ПРИЛОЖЕНИЕ 10 к Правилам дистанционного банковского обслуживания клиентов АО Банк Инноваций и Развития с использованием системы «BID INTERNET BANK» Анкета клиента ДБО: состояние информационной безопасности автоматизированного рабочего места клиента системы BID Internet Bank Название организации: ИНН: Юридический адрес: [Введите название] [Введите ИНН] [Введите адрес] Дата заполнения: Исполнитель: Телефон: Выберите дату Должность, ФИО Телефон для связи Инструкции Предоставляемые сведения подтверждают проведение мероприятий по реализации мер защиты в отношении автоматизированных рабочих мест доступа к системе дистанционного банковского обслуживания BID Internet Bank, служат исходными данными при планировании и реализации процессов совершенствования системы защиты от мошенничества и других деструктивных воздействий, оказывающих влияние на непрерывность и качество услуг банка. Ответ проставляется в выделенном поле слева от текста вопроса и может содержать: "да\нет", число, буквы из списка вариантов через запятую. Дополнительные поля для ввода заполняются произвольным текстом в соответствии с содержанием вопроса. Под термином «Система» понимается система дистанционного банковского обслуживания юридических лиц BID Internet Bank. Часть 0: Общие сведения 1) 2) 3) а. б. в. г. Сколько компьютеров используется для подключения к системе? Допускается ли эксплуатация компьютеров системы сотрудниками, не уполномоченными работать с системой? Компьютеры системы имеют следующие подключения к сети Интернет: постоянное подключение через локальную сеть организации, провайдер___________________________; беспроводное подключение WiFi, провайдер__________________________; прямое подключение через мобильную сеть, оператор______________________; Другое____________________ Часть I: Состояние компьютера ДБО 1) 2) 3) 3) 4) 5) а. б. в. г. д. 6) а. б. Существует ли возможность у пользователей самостоятельно устанавливать программное обеспечение на компьютер? (да\нет) Допускается ли использование нелицензионного программного обеспечения? (да\нет) Производится ли ежедневное обновление антивирусных баз? (да\нет) Как часто производится полное антивирусное сканирование компьютера? Проинструктированы ли пользователи о порядке выявления, распознавания вирусной (вредоносной) активности при работе с системой банк-клиент? (да\нет) Какое антивирусное средство установлено, укажите версию ПО? Symantec________ Kaspersky________ DrWEB__________ ESET NOD32______ Другое____________________ Какая операционная система установлена на компьютерах системы, укажите версию ПО? Windows________ Mac OS_________ в. 7) а. б. в. г. 8) 9) а. б. в. г. д. 10) 11) 12) 13) 14) 15) а. б. в. г. 16) 17) 18) 19) Другое____________________ Какой режим обновления операционной системы применяется? автоматически по расписанию (как часто?) ________ устанавливает системный администратор (как часто?) _____________ Другое_________ Используются ли компьютеры системы для интернет-серфинга? (да\нет) Используются ли компьютеры системы для работы с другими программами? бухгалтерские программы (1С и т.д.) банк-клиенты других банков CRM, ERP и т.п. Электронная почта (укажите наименование почтового клиента, например, MS Outlook, The BAT, Outlook Express, почта через Интернет – mail.ru, yandex.ru, gmail.com и т.д.) ___________________________________ Другое_________ Имеет ли пользователь системы права локального администратора на компьютере? (да\нет) Как часто пользователем меняется персональный пароль для доступа к компьютеру? Как часто пользователем меняется персональный пароль для доступа к системе? Отвечают ли создаваемые пароли доступа требованиям к сложности (не менее 8 символов, буквы различного регистра, цифры, спец.символы)? (да\нет) Допускается ли передача паролей\ключей доступа другим сотрудникам, либо администраторам при устранении неисправностей? (да\нет) Каков режим функционирования компьютера доступа к системе? в рабочее время сотрудника круглосуточно на период работы с системой Другое_________ Используются ли программы удаленного доступа\администрирования на компьютере (TeamViewer, RemoteAdmin, Удаленный рабочий стол Windows и т.п.)? (да\нет) Допускается ли удаленный доступ сотрудников к компьютеру системы во вне рабочее время? (да\нет) Проинструктированы ли пользователи на случай нарушения конфиденциальность ключей, паролей (в т.ч. о порядке обращения в Банк)? (да\нет) Проинструктированы ли пользователи о способах противодействия методам воздействия злоумышленников, таким, как фишинг, социальная инженерия? (да\нет) Часть II: Использование криптографических ключей 1) 2) а. б. в. г. д. 3) 4) 5) а. Назначен ли в организации ответственный за организацию хранения ключей, контроль соблюдения требований? (да\нет) Где пользователи хранят криптографические ключи системы банк-клиент? на Флэш-накопителе на e-token На локальном диске компьютера В реестре операционной системы Другое ____________________ Обеспечено ли хранение носителей криптографических ключей системы в сейфе\запираемом шкафу? (да\нет) Используются ли носители криптографических ключей для хранения других данных (документов)? (да\нет) Каков режим использования носителя криптографического ключа? Постоянно подключен к компьютеру б. в. г. Подключается при работе в системе банк-клиент Подключается только в момент подписания документов Другое_________________________ Часть III. Дополнительные меры защиты 1) 2) 3) 4) 5) 6) а. б. Используется ли в организации корпоративный межсетевой экран? (да\нет) Используется ли (включен ли) персональный межсетевой экран (например, встроенный брандмауэр Windows) на компьютере, подключенном к системе банк-клиент? (да\нет) Настроены ли межсетевые экраны на запрещение доступа к компьютеру системы из сети Интернет? (да\нет) Используют ли пользователи виртуальную клавиатуру при вводе пароля доступа в систему банк-клиент? (да\нет) Используются ли для защиты локальной сети системы обнаружения и блокировки сетевых атак? (да\нет) Применяются ли дополнительные меры защиты? Технические _________________________________ Организационные____________________________ Часть IV: Совершенствование системы защиты 1) а. б. в. г. д. е. ж. з. и. 2) 3) 4) а. б. в. 5) Заинтересована ли организация в применении дополнительных мер защиты системы? Оповещение о подозрительных операциях по телефону Оповещение о подозрительных операциях по e-mail Оповещение о подозрительных операциях по SMS Применение средства доверенного отображения подписываемых данных, типа SafeTouch Использование одноразовых паролей для подтверждения операций, укажите способ получения (SMS, получить карту с паролями в Банке, OTPtoken)__________________________________________________________________________________ Ограничение числа устройств, с которых возможен доступ к системе банк-клиент, укажите MAC-адреса___________________________ Ограничение времени возможного совершения операций в системе, укажите___________________________ Ограничение IP-адресов, с которых разрешен доступ к системе банк-клиент, укажите_____________________ Другое__________________________________________________ Заинтересована ли организация в получении дополнительной консультации по безопасному использованию системы? Заинтересована ли организация в проведении аудита безопасности системы? Устраивает ли вас порядок оказания Банком технической поддержки? Не обращались В целом, да Есть замечания (укажите):____________________________________________________________________________________ Сталкивались ли сотрудники вашей организации со случаями мошенничества в системах дистанционного банковского обслуживания? (да\нет) Должность и Ф.И.О. руководителя организации Подпись руководителя организации, дата подписания Печать организации