«Россия-Узбекистан. Стратегическое партнерство»

Требования по безопасности

Общие правила:
  • ОБЯЗАТЕЛЬНО используйте и постоянно обновляйте персональные средства защиты: антивирусное программное обеспечение и другие средства выявления вредоносных программ (Троянов); персональные межсетевые экраны (файрволы); средства защиты от несанкционированного доступа и пр.
  • Не вводите конфиденциальные данные, если окно для ввода отличается от стандартных окон Системы «Интернет-Банкинг» (логотип другого банка, другие надписи, шрифт и тому подобное) или отображается не так как всегда (нарушен порядок работы в системе). Внимательно следите за сообщениями, которые появляются на экране компьютера.
  • Периодически меняйте пароль для входа в Систему «Интернет-Банкинг» (наиболее оптимальным сроком действия пароля является 2-3 месяца). Не делайте простых и легких паролей (111111, 12345, abcdefg, qwerty и т.п.), не стоит ставить в качестве пароля дату рождения, номер телефона и другие данные, которые можно легко узнать.
  • Уделите вопросу хранения ключей Системы «Интернет-Банкинг» должное внимание. Помните, что наличие ключа позволяет заверить от Вашего имени документ и передать его на исполнение в Банк. Храните ключи обязательно на съемных носителях (дискета, флеш-носители). Не держите носители постоянно вставленными в компьютер, используйте их только в случае необходимости заверения документов. Ни в коем случае не храните ключи на жестком диске персонального компьютера.
  • Обязательно используйте пароли на доступ к секретным ключам. Наличие пароля очень усложняет возможность использования ключа в случае его похищения злоумышленником. Не распространяйте пароли к секретным ключам, не записывайте их и не сохраняйте вместе с носителем ключа (дискета, флешка).
  • Если возможно, используйте более защищенные средства криптографической защиты информации (например, КриптоПро) в сочетании с отчуждаемыми ключевыми носителями (например, Aladdine Token Pro).
  • Постарайтесь внедрить использование для отправки документов двух подписей (2-х ключей). Украсть два ключа сложнее, чем один…
  • Не отвечайте на подозрительные письма с просьбой выслать секретный ключ ЭЦП, пароль и другие конфиденциальные данные. Подобное письмо наверняка создано злоумышленниками. Банк никогда не запрашивает у клиентов конфиденциальную информацию по электронной почте.
  • При вводе ключа и пароля особое внимание, обращайте на правильное отображение названия ключа.
  • При входе в Систему «Интернет-Банкинг» обратите внимание на наличие индикатора подлинности сертификата центра THAWTE (так называемую печать), который гарантирует безопасный обмен данными с этого сайта. Кликнув по значку можно просмотреть информацию о владельце сертификата и его подлинности.
  • Незамедлительно сообщайте в Банк о факте невозможности получения доступа к Системе «Интернет-Банкинг», по причине несовпадения пароля на вход в систему. Обычной практикой злоумышленников является смена пароля для маскировки своих действий и получения дополнительного времени для успешного выполнения операций от имени Клиента.
  • При компрометации или попытке компрометации секретных ключей или компьютера, увольнении ответственного сотрудника или ИТ специалиста Вашей компании, который имел доступ к компьютеру или к секретным ключам, срочно обратитесь в Банк для блокировки ключей и генерации новых.
  • По возможности не используйте компьютер, с которого осуществляется работа в Системе «Интернет-Банкинг», для развлечений и Интернет-серфинга, не посещайте сайты сомнительного содержания (наибольшие источники распространения вредоносных программ).
  • На компьютере, через который выполняется работа в Системе «Интернет-Банкинг», необходимо устанавливать обновление безопасности операционной системы (желательно в автоматическом режиме).
  • Ограничьте доступ к компьютеру посторонних лиц.
  • Не работайте на компьютере с правами администратора.
  • Настройте обозреватель Интернета для запрета:
    • автоматической загрузки файлов из сети Интернет;
    • автоматического запуска файлов из сети Интернет;
    • автоматической загрузки не подписанных элементов ActiveX.
При работе в Системе «Интернет-Банкинг»:
    Требования по обеспечению информационной безопасности при работе дистанционного банковского обслуживания по «Интернет-Банкинг» В целях обеспечения информационной безопасности при работе по «Интернет—Банкинг» Клиент наделяется следующими обязанностями:
  • Ни в коем случае не отвечать на письма, якобы от имени «Интернет—Банкинг», с требованиями (просьбами, предложениями) зайти на сайт, не принадлежащий домену asiainvestbank.ru и ai-bank.ru, прислать секретный ключ, пароль доступа к системе или сеансовый ключ, а немедленно сообщить о подобном факте Администратору Системы в рабочие часы Банка по телефону: (495) 363-37-01/02 доп. 123. Банк информирует Вас, что не осуществляет рассылку электронных писем с просьбой прислать ключи Аналога Собственноручной Подписи (далее – АСП) или пароль. Банк не рассылает по электронной почте программы для установки на Ваши компьютеры.
  • Осуществлять вход в «Интернет—Банкинг» только через сайт доступа дистанционного банковского обслуживания АЗИЯ-ИНВЕСТ БАНК (АО) https://ssl.asiainvestbank.ru:44333. В случае отсутствия возможности подключения к сайту сообщить об этом Администратору Системы по телефону: (495) 363-37-01/02 доп. 123.
  • Запретить доступ из сети Интернет к компьютерам, используемым для работы по «Интернет—Банкинг».
  • Отключить возможность терминального соединения к компьютерам, используемым для работы по «Интернет—Банкинг», заблокировать 3389 (RDP Remote desktop).
  • Отключить "Гостевой доступ" - заблокировать локальную учетную запись Guest.
  • Включить в операционной системе журнал безопасности Windows.
  • Обеспечивать конфиденциальность использования пароля доступа к Системе и сеансовых ключей; пароль и сеансовые ключи не требуется сотрудникам Банка для обслуживания Клиента и поддержки «Интернет—Банкинг» в работоспособном состоянии.
  • АСП должны храниться на съемных носителях (FDD – флоппи диск,USB-Flash, eToken).
  • Пароль доступа следует хранить отдельно от съемного носителя с АСП: не записывайте пароль доступа на съемный носитель с АСП, если же это неизбежно, то постарайтесь хранить его отдельно от Вашего Имени Пользователя (Логина).
  • Обязательно смените пароль в том случае, если он стал известен постороннему лицу. Не рекомендуем использовать в качестве пароля: ­ последовательности символов, состоящие из одних цифр (в том числе даты, номера телефонов, номера автомобиля и т.п.); ­ последовательности повторяющихся букв или цифр; ­ подряд идущие в раскладке клавиатуры или в алфавите символы; ­ имена и фамилии; ­ ИНН или другие реквизиты клиента.
  • Не отлучаться от компьютера, пока в нем находится съемный носитель, содержащий секретный ключ.
  • Извлекать из компьютера съемный носитель, содержащий секретный ключ, сразу после завершения работы по «Интернет—Банкинг».
  • Не записывать на съемный носитель, содержащий секретный ключ, какую либо иную информацию.
  • Обеспечить использование пароля доступа, съемный носитель с АСП только ответственным сотрудником, уполномоченным на то соответствующим распорядительным документом.
  • Никогда не передавать пароль доступа, съемный носитель с АСП ИТ - сотрудникам для проверки работы «Интернет—Банкинг», проверки настроек взаимодействия с Банком и т.п. При необходимости таких проверок только лично владелец ключа АСП должен подключить съемный носитель к компьютеру, убедиться, что пароль доступа и сеансовый ключ к системе вводится в интерфейс клиентского АРМ Интернет-Банк, и лично ввести пароль и сеансовый ключ, исключая его подсматривание.
  • Хранить съемный носитель с АСП в надежном месте, исключающем доступ неуполномоченных лиц и повреждение материального носителя. Банк информирует Вас, что вся ответственность за конфиденциальность Ваших секретных ключей АСП полностью лежит на Вас, как единственных владельцах секретных ключей АСП.
  • В случае выявления явных или косвенных признаков компрометации ключей АСП или вредоносных программ в компьютере, используемом для работы по Системе, незамедлительно уведомить Банк по телефону: (495) 363-37-01/02 доп. 123 либо лично явившись в Банк с целью блокирования скомпрометированных секретных ключей АСП с последующей их заменой.
  • К событиям, связанным с компрометацией ключей АСП относятся, включая, но не ограничиваясь, следующие: ­ утеря съемного носителя с АСП, в том числе с последующим обнаружением; ­ выход из строя съемного носителя с АСП, когда невозможно достоверно определить причину этого события (доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника); ­ обнаружение факта или угрозы использования (копирования) АСП и/или пароля доступа к «Интернет—Банкинг» с использованием АСП неуполномоченными лицами (несанкционированная отправка электронных документов); ­ обнаружение ошибок в работе «Интернет—Банкинг», в том числе возникающих в связи с попытками нарушения информационной безопасности; ­ увольнение ответственного сотрудника Клиента, имевшего доступ к секретному ключу.
  • Применять на рабочем месте средства антивирусной защиты с возможностью автоматического обновления антивирусных баз и специализированные программные средства безопасности: персональные файрволы, антишпионское программное обеспечение и т.п.
  • Производить смену ключей АСП как в случае компрометации, так и по требованию Банка.
  • Срок действия электронных цифровых подписей ограничен и равен одному году с момента создания. Необходимо заблаговременно заменить ЭЦП, не дожидаясь окончания срока их действия, для того, что бы работа Интернет-Банкинг не прерывалась. Банк рекомендует начать процесс замены за один месяц до окончания срока действия ЭЦП, т.к. для активации новых ключей Вам необходимо будет привезти в банк две бумажные копии Сведений об открытом ключе абонента с подписью руководителя организации, подписью главного бухгалтера и наличием печати.
  • Помимо указанных выше требований Банк рекомендует также:
  • Исключить доступ к компьютерам, используемым для работы по «Интернет—Банкинг», посторонним лицам и персоналу предприятия, не уполномоченному на работу по «Интернет—Банкинг» и/или обслуживание компьютеров.
  • На компьютерах, используемых для работы по «Интернет—Банкинг», исключить посещение всех Интернет-сайтов, кроме https://ssl.asiainvestbank.ru:44333 используемого для входа в «Интернет—Банкинг», а также исключить установку развлекательных и игровых программ.
  • Использовать только лицензионное ПО (операционные системы, офисные пакеты и пр.), обеспечить автоматическое обновление системного и прикладного ПО.
  • При обслуживании компьютера ИТ - сотрудниками обеспечивать контроль над выполняемыми ими действиями.
  • Мы не рекомендуем пользоваться сервисами дистанционного банковского обслуживания в Интернет-кафе, библиотеках и т.д. из-за отсутствия должной системы безопасности в вышеперечисленных заведениях.
При работе с почтой:
  • Не устанавливайте и не сохраняйте подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте, полученные в телеконференциях. Такие файлы лучше немедленно удалять. В случае необходимости загрузки файла, убедитесь, что он проверен антивирусом.
  • Обращайте особое внимание на отправителя почтовой корреспонденции при работе с электронной почтой, будь то работа с почтой через Web-интерфейс одной из известных почтовых систем mail.ru, yandex.ru и т.п., или в локально установленных программах типа Outlook, Outlook Express, The Bat!. Если отправитель почтового сообщения Вам неизвестен — открывать вложение из такого письма категорически не рекомендуется, чтобы ни содержало данное сообщение.
  • Никакие обновления, заплатки, обновления для компьютеров не распространяются по почте! Даже если отправитель Вам известен, и Вы давно ведете с ним переписку, это не гарантия, что вложение безопасно. В таких случаях рекомендуется сохранять вложения в специально созданную папку на жестком диске и предварительно проверять их антивирусом. После успешной проверки вложения антивирусом открывайте его уже из этой папки.
  • Учитывайте, что большинство случаев современных атак связаны с использованием уязвимостей в Web-браузерах. Для снижения вероятности использования злоумышленником уязвимостей необходимо задать максимальный уровень безопасности Web-браузера по умолчанию (запрет языка Java, запрет сценариев, запрет загрузки элементов ActiveX). Для тех сайтов, которые требуют разрешения исполнения соответствующих элементов (в частности, сайт Системы «Интернет-Банкинг»), необходимо индивидуально разрешить их исполнение, добавив сайты в список надежных.
  • Учитывайте, что при использовании служб мгновенного обмена сообщениями — ICQ, Instant Messaging, Mail.ru-агент и т.д., необходимо соблюдать рекомендации аналогично работе с почтовыми клиентами — не принимайте файлы из неизвестных источников, к файлам из известных источников относитесь с осторожностью. Проверяйте все полученные файлы антивирусными программами.
Напоминаем, что:
  • Банк никогда не осуществляет рассылку электронных писем с просьбой предоставить конфиденциальную информацию или таких, которые содержат компьютерные программы.
  • Если Вы получили письмо от имени Банка, содержание которого вызывает подозрение, либо с Вами связались по телефону от имени Банка, с просьбой установить какое-либо программное обеспечение, просьба связаться со службой поддержки Банка и уточнить ситуацию. Всегда используйте контактную информацию служб поддержки Банка, указанную в официальных источниках информации, и не используйте контактную информацию, указанную в письме или полученную в ходе телефонного разговора.
  • Напоминаем, что основными способами электронного взаимодействия Банка и клиентов являются штатные возможности и информационные каналы, предоставляемые системами ДБО. Любые электронные сообщения, отправленные с бесплатных почтовых служб Интернет (@mail.ru, @yandex.ru, @rambler.ru, @gmail.com, @yahoo.com и т.п.), не являются почтой, отправленной Банком.
  • Ответственность за сохранение ключа ложится на пользователя системы, и в случае подозрения на компрометацию ключа нужно незамедлительно связаться с Банком для блокировки ключа и регистрации новых ключей.