Дополнительное средство защиты от несанкционированного доступа к счетам клиентов (сервис SMS-OTP)

С 01.11.2010г. в системе «Клиент-Телебанк» предоставляется услуга «SMS-OTP», которая существенно повышает безопасность системы.
Данная услуга предоставляется в рамках текущего сопровождения системы без взимания дополнительной платы.

SMS-OTP – сервис, обеспечивающий доступ пользователей в Систему "Клиент-Телебанк" с помощью одноразовых кодов доступа, передаваемых на мобильные телефоны пользователей Системы, через SMS сообщения.

Подробную информацию о порядке подключения к сервису «SMS-OTP» Вы можете получить, обратившись в филиал Банка, обслуживающий Вашу организацию.

Средства защиты, используемые в системе «Клиент-ТелеБанк»

Система «Клиент-ТелеБанк» в своей основе использует программный комплекс Inter-Pro, предназначенный для криптографической защиты информационных систем, построенных на базе Web-технологий с использованием сертифицированного ФСБ СКЗИ «Крипто-КОМ 3.2» разработки ЗАО «Сигнал-КОМ».

СКЗИ «Крипто-КОМ 3.2» имеет сертификат ФСБ России СФ/124-1553 от 7 ноября 2010 г., удостоверяющий, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты, требованиям ФСБ России к стойкости СКЗИ и может, соответственно, использоваться для обеспечения безопасности информации, не содержащей сведений, составляющих государственную тайну.

Для предоставления данной услуги у Банка получены лицензии УФСБ России по г.Санкт-Петербургу и Ленинградской области:

• 322У от 14.09.09 на предоставление услуг в области шифрования информации;
• 320Х от 14.09.09 на осуществление деятельности по техническому обслуживанию шифровальных(криптографических) средств;
• 321Р от 14.09.09 на осуществление деятельности по распространению шифровальных (криптографических) средств.

В системе «Клиент-ТелеБанк» используется разграничение прав доступа владельцев ЭЦП к системе на основе выдачи логина и пароля, которое предусматривает:

• Смену технического пароля при первом входе в систему. Клиент не сможет начать работу не сменив технический пароль.
• Временную блокировку логина после 5 неверных попыток ввода пароля
• Ограничение минимальной длинны пароля (8 символов).

Дополнительные средства защиты, используемые в системе

В системе «Клиент-ТелеБанк» реализованы дополнительные средства защиты:

• Предоставление доступа к системе «Клиент-Банк» только с фиксированных IP-адресов в целях снижения риска несанкционированного доступа к счетам клиента по системе «Клиент-Банк» из сети Интернет.
  Для предоставления доступа к системе «Клиент-Банк» только с фиксированных IP-адресов необходимо сообщить Банку внешний IP-адрес узла, с которого разрешен доступ пользователей к ресурсам Системы, и заключить с Банком дополнительное соглашение к Договору о порядке обмена и приема к исполнению банком электронных документов с использованием Системы «Клиент – Банк». При заключении указанного соглашения (форма Приложения №11 к Договору) Банк осуществляет дополнительный контроль доступа в Систему и обеспечивает возможность доступа пользователей Клиента в Систему только с IP-адресов, указанных Клиентом. IP-адрес должен быть фиксированным (постоянным).
  Для того чтобы узнать внешний IP-адрес или получить его, необходимо обратиться к провайдеру сети Интернет.
• Предоставление / смена USB-ключа электронной цифровой подписи (ЭЦП) с функцией невозможности изъятия из него записанной ключевой информации в целях повышения устойчивости к несанкционированным удаленным доступам к счетам клиентов.
  Основные преимущества использования данного USB-ключа и дополнительная информация приведены в Памятке клиенту о применении в СДБО «Клиент-ТелеБанк» USB-ключей с функцией невозможности изъятия из них записанной ключевой информации.

Дополнительные меры защиты и рекомендации клиентам о необходимости соблюдения мер безопасности при использовании системы

В последнее время в российском сегменте сети Интернет участились сетевые атаки на сайты и серверы кредитных организаций, а также попытки неправомерного получения персональной информации пользователей (секретных ключей электронно-цифровой подписи (ЭЦП)) систем дистанционного банковского обслуживания путем заражения компьютера вредоносными программами.

Несанкционированный доступ к системе «Клиент-Банк» происходит вследствие компрометации ключей ЭЦП владельцев предприятия. Согласно условиям Договора о порядке обмена и приема к исполнению банком электронных документов с использованием системы ДБО «Клиент-Банк» ответственность за сохранность ключа ЭЦП и отсутствие доступа к нему третьих лиц возложена на владельца ключа.

В целях снижения рисков несанкционированного доступа к системе ДБО «Клиент-Телебанк», а также компрометации ключей ЭЦП Банк считает необходимым выполнение Вами следующих рекомендаций:

1. Соблюдение всех условий Договора о порядке обмена и приема к исполнению банком электронных документов с использованием системы ДБО «Клиент-Банк», включая требования по необходимым мерам безопасности для работы с системой ДБО (Приложение №3 Договора). Особое внимание следует обратить на выполнение следующих требований:
• запрещается использовать  ключевые носители с ЭЦП лицами, не являющимися их владельцами. Подписание электронных документов должно осуществляться непосредственно владельцем ключа ЭЦП. Передача ключевого носителя с ЭЦП владельцем кому-либо ведет к компрометации ключей;
• запрещается снимать несанкционированные копии с ключевых носителей ЭЦП, включая копирование на локальный жесткий диск компьютера. При необходимости копии ключевого носителя могут быть созданы только специальным программным обеспечением, которое можно получить в филиале;
• для хранения ключевых носителей ЭЦП должны использоваться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами;
• рекомендуется использовать системное и прикладное ПО, полученное из доверенных источников, а также регулярно обновлять указанное ПО;
• не допускается устанавливать, создавать и выполнять на компьютере посторонние программы, включая средства разработки и отладки программного обеспечения, без предварительного согласования с Банком;
• запрещается оставлять без контроля компьютеры, входящие в состав средств криптографической защиты информации (СКЗИ), при включенном питании и загруженном программном обеспечении СКЗИ. При кратковременном перерыве в работе рекомендуем производить блокировку клавиатуры и монитора штатными средствами операционной системы с возобновлением активности только при использовании пароля доступа;
• не допускается оставлять ключевые носители, подключенными к рабочей станции, на которой производится работа с системой ДБО, после окончания работы с системой;
• рекомендуется использовать и регулярно обновлять специализированное ПО для защиты информации - антивирусное ПО, средства защиты от несанкционированного доступа, персональные межсетевые экраны и пр.;
• рекомендуется не использовать функцию автозаполнения в установках браузера. Это поможет не сохранять данные (пароль пользователя, имя пользователя и др.) в памяти браузера, что в свою очередь предотвратит использование данных сторонними лицами;
• контролируйте посещения системы «Телебанк». Проверьте дату Вашего последнего посещения. На стартовой странице после входа в систему.
2. Исключение использования Интернета (кроме возможности работы только с сайтом Банка) на компьютере пользователя, работающего с системой ДБО. В случае необходимости использования Интернета на компьютере пользователя, работающего с системой ДБО, необходимо соблюдать правила информационной безопасности — не посещать подозрительные сайты, не устанавливать программы из недоверенных источников, не открывать файлы от неизвестных отправителей и пр.
3. При отсутствии проводимых операций по счетам осуществлять дополнительный ежедневный контроль состояния своих расчетных счетов в системе «Телебанк».
4. Ограничение доступа к системе из сети Интернет по IP-адресам. Для этого необходимо сообщить Банку внешний IP-адрес узла, с которого разрешен доступ пользователей к ресурсам Системы, и заключить с Банком дополнительное соглашение к Договору о порядке обмена и приема к исполнению банком электронных документов с использованием Системы «Клиент – Банк». При заключении указанного соглашения Банк осуществляет дополнительный контроль доступа в Систему и обеспечивает возможность доступа пользователей Клиента в Систему только с IP-адресов, указанных Клиентом.
   Обращаем Ваше внимание, что IP-адрес должен быть фиксированным (постоянным). Для того чтобы узнать внешний IP-адрес или получить его, необходимо обратиться к Вашему провайдеру сети Интернет.

За дополнительными разъяснениями обращайтесь по телефонам ответственных за сопровождение системы дистанционного банковского обслуживания в филиале или по телефону службы технической поддержки пользователей – (812) 324-20-34.