Рекомендации по защите информации в целях противодействия незаконным финансовым операциям

Общество с ограниченной ответственностью «Центральный Сургутский Депозитарий» (далее – Общество) в рамках соблюдения требований Положения об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций (утв. Банком России 17.04.2019 № 684-П) уведомляет клиентов Общества о возможных рисках получения несанкционированного доступа к защищаемой информации:

1. Доступ со стороны третьих лиц может повлечь за собой риски разглашения информации конфиденциального характера: сведений об операциях, активах, состоянию счетов, подключенных услугах, персональных данных и иной значимой информации.
2. Доступ со стороны третьих лиц может повлечь за собой совершение юридически значимых действий, включая: совершение операций с доступными активами, подключение и отключение услуг (в том числе платных), внесение изменений в регистрационные данные клиента, использование счетов и находящихся на них активов для прикрытия иных действий, носящих противоправный характер, совершения иных действий против воли клиента.
3. Доступ со стороны третьих лиц может повлечь за собой деструктивное воздействие на носители информации и их содержимое, что в свою очередь может привести к воспрепятствованию своевременного исполнения своих обязательств по договору или невозможности использования сервисов компании для реализации своих намерений.

В рамках защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям, а также для предотвращения несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода, Общество рекомендует следующее:

1. Рекомендации по защитным мерам для компьютера

• Средствами BIOS компьютера следует исключить возможность загрузки операционной системы, отличной от установленной на жестком диске, т.е. должна быть отключена возможность загрузки с дискет, CD/DVD приводов, USB-flash дисков, загрузка по сети и т.п.
• Доступ к изменению настроек BIOS должен быть защищен паролем.
• На компьютере необходимо использовать только лицензионное системное и прикладное программное обеспечение.
• На компьютере должна быть установлена только одна операционная система.
• Рекомендуется своевременно проводить обновления системного и прикладного программного обеспечения.
• В обязательном порядке должны быть установлены и регулярно обновляться антивирусные программы (например, Kaspersky, Dr.Web, Symantec, Avira, ESET, NOD 32, McAfee). Отдавайте предпочтение российским разработчикам. Рекомендуется установить по умолчанию максимальный уровень политик безопасности, т.е. не требующий ответов пользователя при обнаружении вирусов и другого вредоносного программного обеспечения.
• Локальными (или доменными) политиками на компьютере рекомендуется ограничить список пользователей, имеющих возможность входа в операционную систему.
• Не устанавливать и не использовать на компьютере программы для удаленного управления (Например, RDP, TeamViewer, Radmin, Ammyy Admin др.).
• Для доступа к информационным системам не используйте общедоступные компьютеры (например, установленные в интернет-кафе, гостинице), публичные беспроводные сети (бесплатный Wi-Fi и прочее).

      2. Рекомендации по защитным мерам для мобильного устройства

• Устанавливать Приложения на мобильное устройство можно только из официальных репозиториев производителей мобильных платформ: AppStore и Google Play.
• Установите на мобильное устройство антивирус и своевременно его обновляйте. Для платформы Android рекомендуем бесплатные приложения Dr.Web Light (доступен для загрузки из Google Play) и Kaspersky Mobile Antivirus: AppLock & Web Security (доступен для загрузки из Google Play).
• Своевременно устанавливайте обновления безопасности операционной системы.
• Не взламывайте свой телефон (например, через Jailbreaking, реинжиниринг, принудительное получение root-прав), так как это отключает защитные механизмы, заложенные производителем мобильной платформы. В результате ваш телефон становится уязвимым к заражению вирусным программным обеспечением.
• Не отключайте и не взламывайте встроенные механизмы безопасности вашего устройства.
• При наличии технической возможности включите шифрование данных на своём устройстве.
• Сохраняйте в тайне Ваши имя пользователя (логин), пароль для доступа в информационные системы и СМС-коды. Не сообщайте эти данные никому.Учетные записи операционной системы должны быть защищены паролями с учётом следующих параметров:

      3. Рекомендации по парольной защите

• Длина пароля должна быть не менее 8 символов.
• В пароле обязательно должны присутствовать заглавные и прописные (верхнего и нижнего регистра) символы, цифры, а также специальные символы (например, #, %, ^, * и т.п.); примеры паролей (Hjf#48dft, 5$ma(fq5eR, %dEr*2fvw2 ).
• В качестве пароля не следует использовать имя, фамилию, день рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства и другие данные, которые могут быть подобраны злоумышленником путем анализа информации о пользователе.
• В качестве пароля не следует использовать повторяющуюся комбинацию из нескольких символов, либо комбинацию символов, набираемых в закономерном порядке.
• Пароль должен меняться не реже 1 раза в 3 месяца, а также при компрометации (или подозрении в компрометации) пароля.
• При смене пароля новый пароль не должен совпадать с ранее используемыми паролями.
• Запрещено произносить вслух, записывать и хранить в любом доступном посторонним лицам месте пароли.
• Не храните логин и пароль в мобильном телефоне, смартфоне.

      4. Рекомендации по эксплуатации внешнего ключевого носителя

• Для повышения уровня безопасности хранения ключей электронной подписи (далее - ЭП) используйте устройства строгой аутентификации и хранения данных, такие как смарт-карта. Использование смарт-карты позволяет существенно снизить вероятность хищения ключей ЭП злоумышленниками.
• Для надежной защиты ключа ЭП на смарт-карте рекомендуется установить надежный пароль.
• Внешний ключевой носитель должны храниться только у тех лиц, которым они принадлежат.
• Во время работы с внешним ключевым носителем доступ к ним посторонних лиц должен быть исключен.
• Для хранения внешнего ключевого носителя должны применяться надежные металлические сейфы.
• Уничтожение ключей ЭП может производиться путем физического уничтожения внешнего ключевого носителя, на котором они расположены, или путем стирания без повреждения внешнего ключевого носителя (для обеспечения возможности его многократного использования).
• В случае компрометации или подозрения на компрометацию ключа ЭП Клиент, Владелец Квалифицированного сертификата, прекращает обмен электронными документами с использованием скомпрометированного ключа и незамедлительно информирует Удостоверяющий центр о компрометации посредством любого вида связи с целью блокировки ключа ЭП.

       5. Работа с сообщениями

• К компрометации ключей можно отнести следующие события: утрата ключевого носителя (в том числе с последующим обнаружением); хищение; несанкционированное копирование; передача ключевой информации по каналам связи в открытом виде; увольнение сотрудников, имевших доступ к ключевой информации; любые другие виды разглашения ключевой информации, в результате которых ключи могут стать доступны лицам, к ним не допущенным.

• Не отвечайте на сообщения, требующие предоставить, подтвердить или уточнить вашу конфиденциальную информацию: пароли, логины, фамилию, имя, отчество, паспортные данные, номер мобильного телефона, на который поступают одноразовые пароли и другие данные.
• Не открывайте подозрительные файлы, поступившие Вам по электронной почте.
• Не отвечайте на полученное подозрительное сообщение и не переходите по ссылкам, указанным в сообщении.