Веб-кабинет ДКУ
Веб-кабинет ДКУ
Открытие специального счета и другие сервисы для операторов финансовых платформ
Открытие специального счета и другие сервисы для операторов финансовых платформ
НРД – оператор информационной системы
НРД – оператор информационной системы

О предупреждении противоправных действий при взаимодействии с НКО ЗАО НРД по депозитарному и расчетному обслуживанию с использованием систем дистанционного обслуживания

13 марта 2012
Версия для печати

Исх. № ТС-32/2422 от 13.03.2012

Руководителю Организации

Настоящим сообщаем, что в целях снижения рисков мошенничества со стороны злоумышленников при работе в системах дистанционного обслуживания (СДО) обращаем Ваше внимание на необходимость строгого соблюдения мер и выполнения рекомендаций по информационной безопасности.

Рекомендуется назначить ответственное лицо, которое будет осуществлять контроль выполнения мер по информационной безопасности, а также информировать руководство организации обо всех выявленных нарушениях.

Требуемые меры и рекомендации:

1. Правила работы с криптографическими ключами

1.1 Выполнять правила работы с криптографическими ключами, которые изложены в разделе 4 Правил электронного документооборота (ЭДО) Организатора Системы электронного документооборота (СЭД) и п.7. Приложения № 2 к этим Правилам (http://www.micex.ru/services/electronic_workflow/documents/575).
1.2. Для хранения секретных ключей использовать внешние носители.
1.3. Крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам, извлекать носители, если они не используются для работы.
1.4. Носители с секретными ключами хранить в местах, исключающих доступ к ним посторонних лиц, например, в сейфе.
1.5. Использовать сложные пароли, не оставлять без присмотра идентификационную информацию.
1.6. Выполнять незамедлительную блокировку и смену ключей электронной подписи (ЭП) в случаях их компрометации, а также по истечении срока действия ключей с периодичностью, установленной договорами.
1.7. Заменять ключи ЭП во всех случаях увольнения или смены руководителей юридического лица, подписывавших распоряжения (доверенности) о предоставлении сотрудникам организации полномочий подписания ЭП электронных документов.
1.8 При обращении от имени НКО ЗАО НРД по телефону, электронной почте, через SMS-сообщения лиц с просьбами сообщить или передать конфиденциальную информацию (ключи, пароли и пр.) ни при каких обстоятельствах не сообщать данную информацию. О таких фактах просим информировать дежурного администратора информационной безопасности НКО ЗАО НРД по телефону + 7(495)232-05-35.

2. Сетевые настройки

2.1. Настройками сетевого оборудования и межсетевых экранов ограничивать выход в сеть Интернет списком доверенных web-узлов со всех персональных компьютеров (ПК), где устанавливаются СДО, осуществляется подготовка, подписание и отправка платежных документов.
2.2. В список доверенных web-узлов включать только доверенные сайты и хосты самой организации, надежных контрагентов, налоговой службы, других государственных органов, необходимых в производственном процессе, сервера обновлений системного и антивирусного ПО.
2.3. Доступ к иным информационным ресурсам и сервисам сети Интернет, включая электронную почту, социальные и пиринговые сети, конференции и чаты, телефонные сервисы и т.п. должен быть исключен.
2.4. Для ПК, с которых осуществляется отправка платежных документов, необходимо использовать встроенные средства сетевой фильтрации. Для защиты от угроз со стороны локальной вычислительной сети (ЛВС) рекомендуется настроить доступ только на необходимые в производственных целях ресурсы ЛВС.

3. Программное обеспечение и полномочия пользователей

3.1. Использовать лицензионное программное обеспечение (операционные системы, офисные пакеты и пр.). Не устанавливать на ПК с СДО ПО, полученное из не заслуживающих доверия источников, а также нелицензионного и свободно-распространяемого ПО.
3.2. У пользователей ПК в ОС не должно быть административных прав и прав Power User («Опытный пользователь»), если не требуется для процедур обновления ПО.
3.3. Перед установкой ПО СДО на ПК и выполнением настроек необходимо проверить ПК на отсутствие вредоносного ПО, программ удаленного доступа к ресурсам ПК, программ работы с небезопасными ресурсами и сервисами сети Интернет, включая почтовые клиенты. При проведении таких проверок рекомендуется осуществлять загрузку ОС с внешнего эталонного загрузочного диска.
3.4. С целью минимизации рисков при получении новых версий СДО и другого ПО, размещенного в соответствующих разделах сайта НКО ЗАО НРД, файлы с программным обеспечением публикуются с электронной подписью НКО ЗАО НРД, используемой при подписании отчетов, информационных сообщений и других исходящих от НКО ЗАО НРД электронных документов в ходе электронного документооборота НКО ЗАО НРД с участниками ЭДО. При этом электронная подпись НКО ЗАО НРД сохраняется и выкладывается в отдельном файле, что обеспечивает участникам ЭДО как прямой доступ к файлам с программным обеспечением, так и, при необходимости, возможность проверить электронную подпись НКО ЗАО НРД и, тем самым, убедиться в авторстве и целостности полученного ПО.
3.5. Своевременно устанавливать последние пакеты обновлений (Service Packs), актуальные патчи безопасности ОС Windows.
3.6. Использовать антивирусное программное обеспечение с последними обновлениями антивирусной базы для защиты от вредоносного ПО, антивирусные базы регулярно обновлять.
3.7. Использовать специализированные средства защиты от несанкционированного доступа для ограничения доступа к ПК, исключить возможность дистанционного подключения к ПК третьих лиц или привлечение для администрирования и обслуживания ПК ИТ-персонал на условиях предоставления ему удаленного доступа.
3.8. Для исключения ошибочных и преднамеренных действий пользователя, приводящих к снижению защищенности системы и рискам финансовых потерь, необходимо средствами политик безопасности операционной системы или специализированными средствами защиты ПК от НСД обеспечить для пользователя функционально-замкнутую среду, позволяющую ему запускать и работать только с разрешенными программами без доступа к файловой системе и реестру ОС.

4. Обмен информации через Интернет

4.1. Не переходить по ссылкам, указанным в подозрительных письмах, не открывать прикрепленные к ним файлы.
4.2. Не вводить персональную информацию на страницах ресурсов, которая обычно не запрашивается.
4.3. Ограничить посещение сайтов сомнительного содержания.

5. Контроль платежной информации

5.1. Необходимо проводить контроль сумм и получателей платежных документов в информационном окне СДО, а также контролировать количество и сумму отправленных документов по полученным от НКО ЗАО НРД квитанциям.
5.2. Следует регулярно контролировать состояние своих счетов и незамедлительно информировать обслуживающее подразделение НКО ЗАО НРД обо всех подозрительных или несанкционированных операциях.
5.3. В случае неожиданного выхода из строя ПК с СДО, либо некорректной работы ПО СДО, либо признаков наличия вредоносного ПО, необходимо прекратить на ПК работу, отключив его от всех видов сетей, включая локальную корпоративную сеть, срочно запросить в НКО ЗАО НРД выписку по счету.
5.4. При обнаружении несанкционированных платежных операций информировать руководство, написать заявление в НКО ЗАО НРД, а также обратиться с соответствующим заявлением в правоохранительные органы. Работоспособность поврежденного ПК не восстанавливать до проведения технической экспертизы. Переустановку СДО проводить на новом ПК. После переустановки СДО произвести немедленную смену всех своих ключей ЭП.

В случае несоблюдения мер по информационной безопасности НКО ЗАО НРД не несет ответственности за противоправные действия третьих лиц по счетам клиентов.


По всем вопросам, связанным с настоящим письмом, Вы можете обращаться к Вашим персональным менеджерам по телефонам: (495) 956-27-90/91/92/93, (495) 956-09-40, (495) 745-81-45, (495) 234-48-27 или к региональным представителям НКО ЗАО НРД.

Задайте вопрос
— Поля обязательные для заполнения
 
Обратная связь
— Поля обязательные для заполнения
 
Отправьте заявку, и наши специалисты свяжутся с вами в ближайшее время
— Поля обязательные для заполнения