Руководство пользователя по обеспечению информационной безопасности при работе в системе дистанционного банковского обслуживания “iBank 2” 2012 ГЛАВЛЕНИЕ 1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ .................................................................................................................................... 3 2. ОБЩИЕ ПОЛОЖЕНИЯ ................................................................................................................................................. 3 3. АКТУАЛЬНЫЕ УГРОЗЫ ПРИ ИСПОЛЬЗОВАНИИ СИСТЕМЫ ДБО “IBANK 2” ......................................... 3 3.1 УГРОЗЫ ВЫЗВАННЫЕ ДЕЙСТВИЯМИ ЗЛОУМЫШЛЕННИКОВ. ..................................................................... 3 3.2 УГРОЗЫ ВЫЗВАННЫЕ ДЕЙСТВИЯМИ/БЕЗДЕЙСТВИЕМ СОТРУДНИКОВ КЛИЕНТА. ............................. 4 3.3 УГРОЗЫ ВЫЗВАННЫЕ СБОЯМИ В КАНАЛАХ СВЯЗИ. ........................................................................................ 4 3.4 УГРОЗЫ ВЫЗВАННЫЕ СБОЯМИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ БАНКА. ........................................ 4 4. МЕРЫ ПО СНИЖЕНИЮ ВЕРОЯТНОСТИ РЕАЛИЗАЦИИ УГРОЗ ................................................................... 5 4.1 МЕРЫ СНИЖАЮЩИЕ ВЕРОЯТНОСТЬ НЕПРАВОМЕРНОГО ДОСТУПА К КЛЮЧАМ ЭП. ...................... 5 4.2 МЕРЫ СНИЖАЮЩИЕ ВЕРОЯТНОСТЬ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРУ ПОЛЬЗОВАТЕЛЯ СИСТЕМЫ ДБО. .................................................................................................................................... 5 4.3 МЕРЫ СНИЖАЮЩИЕ ВЕРОЯТНОСТЬ НЕПРАВОМЕРНОГО ДОСТУПА (ОЗНАКОМЛЕНИЕ, ИСКАЖЕНИЕ, ПОДМЕНА, БЛОКИРОВАНИЕ, УДАЛЕНИЕ) К ИНФОРМАЦИИ, А ТАКЖЕ МЕРЫ ОБНАРУЖЕНИЯ ФАКТОВ НЕПРАВОМЕРНОГО ДОСТУПА К ИНФОРМАЦИИ СИСТЕМЫ ДБО. ................ 6 4.4 МЕРЫ СНИЖАЮЩИЕ ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗ, ВЫЗВАННЫХ НЕ ЗЛОНАМЕРЕННЫМИ ДЕЙСТВИЯМИ СОТРУДНИКОВ ОРГАНИЗАЦИИ-ПОЛЬЗОВАТЕЛЯ СИСТЕМЫ ДБО. .............................................................................................................................................................................................. 7 5. НЕОБХОДИМЫЕ ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ НЕПРАВОМЕРНОГО ДОСТУПА .......................... 8 ПРИЛОЖЕНИЕ “А” ................................................................................................................................................................. 9 ПРИЛОЖЕНИЕ “Б” ............................................................................................................................................................... 10 2 1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Система дистанционного банковского обслуживания (далее по тексту - система ДБО) комплекс программно-технических средств и организационных мероприятий для создания и передачи электронных платежных документов по каналам связи. Электронная подпись (далее - ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Электронный документ - электронный аналог расчетного или иного документа, защищенный Электронной подписью и представленный в формате, определяемом соответствующими программными ресурсами, при помощи которых создан Электронный документ. Платежные документы в электронной форме - в рамках настоящего Руководства следует понимать электронный документ, содержащий информацию о платеже Клиента и электронную подпись Клиента. Ключи электронной подписи (далее - Ключи ЭП): Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Носитель Ключей ЭП - отчуждаемое устройство хранения данных (Floppy-диск, Flashнакопитель, USB-токен , смарт-карта, ), содержащее Ключи ЭП. Сертификат Ключа ЭП Клиента (далее по тексту – Сертификат) – электронный документ или документ на бумажном носителе, формируемый с использованием средств системы ДБО и предназначенный для подтверждения принадлежности ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи. Шифрование - криптографическое преобразование данных, позволяющее предотвратить доступ неуполномоченных лиц к содержимому зашифрованного электронного документа. Средство криптографической защиты информации (СКЗИ) - сертифицированные ФСБ средства криптографической защиты конфиденциальной информации. Банк – ЗАО “ГЛОБЭКСБАНК”. ПО – программное обеспечение. БД – база данных. ОС – операционная система. 2. ОБЩИЕ ПОЛОЖЕНИЯ Настоящее Руководство разработано в целях обеспечения информационной безопасности при работе клиентов в системе ДБО “iBank 2”. 3. АКТУАЛЬНЫЕ УГРОЗЫ ПРИ ИСПОЛЬЗОВАНИИ СИСТЕМЫ ДБО “iBank 2” В данном Руководстве представлен перечень основных угроз информационной безопасности. Данный перечень не является исчерпывающим. 3.1 Угрозы вызванные действиями злоумышленников В основном, действия злоумышленников в системе ДБО направлены на хищение денежных средств со счета клиента и, как правило, предполагают несанкционированное использование программного обеспечения и/или Ключей ЭП клиента. Злоумышленник может быть как внешний (не связанный с клиентом), так и внутренний (сотрудник организации – клиента). 3 3.1.1 Похищение Ключей ЭП и паролей доступа к Ключам ЭП Дает возможность злоумышленнику создавать от имени клиента платежные документы, с корректной ЭП клиента. Такой документ, в соответствии с договором на дистанционное банковское обслуживание, не может быть не исполнен Банком. 3.1.2 Удаленное управление компьютером клиента Злоумышленник создает от имени пользователя платежные документы, с корректной ЭП клиента, на компьютере клиента. При этом у злоумышленника остаются такие возможности управления компьютером пользователя системы ДБО, как: изменение информации, отражающейся в системе ДБО (не отражаются проведенные злоумышленником платежи и не верно отражен остаток по счету), возможность частичного или полного вывода из строя компьютера пользователя (компьютер может вообще не включаться или “зависать” при загрузке или при подключении к системе ДБО). Злоумышленник так же может создать платежное поручение и сохранить в системе, в надежде что клиент, не заметит нелигитимный документ в большом объеме отправляемых платежей, подпишет и отправит его сам. 3.1.2 Блокирование доступа клиента к сайту входа в систему ДБО Злоумышленник блокирует возможность доступа к системе ДБО одним из нескольких способов: - выводит из строя компьютер пользователя; - блокирует локальную вычислительную сеть организации клиента, либо блокирует выход в Интернет организации; - блокирует доступ к сайту Банка; - блокирует доступ к сайту компании разработчика интернет-банка. 3.2 Угрозы вызванные действиями/бездействием сотрудников клиента 3.2.1 Незнание и/или невыполнение требований обеспечения информационной безопасности Значительно повышает вероятность реализации угроз, вызванных действиями злоумышленников. 3.2.2 Неосторожные действия сотрудников клиента Значительно повышают вероятность реализации угроз, вызванных действиями злоумышленников. А также могут привести к: - уничтожению, блокированию или компрометации Ключей ЭП (не будет уверенности, что Ключи ЭП и/или пароль доступа к Ключам ЭП не стали известны неуполномоченному лицу) – требуется произвести замену Ключа ЭП; - выводу из строя оборудования, обеспечивающего доступ к системе ДБО. 3.2.2 Умышленные злонамеренные действия сотрудников клиента Угрозы рассмотрены в п. 3.1. 3.3 Угрозы вызванные сбоями в каналах связи Отсутствие возможности связаться Банку с клиентом и клиенту с Банком. 3.4 Угрозы вызванные сбоями в информационных системах Банка. Временная недоступность одного или нескольких сервисов, предоставляемых Банком. 4 4. МЕРЫ СНИЖЕНИЯ ВЕРОЯТНОСТИ РЕАЛИЗАЦИИ УГРОЗ Основные меры снижения вероятности реализации угроз направлены, во-первых, на защиту Ключей ЭП от неправомерного доступа, во-вторых, на защиту компьютера, с которого производится работа в системе ДБО и в-третьих, на защиту информации, которой обменивается система ДБО. 4.1 Меры снижающие вероятность неправомерного доступа к Ключам ЭП 4.1.1 Хранение Ключей криптопровайдер) “iBank 2 key” ЭП на USB-токене (персональный аппаратный Специализированный носитель, обеспечивающий неизвлекаемость Ключей ЭП (Ключи ЭП не могут быть скопированы злоумышленником). 4.1.2 Выполнение правил выбора пароля доступа к Ключам ЭП -Пароль выбирается самостоятельно; -Если пароль записан на бумаге, то хранится в месте, недоступном для посторонних лиц; -Пароль содержит не менее 6 различных символов; -Пароль подлежит обязательной смене, если он стал известен постороннему лицу; -В качестве пароля не используются: последовательности, состоящие из одних цифр (в том числе даты, номера телефонов, номер автомобиля и т.п.); последовательности повторяющихся букв или цифр; подряд идущие в раскладке клавиатуры или в алфавите символы; имена и фамилии; ИНН или другие общедоступные реквизиты клиента. 4.1.3 Исключение доступа посторонних лиц к носителям ключевой информации (дискета, CD, flash-карта, USB-токен, смарт-карта, жесткий диск) -Носители ключевой информации и пароли доступа к ним необходимо хранить в недоступном для окружающих месте отдельно друг от друга; -По завершении работы в системе “iBank2” или перерыва в работе, носитель ключевой информации извлекается из устройства; -Носитель ключевой информации используется только для подписания электронных документов или многофакторной аутентификации; -Ключ ЭП запрещается копировать или передавать третьему лицу; -В случае смены ответственного лица, осуществляющего подпись электронных документов, утере носителя ключевой информации, а также о любом подозрении на компрометацию ключей ЭП незамедлительно сообщается в банк для блокировки ключей ЭП. 4.2 Меры снижающие вероятность неправомерного доступа к компьютеру пользователя системы ДБО 4.2.1 Ограничение доступа к рабочим местам, с которых осуществляется работа с ПО системы “iBank 2” (далее “Рабочие места системы “iBank 2”) -Право доступа необходимо предоставлять лицам, непосредственно осуществляющим работу в системе “iBank2”; -Рабочие места, на которых осуществляется работа с системой “iBank2”, запрещается оставлять без контроля (при кратковременном отсутствии средствами операционной системы блокируется рабочее место). 5 4.2.2 Настройка “доверенной среды” и исключение несанкционированного изменения программного обеспечения на рабочих местах системы “iBank 2” -Используется только лицензионное программное обеспечение; -Устанавливаются все обновления системы безопасности, рекомендуемые производителем операционной системы, установленной на компьютере; -Отключается учетная запись для гостевого входа (Guest); -Отключаются режимы отображения окна всех зарегистрированных на рабочем месте системы “iBank2” пользователей и быстрого переключения пользователей (ОС Windows XP); -Для всех учетных записей в операционной системе используются пароли, удовлетворяющие требованиям п.1 настоящих обязательств; -Для защиты от несанкционированного доступа из внешней или локальной сети используется и своевременно обновляется специализированное ПО для защиты информации — антивирусное ПО с регулярно обновляемыми базами, персональные межсетевые экраны, средства защиты от несанкционированного доступа и другие технические средства защиты; -При подозрении, что компьютер заражен, а также в случае обнаружения незарегистрированных программ или нарушения целостности операционной системы, работа в системе “iBank2” немедленно прекращается, а об инциденте сообщается в Банк. 4.2.3 Соблюдение правил безопасной работы в сети Интернет на рабочих местах системы “iBank 2” -Не допускается открывать сайт системы “iBank2” по ссылкам (особенно баннерным или полученным через почту); -Не допускается отвечать на подозрительные письма с просьбой выслать секретный ключ ЭП, пароль и другие конфиденциальные данные системы “iBank2”; -Не устанавливаются и не сохраняются подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте, полученные на форумах; -На компьютере не запускаются программы, полученные не из доверенных источников. 4.3 Меры снижающие вероятность неправомерного доступа (ознакомление, искажение, подмена, блокирование) к информации, а также меры обнаружения фактов неправомерного доступа к информации системы ДБО При выборе мер, указанных в п. 4.3 исходим из того, что злоумышленник получил доступ к компьютеру и Ключам ЭП пользователя системы ДБО тем или иным способом, при этом данный факт остается неизвестен ни клиенту, ни Банку. 4.3.1 Использование одноразовых паролей на вход в систему ДБО, получаемых без использования компьютера пользователя системы ДБО Возможны два варианта получения одноразовых паролей: - одноразовый пароль генерирует сервер Банка и посылает SMS-сообщение с паролем и IPадресом пользователя, запросившего пароль на вход, на мобильные телефоны, указанные пользователем; - одноразовый пароль генерирует OTP-токен (от англ. “One Time Password” - одноразовый пароль), который можно приобрести в Банке. 4.3.2 Использование одноразовых паролей для подтверждения платежных поручений в системе ДБО, получаемых без использования компьютера пользователя и системы ДБО Также возможны два варианта: - одноразовый пароль генерирует сервер Банка и посылает SMS-сообщение с паролем и IPадресом пользователя, запросившего пароль на вход, краткой платежной информацией, на мобильные телефоны, указанные пользователем; - одноразовый пароль генерирует OTP-токен. 6 Преимущество первого способа подтверждения является получение параметров (сумма и получатель платежа) подтверждаемого платежного документа. Клиент самостоятельно выбирает, свыше какой суммы должны подтверждаться платежные поручения одноразовым паролем. 4.3.3 Использование канала SMS-Банкинг для получения оповещений о событиях в системе ДБО на мобильный телефон С подробностями о настройке канала SMS-Банкинг можно ознакомиться в документе “Полное руководство по работе с Интернет-банкигом для корпоративных клиентов” (Раздел “Мониторинг”, стр. 118). Рекомендуем настроить и обращать особое внимание на оповещение о следующих событиях: - о входе в систему; - о поступлении в банк документа; - о движении средств по счету; - о текущих остатках. Следует обращать внимание на получение сообщения, когда его быть не должно (например, получение сообщения о входе в систему, когда владелец Ключа ЭП даже не пытался войти в систему), а также не получение сообщения, когда оно должно быть (пример: в Банк по системе ДБО направлен электронный документ, документу присвоен статус “Доставлен” или ”На обработке”, а соответствующее сообщение не приходит). Такие случаи должны вызывать подозрения у пользователя системы ДБО и являться серьезным поводом связаться с Банком для прояснения сложившейся ситуации. 4.3.2 Контроль состояния компьютера пользователя системы ДБО Выход из строя компьютера или ненормальная работа (“зависание” и ”торможение” на стадии загрузки или в процессе работы), невозможность подключиться к Интернету вообще или к какимлибо сайтам в частности также являются признаками возможного неправомерного доступа к компьютеру пользователя ДБО. 4.3.2 Контроль доступности системы ДБО При попытках хищения денежных средств, злоумышленник может попытаться ограничить возможность пользователя системы ДБО обнаружить неправомерные документы путем блокирования сайта Банка (ссылка на сайт - https://ibank.globexbank.ru/), в таком случае, для входа в систему, можно воспользоваться единой точкой входа в систему “iBank 2” для корпоративных клиентов всех банков (ссылка на сайт - https://ibank2.ru/). 4.4 Меры снижающие вероятность реализации угроз, вызванных не злонамеренными действиями сотрудников организации-пользователя системы ДБО В данном случае меры организационного характера направлены на повышение осведомленности сотрудников в вопросах информационной безопасности и принятия конкретных правил и регламентов в организации, утверждающих порядок доступа и использования системы ДБО. Банк рекомендует принять следующие документы “Регламент доступа к рабочему месту пользователя системы “iBank 2” (приложение “А”) и “Правила использования Интернет и электронных средств связи, использующих компьютер” (при разработке рекомендуем учитывать рекомендации по работе в Интернет – Приложение “Б”) . 7 5. НЕОБХОДИМЫЕ ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ НЕПРАВОМЕРНОГО ДОСТУПА В любом случае, даже если Вы на 100% уверены в безопасности системы ДБО на своей стороне Вам необходимо иметь следующую контактную информацию: - телефон своего операциониста; - общий телефон офиса, где вы обслуживаетесь; - телефон технической поддержки Банка; - общие банковские телефоны. Также необходимо обеспечить возможность связи сотрудников Банка с Вами, т.е. указанный контактный телефон должен быть доступен. При планировании работы из-за рубежа следует заранее проинформировать об этом своего операциониста. При обнаружении неправомерного доступа к Ключам ЭП, компьютеру пользователя системы ДБО или подозрение на компрометацию Ключей ЭП (возможно Ключи ЭП были скопированы) необходимо: 1. Связаться со своим операционистом и сверить поданные в Банк электронные документы и остатки средств на счетах; 2. В случае обнаружения документов, которые Вы не создавали: - заблокировать Ключи ЭП по телефону, назвав блокировочное слово; - обратиться с письменным заявлением о неправомерности полученных Банком документов. - проверить все компьютеры организации антивирусной программой с актуальными обновлениями антивирусных баз; - проверить наличие следующих мер обеспечения безопасности: многофакторная аутентификация с использованием одноразовых паролей в виде SMS-сообщений, либо получения сеансового пароля с OTP-токена при соединении с “iBank 2”; использование для защищенного хранения Ключей ЭП USB-токена “iBank 2 Key” или смарт-карты “iBank 2 Key”; подключение механизма дополнительного подтверждения платежных поручений одноразовыми паролями на сумму, превышающую пороговую (задаваемую клиентом); подключение SMS-информирования их обо всех операциях по счетам (настраивается на стороне клиента самостоятельно); введение со стороны банка контроля IP-адресов, с которых клиенты могут проводить операции в системе ДБО; - переустановить, в обязательном порядке, виртуальную Java-машину (JVM) (дистрибутив доступен на сайте разработчика по ссылке http://java.com/ru/download/); - проверить в организации, соблюдение режима ограничения доступа к компьютеру пользователя системы ДБО; 3. Заменить Ключи ЭП. 8 Приложение “А” Регламент доступа к рабочему месту пользователя системы “iBank 2”. При использовании клиентского ПО системы “iBank 2” должны соблюдаться следующие организационные меры: 1. Право доступа к рабочим местам, с которых осуществляется работа с системой ДБО “iBank 2”, предоставляется только лицам, непосредственно осуществляющим работу с системой “iBank 2”, а также иным лицам, которые наделены соответствующим правом доступа в соответствии с внутренним регламентом организации. 2. Должен быть исключен несанкционированный доступ посторонних лиц в помещения, в которых установлены рабочие места системы “iBank 2”, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. 3. Запрещается оставлять без контроля вычислительные средства, на которых эксплуатируется система ДБО “iBank 2”. При уходе пользователя с рабочего места должно использоваться автоматическое включение блокировки экрана с активизацией по паролю. 4. Администратором безопасности должно быть проведено опечатывание системного блока рабочего места, исключающее возможность несанкционированного изменения аппаратной части рабочей станции с системой ДБО. 5. В BIOS компьютера выставляются установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске, должны быть: отключена загрузка с гибкого диска, привода CD-ROM, исключены прочие нестандартные виды загрузки ОС, включая сетевую загрузку. Применение компьютера с BIOS, исключающим возможность отключения сетевой загрузки ОС, не допускается. 6. Вход в BIOS компьютера должен быть защищен паролем. Пароль для входа в BIOS должен быть известен только администратору. 7. Для каждого пользователя компьютера выбирается надежный пароль входа в систему, удовлетворяющий следующим требованиям: длина пароля не менее 6 символов, среди символов пароля встречаются символы, цифры и специальные символы, срок смены пароля не реже одного раза в месяц. 8. Должна быть отключена учетная запись для гостевого входа (Guest); 9. Должно быть исключено использование режима пользователя в операционную систему при ее загрузке. 10. автоматического входа Должна быть разработана система назначения и смены паролей. 11. Должны быть отключены режимы отображения окна всех зарегистрированных на компьютере пользователей и быстрого переключения пользователей (касается ОС Windows XP). 12. Должно быть ограничено количество неудачных попыток входа в систему, в соответствие с политикой безопасности, принятой в организации. Рекомендуется блокировать систему после трех неудачных попыток. 9 Приложение “Б” Рекомендации по работе в Интернет Никогда не открывайте сайт системы “iBank 2” по ссылкам (особенно баннерным или полученным через почту), поскольку существует множество способов фальсифицировать адрес. Необходимо самостоятельно вводить адрес сайта в адресной строке браузера или использовать закладку на сайт в браузере. Не отвечайте на подозрительные письма с просьбой выслать Ключ ЭП, пароль и другие конфиденциальные данные. Подобное письмо наверняка создано злоумышленниками. Ни один банк никогда не запрашивает у клиентов конфиденциальную информацию по электронной почте! Обращайте особое внимание на отправителя почтовой корреспонденции при работе с электронной почтой, будь то работа с почтой через web-интерфейс одной из известных почтовых систем: mail.ru, yandex.ru и т.п., или в локально установленных программах типа MS Outlook, Outlook Express, The Bat! Если отправитель почтового сообщения вам не известен – открывать вложение из такого письма категорически не рекомендуется, чтобы ни содержало данное сообщение. Никакие обновления, патчи, для компьютеров не распространяются по почте! Даже если отправитель Вам известен, и Вы давно ведете с ним переписку, это не гарантия что вложение безопасно. В таких случаях рекомендуется предварительно сохранять вложения в специально созданную папку на жестком диске и проверять их антивирусом. После успешной проверки вложения антивирусом открывайте его уже из этой папки. Большинство случаев современных атак связано с использованием уязвимостей в интернетбраузере. Для снижения вероятности использования злоумышленником данных уязвимостей необходимо задать максимальный уровень безопасности браузера по умолчанию (запрет сценариев, запрет загрузки элементов ActiveX). Для тех сайтов, которые требуют разрешения исполнения соответствующих элементов (в частности, банковский сайт системы “iBank 2”) необходимо индивидуально разрешить их исполнение, добавив сайты в список надежных. Неплохо также подумать о безопасности при работе с программами Instant Messaging (службы мгновенного обмена сообщениями), такими как ICQ, Mail.ru-агент и им подобными. В этом случае рекомендации будут примерно такими же, как и при работе с электронной почтой. Не принимайте файлы из неизвестных источников, к файлам из известных источников также следует относиться с осторожностью. Проверяйте все полученные файлы антивирусными программами. Не устанавливайте и не сохраняйте подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте. Такие файлы лучше немедленно удалять. В случае необходимости загрузки файла, убедитесь, что он проверен антивирусом. Откажитесь от посещения сайтов сомнительного содержания (сайты эротической направленности, сайты бесплатных программ, хакерские сайты и т.п.). Зачастую такие сайты содержат вредоносные программы, загружаемые и запускаемые при входе на сайт. Если у Вас возникло подозрение на то, что Ваш ПК заражен (неадекватная реакция на Ваши действия, самостоятельная активность, появляющиеся непонятные окна и т.п.) – немедленно вызывайте своего системного администратора. Ему предстоит определить, действительно ли Ваш компьютер заражен и необходимо вмешательство, или наблюдаемое Вами всего лишь часть обычных, вполне нормальных процессов работающего компьютера. 10