограничение ip-адреса или времени работы) в системе Банк-Клиент.

Заявка распечатывается, заполняется, подписывается руководителем, заверяется печатью и передается в банк.

Подключив услугу SMS-информирования, Вы сможете получать SMS-сообщения при поступлении документов по системе Банк-Клиент, регистрации новых ключей ЭП.

Соблюдение перечисленных простых правил позволит Вам существенно снизить риски, связанные с использованием систем «Банк-Клиент» и, в конечном итоге, предотвратить хищение своих денежных средств.

Настоящие рекомендации разработаны согласно Письму Банка России от 30 января 2009 г. № 11-т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга».

Источник: https://www.bankperm.ru/service/bank-client/security/

Правила информационной безопасности при работе с системой дистанционного банковского обслуживания

«Клиент-Банк»: правила безопасности

Анализ выявленных в Российской Федерации за последнее время попыток хищения денежных средств с расчетных счетов корпоративных клиентов, путем совершения платежей с использованием систем электронного банкинга показал, что хищения денежных средств с расчетных счетов осуществляются, как правило:

  • ответственными сотрудниками предприятия, имевшими доступ к секретным (закрытым) ключам ЭП, в том числе работающими или уволенными (директорами, бухгалтерами и их заместителями);
  • штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными (закрытыми) ключами ЭП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе “Интернет-банк”;
  • нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе “Интернет-банк”;
  • злоумышленниками путем заражения компьютеров клиентов или взятия под контроль с использованием уязвимостей системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных (закрытых) ключей ЭП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным (закрытым) ключам ЭП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

В связи с этим Банк настоящим документом еще раз информирует Вас о необходимости строгого соблюдения приведенных в данном документе правил информационной безопасности.

2. Общие понятия

Информационная Безопасность – совокупность организационных и технических мер, направленная на повышение безопасности использования ИТ технологий. Далее по тексту ИБ.

Система Дистанционного Банковского Обслуживания – совокупность сервисов дистанционного обслуживания клиентов таких как: «Интернет-Банк», «Банк-Клиент», «Выписка OnLine» и т.п. Далее по тексту используется сокращение ДБО.

ПО – программное обеспечение.

Вредоносное ПО – это разного рода программы (в том числе троянские).

Такие программы могут регистрировать последовательность нажимаемых на клавиатуре клавиш, другие делают снимки экрана при посещении пользователем сайтов, предлагающих банковские услуги, третьи загружают на компьютер дополнительный вредоносный код, предоставляют хакеру удаленный доступ к компьютеру и т.д. Все эти программы объединяет то, что они позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее в том числе для кражи денег у пользователей.

ЭП – электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) и которая используется для определения лица, подписывающего информацию.

3. Важные замечания

Важно понимать, что:

  • Банк не имеет доступа к секретным ключам ЭП и паролям Клиентов для доступа в систему дистанционного банковского обслуживания (далее ДБО).
  • Банк не может от имени Клиента сформировать корректную ЭП под электронным платежным поручением.
  • Вся ответственность за конфиденциальность секретных (закрытых) ключей ЭП полностью лежит на Клиенте, как на единственном владельце секретных (закрытых) ключей ЭП.
  • Банк не рассылает по электронной почте  и не озвучивает по телефону секретный ключ ЭП или пароль Клиента.
  • Банк не запрашивает по электронной почте  и по телефону секретный ключ ЭП или пароль, а также номер банковской карты Клиента и ПИН-коды.
  • Если  Клиент сомневается в конфиденциальности своих секретных (закрытых) ключей ЭП или есть подозрение в их компрометации (копировании), Клиент должны заблокировать свои ключи ЭП обратившись в Банк.

4. Меры ИБ

4.1. Организационные меры предприятия.

Для снижения риска неправомерного доступа к системе(ам) ДБО предприятия , необходимо определить:

• ограниченный перечень лиц имеющих доступ к системе ДБО и ЭП;

• правила хранения и использования носителей ЭП (п. 4.4.2. документа);

• перечень событий, наступление которых должно повлечь за собой немедленную замену или изъятие ключей ЭП (п. 4.5. документа).

Так же необходимо предупредить ответственных сотрудников об увеличении риска хищения и дальнейшего неправомерного использования ЭП при доступе к системе «Интернет-банкинга» с гостевых рабочих мест в местах общего пользования (например: интернет – кафе).

4.2. Правила безопасного использования сети Интернет.

  • На компьютерах, используемых для работы с системой “Интернет-банк”, исключить посещение интернет сайтов сомнительного содержания, загрузку и установку нелицензионного ПО и т. п.
  • При регистрации на сайтах, нельзя указывать личную информацию, т.к. она может быть доступна незнакомым людям. Так же, не рекомендуется размещать свою фотографию, давая, тем самым, представление о том, как вы выглядите, посторонним людям.
  • Если пришло сообщение с незнакомого адреса (включая сообщения электронной почты; мессенджеров ICQ, Skype и т.п.; Социальных сетей), его лучше не открывать. Подобные письма могут содержать вирусы.
  • Нежелательные письма от незнакомых людей называются «Спам». При получении такого письма, не отвечать на него. В случае ответа на подобное письмо, отправитель будет знать, что данный электронный почтовый ящик активно используется, и будет продолжать посылать на этот адрес спам.
  • При скачивании контента надо внимательно читать условия использования сервиса, а также информацию, размещенную с символом «звездочка» (*)
  • Необходимо быть осторожным при всплывающих окнах и не переходить по неизвестным ссылкам и адресам.
  • Не отправлять SMS для разблокировки Windows и разархивирования файлов.

4.3. Доступ к компьютеру и его защита.

  • Необходимо ограничить доступ к компьютеру, на котором установлен Интернет-банк. Доступ к компьютеру должны иметь только уполномоченные сотрудники. Рекомендуется регулярно менять пароль на вход в операционную систему, на которой установлен Интернет-банк.
  • При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.
  • Необходимо убедится, что компьютер с установленной системой ДБО не поражен какими-либо вирусами. Необходимо установить и активировать антивирусные программы, обеспечить возможность автоматического обновления антивирусных баз, а так же еженедельно проводить антивирусную проверку. Обратите внимание, что действие вирусов может быть направлено на запоминание и передачу третьим лицам информации о вашем пароле и ключах ЭП.
  • Рекомендуется установить и использовать персональный брандмауэр (firewall) на компьютерах с доступом в интернет, это позволит предотвратить несанкционированный доступ к информации на компьютере.
  • Необходимо использовать лицензионное программное обеспечение (в том числе антивирусное), межсетевые экраны и средства защиты от несанкционированного доступа.
  • При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой “Интернет-банк”, необходимо принять меры для обеспечения отсутствия вредоносных программ на компьютерах.
  • При увольнении сотрудника, имеющего доступ к паролям и ключам ЭП, необходимо произвести смену паролей, блокировать ЭП с которой работал старый сотрудник и получить ЭП для нового сотрудника.

4.4. Правила работы в системах ДБО.

4.4.1. Пароли.

  • Для ввода пароля необходимо использовать функционал «Безопасная авторизация». В этом случае на экране появится виртуальная клавиатура – пароль набирается не клавишами на клавиатуре компьютера, а кликами курсора мыши по картинкам с буквами и цифрами, что исключает возможность перехвата пароля программами-вирусами.
  • После первого входа в систему Интернет-Банк необходимо изменить пароль, используя правила защиты паролем:
  • Не использовать для защиты данных очевидные пароли, которые легко угадать: имя  супруга (супруги), ребенка, домашнего животного, номера телефонов, регистрационный номер машины, почтовый индекс и т.п.;
  • Не сообщать никому свой пароль. Если с вами связался (например, по телефону) представитель некой организации и попросил сообщить ваш пароль, не раскрывайте свои личные данные: вы не знаете, кто на самом деле находится на другом конце провода;
  • Не записывать логин и пароль на бумаге или в файлы на рабочем компьютере. В случае необходимости хранения параметров доступа на бумажном носителе, пароли необходимо хранить в запечатанных конвертах или в сейфе вместе с ключами ЭП. Недопустимо расположение паролей на бумажных носителях на рабочем столе, под клавиатурой и т.п.;
  • Не использовать функцию запоминания логина и пароля в браузерах;
  • Не вводить логин и пароль Интернет-банка на компьютерах, которые находятся в общедоступных местах (например: интернет кафе);
  • Регулярно менять пароли;
  • Не использовать одинаковые логин и пароль для доступа к различным системам;
  • При смене паролей не допускать повторяющиеся и схожие пароли (например : пароль1, пароль2, пароль3 и т.п.)
  • Если онлайн-магазин или веб-сайт присылает по электронной почте сообщение с подтверждением регистрационной информации и новым паролем, как можно скорее  надо зайти на соответствующий сайт и сменить пароль;
  • Не допускается хранить пароль для входа в систему «ДБО BS-Client» в файле на локальном диске, либо в любом другом легкодоступном месте. Необходимо убедиться, что только уполномоченные сотрудники могут получить доступ к паролю для входа в систему. Если  возникли подозрения, что кто-либо владеет информацией о пароле, необходимо самостоятельно сменить пароль или заблокировать его с помощью обращения в Банк по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать пароль можно в офисе банка, написав соответствующее уведомление.

4.4.2. Ключи Электронной подписи.

Необходимо серьезно отнестись к вопросу хранения ключей Системы «Клиент-Банк». Наличие ключа позволяет заверить от имени владельца документ и передать его на исполнение в Банк. Для повышения безопасности рекомендуется:

  • Не хранить ключи на жестком диске компьютера! Использовать для хранения файлов с секретными (закрытыми) ключами ЭП ТОЛЬКО отчуждаемые носители: флеш-диски и eToken, к которым исключен доступ третьих лиц.
  • Использовать устройства защищенного хранения закрытых ключей ЭП – E-Token PRO (безопасность обеспечивается наличием защищенного хранилища данных, доступ к которому возможно только владельцем E-Token PRO, знающим PIN-код ключа).
  • Не передавать ключи ЭП ИТ-сотрудникам для проверки работы системы “Интернет-банк”, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только владелец ключа ЭП, лично, должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского части системы ДБО, и лично ввести пароль, исключая его подсматривание.
  • Выходить из Интернет-банка и отключать носитель ЭП, даже если надо отойти от компьютера на несколько минут.

4.4.3. Контроль подключения (для сервиса «Интернет-Банк»).

  • Необходимо проверять, что соединение действительно происходит в защищенном режиме. В этом случае адресная строка в браузере начинается с https://, а в адресной строке и  правом нижнем углу вэб-браузера InternetExplorer должен быть виден значок закрытого замка.
  • Необходимо убедиться в том, что соединение установлено именно с сайтом системы Интернет-Банк по адресу https://bk.gibank.ru/

Внимание!

В случае обнаружения подозрительных веб-сайтов, доменные имена и стиль оформления которых сходны с именами и оформлением, просьба сообщить об этом в Банк

  • Необходимо контролировать посещения системы, проверяя дату последнего посещения и IP-адрес,  отображаемые на главной странице
  • Регулярно проверять состояние счетов и движение документов по выпискам.
  • Не вводить конфиденциальные данные, если окно для ввода отличается от стандартных окон Системы «Клиент-Банк» (другие надписи, шрифт и тому подобное) или отображается не так как всегда (нарушен порядок работы в системе). О появлении подобных сайтов немедленно сообщите в Банк по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.
  • После окончания работы в системе ДБО надо всегда использовать пункт меню «Выход».

4.5. Случаи, требующие немедленного обращения в банк.

ПРИМЕЧАНИЕ!

Обратиться в банк клиенты могут по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать ключ ЭП и/или доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.

Незамедлительно надо обратиться в Банк, если:

  • Возникло подозрение, что пароль или секретные ключи были скомпрометированы, а также, если была обнаружена иная подозрительная активность в системе ДБО.
  • За сменой секретных ключей, в случае увольнения/ухода уполномоченных сотрудников или сотрудников IT клиента, которые имели доступ к ним.
  • При возникновении любых подозрений на компрометацию (копирование) секретных (закрытых) ключей ЭП или компрометацию среды исполнения (наличие в компьютере вредоносных программ). В случае выявления подозрительной активности на компьютере с установленной системой Интернет-банк (самопроизвольные движения мышью, открытие/закрытие окон, набор текста) немедленно надо выключить компьютер и сообщить в Банк о возможной попытке несанкционированного доступа к системе.

Заключительные положения

5.1. Настоящие Правила вступают в силу с момента их утверждения Председателем Правления Банка и действуют до их отмены.

5.2. В настоящие Правила могут быть внесены изменения, дополнения в установленном в Банке порядке.

Скачать: Правила информационной безопасности при работе с системой дистанционного банковского обслуживания

Источник: https://www.gibank.ru/RKO-cor-security/

Система Клиент-Банк

«Клиент-Банк»: правила безопасности

Банк предлагает своим Клиентам услугу дистанционного обслуживания «Клиент-Банк», которая позволяет проводить большой спектр операций, без обращения в Банк, значительно экономит время, дает возможность оперативно управлять банковскими счетами.

Банк предоставляет Клиентам возможность использовать следующие виды дистанционного обслуживания:

Сервис «Клиент-Банк»

Краткое описание: отдельный сервис (вид Клиентской части системы «Клиент-Банк»),обеспечивающий работу Клиента посредством самостоятельно установленной на его компьютере части Системы, имеющий собственную базу данных, синхронизируемую по каналам связи с сервером Банка, позволяющий осуществлять переводы денежных средств, получать выписки по счетам, принимать и отправлять иные электронные документы, в рамках текущей версии Системы.

Сервис «Интернет-Клиент»

Краткое описание:  отдельный сервис, вид Клиентской части системы «Клиент-Банк» обеспечивающий работу Клиента посредством сайта Банка и позволяющий осуществлять переводы денежных средств, получать выписки по счетам, принимать и отправлять иные электронные  документы, в рамках текущей версии системы.

Преимущества работы в системе «Интернет-Банк»:  быстрота подключения к системе; сервисом можно пользоваться с любого компьютера, подключенного к сети Интернет; для использования системы достаточно иметь первоначальные навыки работы с компьютером.

Сервис «Выписка Он-Лайн»

Краткое описание: отдельный сервис (вид Клиентской части системы «Клиент-Банк»), обеспечивающий работу Клиента посредством сайта Банка и позволяющий получать выписки по счетам, в рамках текущей версии системы.

Может быть подключена клиенту как отдельный сервис, так и в дополнение к любой части клиентских сервисов.

Для клиентов, использующих сервис «Интернет-Клиент» услуга «Выписка Он-Лайн» предоставляется бесплатно по умолчанию

Подключение к Системе «Клиент-Банк»

Для подключения к услуге по обмену электронными документами с ЭЦП по телекоммуникационным каналам связи с использованием Системы «Клиент-Банк» потребуется:

Программно-технические средства, отвечающие следующим требованиям:

  • Персональный компьютер: IBM PC или 100% совместимый с ним в конфигурации не ниже достаточной для нормального функционирования Операционной системы.
  • Операционная система не ниже: Windows XP(SP3)
  • Интернет-браузер MS Internet Explorer версии не ниже 7.0.
  • Устройство чтения компакт-дисков (СD-ROM) – опционально для установки ПО «Клиент-Банк»;
  • Доступный для использования в операционной системе USB порт;
  • USB-флеш-накопитель – опционально для размещения ключей ЭЦП съёмном носители;
  • Подключение к сети «Интернет» с возможностью подключения на адрес Банка: srbank.ru (ic.srbank.ru, stm.srbank.ru по портам 443 и 1675).
  • Рекомендуемая, гарантированная, минимальная скорость соединения не ниже 256кбит/сек.

Оформить следующие документы:

Подробнее об условиях работы с использованием Системы «Клиент-Банк» можно узнать, ознакомившись с  «Регламентом обмена электронными документами по телекоммуникационным каналам связи с использованием технологий дистанционного банковского обслуживания на базе системы ДБО BS-Client v.3» (файл.pdf)

Работа с Системой «Клиент-Банк». Предлагаем Вам ознакомиться с интерфейсом системы и основными принципами ее работы :

Руководство по использованию Системы «Интернет-Клиент» (документация Клиента)

Руководство по установке и настройке АРМ Клиента Системы «Интернет-Клиент»

Руководство по использованию Системы «Банк-Клиент»

Руководство по использованию Системы «Выписка Он-Лайн»

А так же Вы можете протестировать сервис «Интернет-Клиент»  и сервис «Выписка Онлайн» на сайте разработчика.

Безопасность

Для обеспечения информационной безопасности в системах дистанционного банковского обслуживания Банка применяет различные средства и методы защиты информации.

Применяется надежная система защиты информации с использованием современных криптографических протоколов защиты траффика и алгоритмов, реализующих работу с электронными цифровыми подписями (ЭЦП) согласно ГОСТ 34.10-2001.

Проведение платежных операций требуется подтверждать электронной цифровой подписью. Средства и методы защиты информации зависят от используемого сервиса системы «Клиент-Банк».

Банк использует средство криптографической защиты информации (СКЗИ ) семейства Message-PRO разработанное ЗАО «Сигнал-КОМ» на базе сертифицированной СКЗИ 
« Крипто-КОМ 3.

2», предназначенное для выполнения следующих операций: выработки ключей шифрования и электронной цифровой подписи (ЭЦП) ; шифрования и имитозащиты данных ; обеспечения целостности и подлинности информации.  СКЗИ « Крипто-КОМ 3.

2» имеет сертификаты ФСБ России, удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты.

Соблюдение правил информационной безопасности позволит обеспечить защиту интересов как Банка, так и его Клиентов при оказании услуг дистанционного банковского обслуживания, минимизировать ущерб.

Для минимизации и исключения рисков при дистанционном банковском обслуживании Банк рекомендует Клиентам:

Правила безопасности при работе с системой Клиент-Банк

По вопросам технической поддержки обращаться

по телефону (495) 649 34 34 , (доб. 116)

Адрес электронной почты: 03@srbank.ru 

Источник: http://srbank.ru/corporate/client-bank.html

Защита систем дистанционного банковского обслуживания

«Клиент-Банк»: правила безопасности

Скачать статью в PDF

Защита систем дистанционного банковского обслуживания

(Интернет-Банк, Клиент-Банк)

Число преступлений, связанных с системами ДБО, за последние несколько лет выросло многократно. При этом используемые банками меры защиты не являются непреодолимым препятствием для злоумышленников. Практика показывает, что кибермошенники могут вмешаться в процесс обработки платежных операций на любом этапе.

1. С кем боремся?

За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.

Наиболее распространены и опасны Trojan.Winspy, Trojan.Carberp,  Trojan.PWS.Ibank,Trojan.PWS.

Panda, которые передают злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана, объединяться в сети, обрабатывать поступающие от удаленного командного центра команды и выполнять на зараженном компьютере,  перенаправлять пользователя на поддельные(фишинговые) сайты для кражи пользовательских паролей и ключей.

В настоящее время банковские троянцы существуют для ВСЕХ операционных систем.

Заражение компьютера может происходить различными способами:

·        Посещение зараженного сайта

·        Перенос вирусов на внешнем носителе(флешка, внешний диск, плеер, телефон и т.д.)

·        Заражение по локальной сети

·        Скачивание и запуск зараженных файлов из сети Интернет

·       Заражение через систему автообновления популярных программ

Для получения доступа к системам ДБО активно используются средства социальной инженерии.

Например, рассылка от имени банков  писем по электронной почте с требованием(под разными предлогами) перейти по предлагаемой ссылке, где требуется ввести логин и пароль от системы ДБО.

Ссылка ведет на поддельный сайт со схожим дизайном, а логин и пароль оказываются в руках злоумышленников. Зафиксированы и адресные атаки мошенников на конкретные предприятия.

2. Как это происходит?

После заражения компьютера и получения доступа к нему  производится поиск следов использования ДБО и сбор информации. Собранные данные передаются на управляющий сервер, где проверяются на полноту и достаточность для совершения мошеннической операции.

Если фальшивое платежное поручение не может быть отправлено с другого компьютера, то  используются средства удаленного администрирования, что позволяет отправлять платежные поручения непосредственно с компьютера бухгалтера. Троянами может производиться подмена легитимных платежных поручений на мошеннические при отправке их на подпись, при этом пользователь видит на экране и подписывает свое платежное поручение,

Как только мошенническая операция проведена, и платежное поручение отправлено, главная задача злоумышленников – ограничить доступ пользователя к системе ДБО. Для этого компьютер пользователя приводят в неработоспособное состояние путем удаления компонентов Windows или форматированием жесткого диска. Для дополнительного отвлечения внимания часто удаляются данные бухгалтерских программ.

3. На что следует обращать внимание?

·        необычно медленная работа компьютера, зависания во врем сеансов ДБО или при попытке входа,  произвольная перезагрузка

·        перебои с доступом в систему ДБО

·        невозможность авторизации в системе ДБО

·        несоответствие порядковых номеров платежных поручений

·        попытки авторизации в ДБО с других IP-адресов или в нерабочее время.

·        неоднократное удаление антивирусным монитором одного и того же вируса

·        выход из строя ПК, на котором установлена система ДБО

·        DDoS-атака на вашу ИТ-инфраструктуру

В случае обнаружении вирусов или сбоев в работе компьютера следует немедленно приостановить работу с ДБОи провести полную проверку компьютера антивирусным сканером.

Повторяющееся заражение одним и тем же или схожими вирусами может свидетельствовать о том, что вирус уничтожается не полностью, какая-то его часть продолжает функционировать  и загружает из Интернета обновленные вредоносные программные модули. В такой ситуации следует провести более детальный анализ вирусной активности.

Если самостоятельно не удается установить источник заражения, необходимо обратиться в Службу поддержки пользователей разработчика антивирусной программы.

При работе с системой ДБО следует исходить из соображений, что данный сервис должен функционировать абсолютно бесперебойно, поэтому всякое отклонение от нормальной работы следует воспринимать как сигнал тревоги.

К примеру, если Вы не можете войти в систему ДБО в течении 5- 10 минут, обязательно свяжитесь с банком и установите источник проблемы(в банке или в вашей сети). Если проблема в вашем оборудовании или программах и Вы не можете  её быстро разрешить или локализовать, обязательно свяжитесь с банком, проверьте последние отправленные поручения и сообщите сотрудникам банка об имеющихся проблемах.

4. Как с этим бороться?

Анализ происшедших инцидентов с ДБО позволяет сделать однозначный вывод о том, что успеху злоумышленников способствует пренебрежение пользователями (а иногда и сотрудниками банка) элементарных правил безопасной работы с  системами ДБО. Типичный пример такого поведения – хранение ключей ЭЦП на жестком диске или постоянно подключенных к компьютеру флешках, токенах, отказ от дополнительных мер безопасности, предлагаемых банком.

Основные правила безопасной работы с ДБО.

·        Хранить ключи ЭЦП на съемных носителях и извлекать их по окончании сеанса

·        Не оставлять включенным сеанс ДБО сверх необходимого времени.

·        На компьютере с системами ДБО ограничить работу в сети Интернет минимальным необходимым количеством сайтов.

·        Не использовать на компьютере с ДБО средств удаленного доступа и администрирования.

·        Доступ к ресурсам компьютера с системами ДБО из локальной сети должен быть закрыт, папок общего доступа быть не должно.

·        Не устанавливать без особой необходимости системы ДБО на мобильные устройства, которые могут покидать офис и подключаться к другим сетям.

·        На компьютере с системами ДБО желательно не использовать сетьWi-Fi. В случае необходимости – устанавливать максимально возможный уровень защиты сети.

·        Поддерживать систему антивирусной защиты в работоспособном  и актуальном состоянии

·        Не пользоваться ДБО в случае возникновения проблем с антивирусной защитой

·        Не пользоваться ДБО при повторяющихся сбоях в работе компьютера

Технические аспекты защиты

·        Должны быть установлены все актуальные обновления безопасностиWindows

·        Антивирусная защита должна включать, кроме обычных функций, модули проверки почты, входящего http трафика, Брандмауер, СПАМ фильтр и обновляться не реже одного раза в час. Желательно использовать Централизованное управление антивирусной защитой. Пользователь ДБО должен быть лишен возможности управления антивирусной защитой и возможности её отключения. 

·        На компьютере с ДБО не должно быть установлено программ не являющихся необходимыми на данном рабочем месте

·        Обновление программ(AdobeReader, браузеры и т.д)  должно проводиться только вручную с официальных сайтов. Автообновление необходимо отключить.

·        Пользователь не должен работать с правами Администратора

·        Исключить прямой доступ в Интернет без использования межсетевого экрана

·        Пользовательские пароли должны быть сложными и периодически изменяться

·        Доступ к ресурсам сети Интернет должен быть ограничен фиксированным списком доверенных сайтов, не допускать использование месседжеров типа ICQ, Skype и др.

·        Не допускать использования социальных сетей

·        Использовать только корпоративную почту через почтового клиента.

·        Использовать СПАМ фильтр с жестким ограничением

·        Отключить службы сервера, удаленного доступа и др.  связанные с удаленным администрированием.

·        Применение внешних устройств должно быть ограничен набором флешек (Токенов) с ключами ЭЦП.

В случае если требования безопасности не могут быть выполнены в полном объеме на компьютере бухгалтера, необходимо взвесить риски и, возможно, принять решение о выделении отдельного компьютера для работы с ДБО. Именно такой вариант рекомендуется многими банками.

Учитывая тот факт, что работники бухгалтерий не являются специалистами в области информационной безопасности, они бывают недостаточно информированы о рисках и могут недооценивать необходимость дополнительных мероприятий по защите систем ДБО.  Поэтому разъяснение правил безопасной работы является одним из важнейших составляющих общей системыбезопасности.

Для повышения уровня ответственности и дисциплины, общие правила безопасной работы с ДБО следует оформить соответствующим приказом руководителя предприятия.

5.  Если произошел инцидент

В случае обнаружения факта (или попытки) мошенничества необходимо максимально быстро сообщить о происшествии в банк с целью остановки платежа и  блокирования доступа к системе ДБО.

Компьютер с системой ДБО необходимо выключить. Если в компании имеется межсетевой экран или прокси-сервер, на котором ведутся логи, то необходимо сохранить их на внешнем устройстве.

В случае проведения самостоятельного расследования или привлечения для этих целей консультантов,  следует иметь в виду что работа с оригиналами носителей информации может повредить целостности доказательств, хранящихся на них.

Даже если мошенничество не было завершено, и вы успели остановить его, инцидент остается уголовным преступлением, которое попадает под ряд статей, начиная с создания и распространения вредоносного программного обеспечения и заканчивая попыткой хищения в особо крупном размере. Поэтому следует обязательно написать заявление в правоохранительные органы с требованием возбудить уголовное дело.

Подготовлено с использованием материалов Компании Доктор Веб.

Источник: http://www.dr-web.su/help/dbo.htm

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.