РУ

Выбор города

Москва

Офисы обслуживания

Банкоматы

(495) 913-74-74
Дополнительные телефоны

Группа
Газпромбанка
Корпоративным
клиентам
Частным
клиентам
Инвестиционный
банк
Финансовым
организациям
Главная / Корпоративным клиентам / Сообщения службы безопасности

Сообщения службы безопасности

Одной из главных задач Банка при работе с клиентами является обеспечение информационной безопасности. Газпромбанк использует специальные технологии безопасного хранения и работы с информацией, отвечающие самым высоким мировым стандартам.
Уважаемые клиенты! В данном разделе Вы можете ознакомиться с рекомендациями Службы безопасности ГПБ, касающимися информационной безопасности и защиты данных. Помните, что Ваша финансовая безопасность в том числе зависит и от Вашего ответственного отношения к данным при проведении финансовых операций.

Рекомендации по обеспечению безопасности при работе со средствами криптографической защиты информации

Рекомендации Службы безопасности ГПБ (ОАО) по обеспечению безопасности при работе со средствами криптографической защиты информации

Защита аппаратного и программного обеспечения от несанкционированного доступа при установке и использовании средств криптографической защиты информации (далее – СКЗИ), является составной частью общей задачи обеспечения безопасности информации в различных системах обмена электронными документами. Наряду с применением средств защиты от несанкционированного доступа необходимо выполнение приведенных ниже организационно-технических и административных мер по обеспечению правильного функционирования средств обработки и передачи информации.

1. Требования по размещению.
При размещении СКЗИ:

  • Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены СКЗИ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в указанных помещениях должен быть обеспечен контроль за их действиями и обеспечена невозможность негативных действий с их стороны на СКЗИ и передаваемую информацию.
  • Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.

2. Требования по установке СКЗИ, общесистемного и специального программного обеспечения.
К установке общесистемного и специального программного обеспечения, а также программного обеспечения СКЗИ, допускаются лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее программное обеспечение.
При установке программного обеспечения СКЗИ следует:

  • На технических средствах, на которые устанавливаются СКЗИ, использовать только лицензионное программное обеспечение фирм-изготовителей.
  • Инсталляция программного обеспечения СКЗИ должна производиться только с дистрибутива, полученного от Банка. При инсталляции СКЗИ должны быть обеспечены организационно-технические меры по исключению подмены дистрибутива и внесения изменений в СКЗИ после установки.
  • На технических средствах с установленными СКЗИ, не должны устанавливаться средства разработки программного обеспечения и отладчики. Если средства отладки приложений нужны для технологических потребностей Клиента, то их использование должно быть санкционировано Администратором безопасности Клиента. При этом должны быть реализованы меры, исключающие возможность использования этих средств для редактирования кода и памяти программного обеспечения СКЗИ в процессе обработки СКЗИ защищаемой информации и/или при загруженной ключевой информации.
  • Предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части технических средств, на которых установлены СКЗИ (например, путем опечатывания системного блока и разъемов).
  • Программное обеспечение, используемое на технических средствах с установленными СКЗИ, не должно содержать возможностей, позволяющих:
    - модифицировать содержимое произвольных областей памяти;
    - модифицировать собственный код и код других подпрограмм;
    - модифицировать память, выделенную для других подпрограмм;
    - передавать управление в область собственных данных и данных других подпрограмм;
    - несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;
    - повышать предоставленные привилегии;
    - модифицировать настройки операционной системы;
    - использовать недокументированные фирмой-разработчиком функции операционной системы.

3. Меры по обеспечению защиты от несанкционированного доступа.
При использовании СКЗИ должны выполняться следующие меры по защите информации от несанкционированного доступа:

  • Необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами:
    - длина пароля должна быть не менее 8 символов;
    - в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
    - пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, дат рождения и т.д.), а также общепринятые сокращения (USER, ADMIN и т.д.);
    - при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
    - личный пароль пользователь не имеет права сообщать никому;
    - периодичность смены пароля определяется принятой у Клиента политикой безопасности, но не должна превышать 50 дней.
  • Запрещается:
    - оставлять технические средства с установленными СКЗИ без контроля, после ввода ключевой информации либо иной конфиденциальной информации;
    - вносить какие-либо изменения в программное обеспечение СКЗИ;
    - осуществлять несанкционированное Администратором безопасности копирование ключевых носителей;
    - разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей, принтер и т.п. иные средства отображения информации;
    - использовать ключевые носители в режимах, не предусмотренных функционированием СКЗИ;
    - записывать на ключевые носители постороннюю информацию.
    Администратор безопасности должен сконфигурировать операционную систему и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:
  • Не использовать нестандартные, измененные или отладочные версии операционных систем.
  • Исключить возможность загрузки и использования операционной системы, отличной от предусмотренной штатной работой.
  • Исключить возможность удаленного управления, администрирования и модификации операционной системы и ее настроек.
    • На технических средствах с установленными СКЗИ должна быть установлена только одна операционная система.
    • Правом установки и настройки операционной системы, а также СКЗИ должен обладать только Администратор безопасности.
    • Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т.п.).
    • Режимы безопасности, реализованные в операционной системе, должны быть настроены на максимальный уровень.
    • Всем пользователям и группам, зарегистрированным в операционной системе, необходимо назначить минимально возможные для нормальной работы права.
    • Необходимо предусмотреть меры, максимально ограничивающие доступ к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
    - системный реестр;
    - файлы и каталоги;
    - временные файлы;
    - журналы системы;
    - файлы подкачки;
    - кэшируемая информация (пароли и т.п.);
    - отладочная информация.

Кроме того, необходимо организовать стирание (по окончании сеанса работы СКЗИ) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это не выполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.

  • Должно быть исключено попадание в систему программ, позволяющих, пользуясь ошибками операционной системы, повышать предоставленные привилегии.
  • Необходимо регулярно устанавливать пакеты обновления безопасности операционной системы (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а так же исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий.
  • В случае подключения технических средствах с установленными СКЗИ к общедоступным сетям передачи данных, необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов, полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети. С целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т.п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации.
  • Организовать и использовать систему аудита, организовать регулярный анализ результатов аудита.
  • Организовать и использовать комплекс мероприятий антивирусной защиты.

    НЕ ДОПУСКАЕТСЯ:

    • Осуществлять несанкционированное копирование ключевых носителей.
    • Разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер (за исключением случаев, предусмотренных данными требованиями).
    • Вставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным режимом использования ключевого носителя.
    • Подключать к техническим средствам с установленными СКЗИ дополнительные устройства и соединители, не предусмотренные штатной комплектацией.
    • Работать на технических средствах с установленными СКЗИ, если во время его начальной загрузки не проходит встроенный тест ОЗУ.
    • Вносить какие-либо изменения в программное обеспечение СКЗИ.
    • Изменять настройки, установленные программой установки СКЗИ или Администратором безопасности.
    • Обрабатывать на технических средствах с установленными СКЗИ информацию, содержащую государственную тайну.
    • Осуществлять несанкционированное вскрытие корпуса технического средства с установленными СКЗИ.
    • Работать с СКЗИ при включенных в техническое средство штатных средствах выхода в радиоканал.
    • Приносить и использовать в помещении, где размещены средства СКЗИ, радиотелефоны и другую радиопередающую аппаратуру (требование носит рекомендательный характер).

    4. Требования по обеспечению информационной безопасности при работе в системах обмена электронными документами.

    • Недопустимо пересылать файлы с ключевой информацией для работы в системах обмена электронными документами по электронной почте сети Интернет или по внутренней электронной почте (кроме запросов на сертификат и открытых ключей).
    • Ключевая информация должна размещаться на сменном носителе информации (floppy-диск, USB-flash накопитель, e-Token и др.). Размещение ключевой информации на локальном или сетевом диске, а также во встроенной памяти технического средства с установленными СКЗИ, способствует реализации многочисленных сценариев совершения мошеннических действий злоумышленниками.
    • Носители ключевой информации должны использоваться только их владельцем, либо лицом, уполномоченным на использование данного носителя и храниться в месте не доступном третьим лицам (сейф, опечатываемый бокс, закрывающийся металлический ящик и т.д.).
    • Носитель ключевой информации должен быть вставлен в считывающее устройство только на время выполнения СКЗИ операций шифрования и расшифрования, а также формирования и проверки электронной подписи. Размещение носителя ключевой информации в считывателе на продолжительное время существенно повышает риск несанкционированного доступа к ключевой информации третьими лицами.
    • На носителе ключевой информации недопустимо хранить иную информацию (в том числе рабочие или личные файлы).
    • С целью контроля исходящего и входящего подозрительного трафика, технические средства с установленными СКЗИ должны быть защищены от внешнего доступа программными или аппаратными средствами межсетевого экранирования. Эти средства должны пресекать отправку в Интернет информации, инициированную программами, не имеющими соответствующих полномочий.
    • На технических средствах, используемых для работы в системах обмена электронными документами:
      - на учетные записи пользователей операционной системы должны быть установлены пароли, удовлетворяющие требованиям, приведенным в разделе 3;
      - должно быть установлено только лицензионное программное обеспечение;
      - должно быть установлено лицензионное антивирусное программное обеспечение с регулярно обновляемыми антивирусными базами данных;
      - должны быть отключены все неиспользуемые службы и процессы операционной системы Windows (в т.ч. службы удаленного администрирования и управления, службы общего доступа к ресурсам сети, системные диски С$ и т.д.);
      - должны регулярно устанавливаться обновления операционной системы;
      - должен быть исключен доступ (физический и/или удаленный) к техническим средствам с установленными СКЗИ третьих лиц, не имеющих полномочий для работы в системе обмена электронными документами;
      - должна быть активирована подсистема регистрации событий информационной безопасности.
      - должна быть включена автоматическая блокировка экрана после ухода ответственного сотрудника с рабочего места;
    • В качестве автоматизированного рабочего места для работы в системах обмена электронными документами крайне не рекомендуется выбирать переносной компьютер (ноутбук). Если выбран ноутбук, недопустимо его подключение к сетям общего доступа в местах свободного доступа в Интернет (Интернет-кафе, гостиницы, офисные центры и т.д.), при этом для хранения ключевой информации должен использоваться сменный носитель информации.
    • В случае передачи (списания, выброса, сдачи в ремонт) сторонним лицам технических средств на которых были установлены СКЗИ, необходимо гарантированно удалить с него всю информацию, использование которой третьими лицами может потенциально нанести вред финансовой деятельности или имиджу Вашей организации (в том числе программное обеспечение АРМ системы «Клиент-Банк», СКЗИ, журналы работы систем обмена электронными документами и т.д.).

    С уважением,

    Служба безопасности ГПБ (ОАО)

    A A A

    Разработка сайта – компания Lenvendo

    Мобильная версия

    © 2012 ГПБ (ОАО)