УТВЕРЖДЕНО

                                                                                                                                      Приказом Генерального директора

                                                                                                                                                        АО «КРЦ»

                                                                                                                                                 от 07.02.2022 № 15

Рекомендации клиентам

Акционерного общества «Регистратор КРЦ»

по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям.

Версия 2.0

г. Краснодар   2022 г.

В соответствии с требованиями п.1.13 Положения Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение №757-П) Акционерное общество «Регистратор КРЦ» (далее – АО «КРЦ») доводит до сведения основные рекомендации по защите информации от воздействия вредоносных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники, в целях противодействия незаконным финансовым операциям:

- информацию о возможных рисках несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;

- информацию о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода.

Рекомендации по соблюдению информационной безопасности (совокупности мер, применение которых направлено на непосредственное обеспечение защиты информации, процессов, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты) (далее - Рекомендации) не гарантируют обеспечение конфиденциальности, целостности и доступности информации, но позволяют в целом снизить риски информационной безопасности и минимизировать возможные негативные последствия в случае их реализации.

К нежелательным или неожиданным событиям защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов и (или) нарушить конфиденциальность, целостность и доступность информации для клиентов - относятся:

1. Несанкционированный доступ к информации лицами, не обладающими правом осуществления значимых (критичных) операций (в т.ч. финансовых);

2. Потери (хищения) носителей ключей электронной подписи, с использованием которых, осуществляются критичные (финансовые) операции;

3. Воздействие вредоносного кода на устройства, с которых совершаются критичные (финансовые) операции;

4. Совершение иных противоправных действий, связанных с информационной безопасностью.

В целях снижения риска реализации инцидентов информационной безопасности, рекомендуется соблюдать ряд профилактических мероприятий, направленных на повышение уровня информационной безопасности для снижения риска финансовых потерь:

1. Обеспечение защиты устройств.

К мерам защиты включая, но не ограничиваясь могут быть отнесены:

1. Использование в работе только проверенного\лицензионного программного обеспечения, с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов;

2. Запрет на установку программ из непроверенных источников;

3. Наличие средства защиты, таких как: антивирус, с регулярно и своевременно обновляемыми базами;

4. Предотвращение несанкционированного доступа, путем настройки прав доступа к устройству;

5. Хранение, использование устройств с целью избежать риски кражи и/или утери;

6. Своевременные обновления операционной системы, особенно в части обновлений безопасности, т.к. обновления снижают риски заражения вредоносным кодом (злоумышленники часто используют старые уязвимости);

7. Активация парольной (или иной защиты) для доступа к устройству.

2. Обеспечение конфиденциальности.

2.1. Хранить в тайне аутентификационные/идентификационные данные и ключевую информацию: пароли, СМС коды, кодовые слова, ключи электронной подписи/шифрования, а в случае компрометации немедленно применить меры для смены и/или блокировки;

2.2. Соблюдать принцип разумного раскрытия информации о номерах счетов, о паспортных данных, о номерах кредитных и дебетовых карт, в случае если у вас запрашивают указанную информацию, по возможности оценить ситуацию и уточнить полномочия и процедуру через независимый канал, например, через телефон контакт центра.

3. Проявление осторожности и осмотрительности.

3.1. Быть осторожными при получении электронных писем со ссылками и вложениями, они могут привести к заражению устройства вредоносным кодом. Вредоносный код, попав через электронную почту или интернет-ссылку на сайт, может получить доступ к любым данным и информационным системам на устройстве;

3.2. Внимательно проверять адресата, с которого пришло электронное письмо. Входящее электронное письмо может быть от злоумышленника, который маскируется под Компанию или иных доверенных лиц;

3.3. Быть осторожными при просмотре/работе с интернет-сайтами, так как вредоносный код может быть загружен с сайта;

3.4. Быть осторожными с файлами, из новых и непроверенных источников (в т.ч. архивы с паролем, зашифрованные файлы/архивы, т.к. такого рода файлы не могут быть проверены антивирусным ПО в автоматическом режиме);

3.5. Не заходить в системы удаленного доступа с недоверенных устройств, которые вы не контролируете. На таких устройствах может быть вредоносный код, собирающий пароли и идентификаторы доступа или способный подменить операцию;

3.6. Следить за информацией о последних критичных уязвимостях и о вредоносном коде;

3.7. При наличии в рамках вашего продукта сервиса контакт центра, осуществлять звонок только по номеру телефона, указанному в договоре или на официальном сайте Компании. От лица Компании не могут поступать звонки или сообщения, в которых требуют передать СМС-код, пароль, номер карты, кодовое слово и т.д. Кодовое слово может быть запрошено только, если вы сами позвонили в контакт центр;

3.8. Помнить, что, если вы передаете ваш телефон и/или устройство другим пользователям, они могут установить на него вредоносный код, а в случае кражи или утери злоумышленники могут воспользоваться им для доступа к системам, которыми пользовались Вы. В связи с этим при утере, краже телефона (SIM-карты), используемого для получения СМС кодов или доступа к системам организации с мобильного приложения целесообразно по возможности оперативно с учетом прочих рисков и особенностей использования вашего телефона заблокировать и перевыпустить SIM-карту, а также сменить пароль в мобильных приложениях;

3.9. При подозрении на несанкционированный доступ и/или компрометацию устройства необходимо сменить пароль, воспользовавшись другим доверенным устройством и/или заблокировать доступ, в соответствии с правилами, отраженными в договоре, приложениях к договору и иных документах, связанных с исполнением договора;

3.10. Помнить, что наличие ежедневной резервной копии может облегчить и ускорить восстановление вашего устройства;

3.11. Лучше всего использовать для финансовых операций отдельное, максимально защищенное устройство, доступ к которому есть только у вас;

3.12. Контролировать свой телефон, используемый для получения СМС кодов. В случае выхода из строя SIM-карты, незамедлительно обратиться к сотовому оператору для уточнения причин и восстановления связи.

 4. При работе с ключами электронной подписи необходимо:

4.1. Использовать для хранения ключей электронной подписи внешние носители, настоятельно рекомендуется использовать специальные защищенные носители ключевой информации, например, e-token;

4.2. Крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам, извлекать носители из компьютера, если они (ключевые носители) не используются для работы;

4.3. Использовать сложные пароли для входа на устройство и для доступа к ключам электронной подписи/ключевым носителям, не хранить пароли в открытом виде на компьютере/мобильном устройстве, не записывать в ежедневники.

5. При работе на компьютере необходимо:

5.1. Использовать лицензионное программное обеспечение;

5.2. Своевременно устанавливать актуальные обновления безопасности;

5.3. Использовать антивирусное программное обеспечение, регулярно обновлять антивирусные базы;

5.4. Использовать специализированные программы для защиты информации (средства защиты от несанкционированного доступа), средства контроля конфигурации устройств;

5.5. Использовать сложные пароли. Пароль должен содержать прописные и строчные буквы, цифры и специальные символы. Длинна пароля не должна быть меньше 8 символов. Не используйте один и тот же пароль для разных сервисов

5.6. Ограничить доступ к компьютеру, исключить (ограничить) возможность дистанционного подключения к компьютеру третьим лицам;

5.7. Блокировать экран, чтобы посторонние лица не смогли воспользоваться вашими учетными данными;

5.8. Настроить автоматическую блокировку устройства.

6. При работе с мобильными приложениями необходимо:

6.1. Не оставлять мобильное устройство без присмотра, чтобы исключить несанкционированное использование мобильных приложений;

6.2. Использовать только официальные мобильные приложения;

6.3. Не переходить по ссылкам и не устанавливать приложения/обновления безопасности, пришедшие в SMS-сообщении, Push-уведомлении или по электронной почте, в том числе от имени Компании;

6.4. Установить на мобильном устройстве пароль для доступа к устройству и приложениям.

7. При обмене информацией через сеть Интернет необходимо:

7.1. Не открывать письма и вложения к ним, полученные от неизвестных отправителей по электронной почте, не переходить по содержащимся в таких письмах ссылкам;

7.2. Не вводить персональную информацию на подозрительных сайтах и других неизвестных вам ресурсах;

7.3. Ограничить посещения сайтов сомнительного содержания;

7.4. Не сохранять пароли в памяти интернет-браузера, если к компьютеру есть доступ третьих лиц;

7.5. Не нажимать на баннеры и всплывающие окна, возникающие во время работы с сетью Интернет;

7.6. При подозрении в компрометации ключей электронной подписи/шифрования или несанкционированном движении ценных бумаг, денежных средств или иных финансовых активов, связанных с деятельностью Регистратора необходимо незамедлительно обратиться в Регистратор.

8. При работе в общественных местах:

8.1. Не допускать, чтобы экран вашего устройства находился в зоне видимости посторонних лиц;

8.2. Не рекомендуется подключаться к Интернет через общедоступные - точки Wi - Fi доступа. В качестве альтернативного способа используйте телефон и мобильную передачу данных.

Чтобы избежать автоматического подключения к Wi - Fi, настройте функцию - подключения Wi - Fi выключенной по умолчанию.

9. Заключительные положения

9.1.В связи с тем, что требования информационной безопасности так же могут быть отражены в договорах, регламентах, правилах и иных документах АО «КРЦ», регламентирующих предоставление услуг/сервисов, настоящие Рекомендации действуют в части, не противоречащей положениям внутренних документов.

9.2.В соответствии с требованиями пункта 1.13 Положение N 757-П доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям – осуществляется путем размещения данного документа на официальном сайте АО «КРЦ» https://regkrc.ru.

Во избежание инцидентов, связанных с неправомерным использованием Вашей компьютерной техники, просим Вас соблюдать рекомендуемые выше правила безопасности.

Только комплексное соблюдение описанных правил безопасности позволит Вам обеспечить защиту ВАШИХ ДАННЫХ и не стать жертвой мошенников.