Рекомендации клиентам ООО «Реестр-РН»
В соответствии с требованиями законодательства об обеспечении защиты информации, ООО «Реестр-РН» доводит до сведения своих клиентов рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее – вредоносный код), в целях противодействия незаконным финансовым операциям.
Возможные риски получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления
В деятельности по осуществлению финансовых операций с ценными бумагами задействовано множество участников - регистраторы, брокеры, депозитарии, биржи, иные участники рынка ценных бумаг, эмитенты, трансфер-агенты, государственные органы, акционеры и их представители. Использование средств вычислительной техники при совершении финансовых операций с ценными бумагами несет в себя риски получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций от имени клиента на любом из участков (этапов) обрабатываемой или передаваемой защищаемой информации, у любого из участников скоординированной деятельности при осуществлении (обработке) финансовой операции.
ООО «Реестр-РН» предпринимает все необходимые меры по минимизации рисков за счет использования современных механизмов обеспечения безопасности, выполнения требований законодательства и рекомендаций лучших практик, применения сертифицированных средств защиты, комплексов организационных мер, страхования своей ответственности, но при этом не имеет возможности гарантировать полное исключение рисков получения несанкционированного доступа или воздействия вредоносного кода на участках обработки и поступления информации, на устройствах вычислительной техники, находящихся вне его контроля, включая участки обмена информации со своими клиентами.
Регистратор обязан исполнять поступившие к нему запросы на получение информации и распоряжения на проведение операций, оформленные и подписанные установленным способом от имени зарегистрированных лиц, прошедших установленную процедуру идентификации и авторизации.
Регистратор не имеет возможности вне установленных процедур получить информацию о действительных составителях документа (распоряжения). Таким образом, основной целью возможных злоумышленников является хищение информации клиента и последующие авторизация и подача соответствующих документов, в том числе в электронной форме от имени клиента, в исполнении которых ООО «Реестр-РН не вправе отказать.
Распространение информации по сети интернет (включая обмен электронными письмами) не защищает передаваемую информацию на всех участках ее прохождения, в связи с чем принимая решение об осуществлении открытого (не шифрованного установленным образом за счет дополнительных средств защиты) обмена информацией клиент принимает на себя риски ее раскрытия перед любыми третьими лицами.
Меры по предотвращению несанкционированного доступа к защищаемой информации
Общие меры:
На сегодняшний день существует значительное количество разнообразных способов неправомерного использования информации, способы постоянно совершенствуются и дополняются злоумышленниками, использующими новейшие средства и технологии, включая методы психологического манипулирования и социальной инженерии. Привести полный объем мер, позволяющих в общем случае предотвратить риски несанкционированного доступа к защищаемой информации обычно не представляется возможным, многие из рекомендуемых к применению мер используют специальную терминологию и предполагают наличие профессиональных знаний и навыков.
Профессиональные меры защиты информации в финансовых организациях приведены в ГОСТ Р 57580.1-2017 «Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации», ряде иных документов по защите информации.
Поэтому в случае, если ценность защищаемой информации значимо превышает затраты на ее защиту, базовой рекомендацией будет привлечение профессиональных специалистов по защите информации и выполнение разработанных ими для конкретного вида информационного обмена мер защиты.
К общепринятым, универсальным мерам, позволяющим снизить риски несанкционированного доступа к защищаемой информации со стороны клиента относятся в том числе следующие:
- Комплексное выполнение правил, требований, положений, установленных эксплуатационной документацией на программное обеспечение, информационную систему (ресурс), средства защиты информации, включая средства электронной подписи, используемые при обмене информацией, исполнение рекомендаций разработчика программного обеспечения, изготовителя оборудования, установленных на устройстве, условий договоров, соглашений, правил по обмену защищенной информацией.
- Рекомендуется уделять особое внимание к работе с паролями и иной аутентификационной
информацей, в том числе:
- Использовать пароли, длинной не менее 8 символов, состоящие из сочетания строчных и прописных букв, цифр и символов, воздерживаться от использования логинов и паролей, установленных ранее при работе с в любыми иными ресурсами, сайтами, социальными сетями.
- Регулярно менять пароли на всех устройствах и программах, включая сетевое оборудование.
- Хранить пароль в тайне от всех лиц, без исключения.
- Рекомендуется хранить пароли, в случае их записи в открытом виде, иную аутентификационную информацию, средства электронной подписи (при их использовании) отдельно от устройства, используемого для осуществления финансовых операций в надежном месте, исключающем доступ (физический и электронный) к указанной информации иными лицами.
- Рекомендуется не пересылать пароли по почте, смс, иным сообщениям или иным образом, не хранить в открытом виде в компьютерных файлах.
- В случае подозрений на возможную компрометацию (раскрытие) паролей, рекомендуется незамедлительно заменить пароли на новые.
- Рекомендуется организовать надлежащий контроль использования устройства, посредством
которого осуществляются финансовые операции, в том числе:
- исключить или затруднить доступ к устройству третьих лиц
- не использовать устройства, используемые для финансовый операций, для работы с сомнительными и развлекательными сайтами (игровые сайты, сайты знакомств, сайты распространения программного обеспечения, музыку, фильмы, социальные и файлообменные сети и т.п.)
- отказаться или с осторожностью использовать на устройстве для осуществления финансовых операций сетевых пейджеров и сервисов обмена сообщениями (чата, конференций), программ, предназначенных для получения удаленного управления (помощи)данным устройством
- не использовать на устройстве не лицензионного программного обеспечения, программного обеспечения в отношении которого разработчиком не осуществляется или прекращена его поддержка и обновление, рекомендуется ограничить набор программного обеспечения только необходимым в целях совершения финансовых операций
- регулярно устанавливать обновления используемых операционных систем и офисных и иных прикладных программ исключительно с официальных сайтов разработчиков, никогда не использовать обновления с неофициальных источников (зеркал) или неофициальных носителей, установить ограничения на установку программного обеспечения из не доверенных источников.
- Рекомендуется не открывать вложения, полученные в электронных письмах от неизвестных отправителей или в случае сомнений в их подлинности.
- Рекомендуется не работать через открытые публичные и не проверенные сети WIFI (кафе, отели, парки, вокзалы и аэропорты).
- Рекомендуется использовать специализированные устройства и программное обеспечение, предназначенные для защиты информации, использовать межсетевые экраны, по возможности использовать сертифицированные средства криптографической информации (шифрации) сообщений, включая электронную почту, используемых для обмена информацией при осуществлении финансовых операций.
Меры при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции
- Предпринять как можно быстрее все возможные меры по временной блокировке доступа к информационным системам и ресурсам регистратора, через которые с утраченного устройства осуществлялись финансовые операции, для чего позвонить по телефону или направить сообщение по электронной почте, указанные на официальной странице сайта ООО «Реестр-РН» или в соответствующих инструкциях по работе с информационными ресурсами ООО «Реестр-РН».
- Выполнить процедуры, указанные в эксплуатационной документации на все программное обеспечение, используемое при информационном обмене в целях совершения финансовых операций, включая средства криптографической защиты (электронной подписи) в случае их использования (как можно быстрее совершить действия по блокировке / замене электронной подписи).
- Провести процедуру замены паролей и другой аутентификационной информации, электронных подписей в информационных ресурсах ООО «Реестр-РН» и иных системах третьих лиц, например, в почтовых ящиках, использованных ранее для обмена информацией в целях осуществления финансовой операции или подтверждения своих действий / регистраций / восстановления паролей.
Меры по контролю конфигурации устройства, с учетом которого клиентом совершаются действия в целях осуществления финансовой операции
-
В отношении устройства, используемого для совершения финансовых операций,
рекомендуется воздерживаться от следующих действий:
- разрешать работу на устройстве (его загрузку) без предварительной идентификации и аутентификации (логина и пароля)
- использовать при обычной работе административные права, позволяющие вносить изменения в конфигурацию, в случаях не требующих подобных прав (без строгой необходимости работать от имени администратора)
-
Рекомендуется:
- использовать лицензированное специализированное программное обеспечение ( в том числе антивирусное и аналогичное), контролирующее (затрудняющее) внесение изменений в конфигурацию устройства
- периодически контролировать журналы событий антивирусного и иного специализированного программного обеспечения, системные журналы, перечень установленных программ и запущенных процессов, перечень новых устройств.
- при запросах любым программным обеспечением дополнительных прав и разрешений производить оценку действительной необходимости предоставления таких прав исходя из выполняемых функций или оценку целесообразности использования подобного программного обеспечения.
Меры по своевременному обнаружению воздействия вредоносного кода
- На компьютере и устройствах клиента, используемых в целях совершения финансовых операций, рекомендуется устанавливать не менее одного лицензионного антивирусного программного обеспечения, которое, должно регулярно и часто обновляться производителем. Рекомендуется установить по умолчанию максимальный уровень политик безопасности, не требующий действий пользователя при обнаружении вирусов, лечение (удаление) зараженных файлов должно производиться антивирусным средством в автоматическом режиме. Рекомендуется настроить не реже одного раза в неделю автоматическую полную проверку устройств на предмет наличия вирусов и вредоносного программного кода, проверка должна осуществляться согласно расписанию, выставленному в настройках антивирусного средства. Рекомендуется подвергать антивирусному контролю любую информацию, получаемую и передаваемую по телекоммуникационным каналам, а также информацию на съемных носителях, особенно в случаях их использования в других устройствах. При возникновении подозрения на наличие компьютерного вируса (признаки - нетипичная работа устройства, пропадание / появление файлов, частое появление сообщений о системных ошибках и сбоях, значимое замедление работы, увеличение исходящего/входящего трафика и т.п.) рекомендуется провести дополнительные проверки и приостановить работу с финансовой информацией до устранения проблем. Рекомендуется в качестве дополнительных проверок (дополнительно к полной проверке основным антивирусным средством) использовать полную проверку устройства другим антивирусным средством. Рекомендуется перезагружать устройство при его предварительном использовании непосредственно перед доступом к информационным ресурсам в целях получения финансовой информации или осуществления финансовой операции. В случае обнаружения антивирусным программным обеспечением вредоносного кода рекомендуется определить предположительную дату его появления (дату зараженного файла и т.п.), проконтролировать отсутствие несанкционированных распоряжений и запросов от своего имени за указанный период и по возможности, произвести замену используемой в целях совершения финансовой операции аутентификационной информации (пароль и тп).
- Рекомендуется периодически проверять в системах (ресурсах), посредством которых осуществляются финансовые операции, статистику своей работы, сеансов, запрошенной информации, собственных запросов на совершение операций. Появление не очевидной активности в журналах работы может свидетельствовать о компрометации реквизитов доступа или наличия вредоносного кода на устройстве.
Меры по предотвращению попыток психологического манипулирования и основных методов социальной инженерии
Наиболее распространенным методом хищения является получение идентификационной и аутентификационной информации от самого пользователя, для того, чтобы впоследствии выдать от его имени распоряжения и запросы в электронном виде. Для этого обычно используются поддельные сайты, поддельные электронные письма, направленные, в том числе, от известных адресатов и звонки якобы от служб поддержки / безопасности с требованием немедленно заблокировать операцию или сменить пароли. Чтобы создать впечатление подлинности и не дать времени на обдумывание и проверку, сообщения могут содержать обращение по фамилии, имени и отчеству и требовать срочного совершения действий (например, заблокировать операцию, подтвердить свою регистрацию / обновить свои данные / изменить пароль на (поддельном) сайте, получить выигрыш / выплату и т.п. ).
Для уменьшения рисков использования подобных методов рекомендуется:
- Сохранять спокойствие и уравновешенность, критический подход. Требуется уверенность, что лицо, представившееся как сотрудник регистратора / иной организации является таковым на самом деле. Для проверки можно перезвонить или написать электронное письмо по контактным данным, указанным на официальном сайте ( ООО «Реестр-РН», в отношении его сотрудников)
- Никогда не сообщайте любым другим лицам свои пароли. Сотрудники регистратора не при
каких обстоятельствах не требуют предоставить удаленно:
- используемые логин и пароль
- сведения об устройствах, использующихся для осуществления финансовых операций, о моделях, версиях операционных систем и программ, параметрах сетевых адаптеров (MAC и IP) адресах.