Рекомендации по соблюдению информационной безопасности клиентами

АО «Астра УА»

В соответствии с требованиями Положения Банка России от 20.04.2021 № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" АО «Астра УА» доводит до вашего сведения основные риски и рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники (вредоносный код), в целях противодействия незаконным финансовым операциям, информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления, о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода.

Рекомендации по соблюдению информационной безопасности (совокупности мер, применение которых направлено на обеспечение защиты информации, процессов, ресурсов, технического и организационного обеспечения, необходимого для применения указанных мер защиты в соответствии с ГОСТ Р 57580.1-2017 позволяют снизить риски информационной безопасности и минимизировать возможные негативные последствия в случае их корректной реализации.

Обращаем ваше внимание, что при подозрении в компрометации ключей электронной подписи/шифрования или несанкционированном движении ценных бумаг, денежных средств или иных финансовых активов необходимо незамедлительно обращаться в АО «Астра УА».

В целях снижения риска реализации инцидентов информационной безопасности АО «Астра УА» рекомендует соблюдать ряд профилактических мероприятий, направленных на повышение уровня информационной безопасности при использовании объектов информатизации.

Обеспечьте защиту устройства, с которого вы пользуетесь услугами АО «Астра УА», к таким мерам включая, но не ограничиваясь, могут быть отнесены:

• Использование только лицензионного программного обеспечения, полученного из доверенных источников.
• Запрет на установку программ из непроверенных источников.
• Наличие средства защиты, таких как: антивирус (с регулярно и своевременно обновляемыми базами), персональный межсетевой экран.
• Настройка прав доступа к устройству с целью предотвращения несанкционированного доступа.
• Хранение, использование устройства с целью избежать рисков кражи и/или утери;
• Физический контроль с целью недопущения утери или кражи.
• Контроль конфигурации устройства.
• Контроль функционирования устройства с целью выявления несанкционированного доступа к устройству.
• Исключить использование средств удаленного администрирования на Устройствах.
• Своевременные обновления операционной системы, прикладных программ особенно в части обновлений. безопасности. Имейте в виду, что обновления снижают риски заражения вредоносным кодом. Злоумышленники часто используют старые уязвимости.
• Активация парольной или иной защиты для доступа к устройству.

При осуществлении финансовых операций следует принимать во внимание риск получения третьими лицами несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления. Такие риски могут быть обусловлены включая, но не ограничиваясь следующими событиями:

• осуществление лицами, не обладающими правом осуществления финансовых операций, финансовых операций от лица клиента;
• кража пароля, идентификатора доступа или иных конфиденциальных данных и использование злоумышленниками указанных данных с других устройств для несанкционированного доступа;
• установка на устройство вредоносного кода, который позволит злоумышленникам осуществить операции от Вашего имени;
• несанкционированный доступ к устройству, с которого Вы пользуетесь услугами/сервисами Организации для получения данных и/или несанкционированного доступа к сервисам Организации с этого устройства;
• получение пароля и идентификатора доступа и/или кода СМС и/или кодового слова и прочих конфиденциальных данных в том числе паспортных данных, номеров счетов и т.д. путем обмана и/или злоупотребления доверием, когда злоумышленник представляется сотрудником Организации или техническим специалистом или использует иную легенду и просит Вас сообщить ему эти секретные данные; или направляет поддельные сообщения по электронной почте, письмо по обычной почте или мессенджера с просьбой предоставить информацию или совершить действие, которое может привести к компрометации устройства;
• использование злоумышленником утерянного или украденного телефона (SIM карты) для получения СМС кодов, которые могут применяться АО «Астра УА» в качестве дополнительной защиты для несанкционированных финансовых операций, что позволит им обойти защиту;
• перехват электронных сообщений и получения несанкционированного доступа к выпискам, отчетам и прочей финансовой информации, если Ваша электронная почта используется для информационного обмена с АО «Астра УА». Или в случае получения доступа к вашей электронной почте, отправка сообщений от вашего имени в АО «Астра УА».

Обеспечьте конфиденциальность:

• Храните в тайне аутентификационные/идентификационные данные и ключевую информацию, полученные от АО «Астра УА»:

• пароли, СМС коды, кодовые слова, ключи электронной подписи/шифрования, а в случае компрометации немедленно примите меры для смены и/или блокировки.

• Соблюдайте принцип разумного раскрытия информации о номерах счетов, о ваших паспортных данных, о номерах кредитных и дебетовых карт, о CVC\CVV кодах, в случае если у вас запрашивают указанную информацию, в привязке к сервисам АО «Астра УА» по возможности оцените ситуацию и уточните полномочия и процедуру через независимый канал, например, через телефон контакт центра.

Проявляйте осторожность и предусмотрительность:

• Будьте осторожны при получении электронных писем со ссылками и вложениями, они могут привести к заражению вашего устройства вредоносным кодом. Вредоносный код, попав к вам через электронную почту или интернет ссылку на сайт, может получить доступ к любым данным и информационным системам на Вашем устройстве;

• Внимательно проверяйте адресата, от которого пришло электронное письмо. Входящее электронное письмо может быть от злоумышленника, который маскируется под АО «Астра УА» или иных доверенных лиц.
• Будьте осторожны при просмотре/работе с интернет сайтами, так как вредоносный код может быть загружен с сайта.
• Будьте осторожны с файлами из новых или не доверенных источников (в том числе, архивы с паролем, зашифрованные файлы/архивы, т.к. такого рода файлы не могут быть проверены антивирусным ПО в автоматическом режиме).
• Не заходите в системы удаленного доступа с не доверенных устройств, которые вы не контролируете. На таких устройствах может быть вредоносный код, собирающий пароли и идентификаторы доступа или способный подменить операцию.
• Следите за информацией в прессе о последних критичных уязвимостях и о вредоносном коде.
• Осуществляйте звонок в АО «Астра УА» только по номеру телефона, указанному в договоре или на официальном сайте АО «Астра УА» от лица АО «Астра УА» вам поступил звонок с просьбой назвать ваше кодовое слово, и у Вас есть сомнения, что звонок от АО «Астра УА», вам необходимо самостоятельно перезвонить по номеру телефона, указанному в договоре или на официальном сайте АО «Астра УА».

• Если вы передаете ваш телефон и/или устройство другим пользователям, они могу установить на него вредоносный код, а в случае кражи или утери злоумышленники могут воспользоваться им для доступа к системам АО «Астра УА», которыми пользовались Вы. В связи с этим при утере, краже телефона (SIM карты), используемого для получения СМС кодов или доступа к системам АО «Астра УА» с Мобильного приложения:

                1) незамедлительно проинформировать АО «Астра УА» по номеру телефона, указанному в договоре или на официальном сайте;

                2) целесообразно по возможности оперативно с учетом прочих рисков и особенностей использования вашего телефона заблокировать и перевыпустить SIM карту, а также сменить пароль в Мобильном приложении.

• При подозрении на несанкционированный доступ и/или компрометацию устройства необходимо сменить пароль, воспользовавшись другим доверенным устройством и/или заблокировать доступ, обратившись в АО «Астра УА», в отношении ключевой информации, если это уместно для вашей услуги – отозвать скомпрометированный ключ электронной подписи/шифрования, в соответствии с правилами, отраженными в договоре, приложениях к договору и иных документах, связанных с исполнением договора.

• Помните, что наличие «эталонной» резервной копии может облегчить и ускорить восстановление вашего устройства.
• Лучше всего использовать для финансовых операций отдельное, максимально защищенное устройство, доступ к которому есть только у Вас.
• Не сохранять пароли в памяти интернет-браузера, если к компьютеру есть доступ третьих лиц.
• Контролируйте свой телефон, используемый для получения СМС кодов. В случае выхода из строя SIM карты, незамедлительно обращайтесь к сотовому оператору для уточнения причин и восстановления связи.

При работе с ключами электронной подписи необходимо:

• Использовать для хранения ключей электронной подписи внешние носители, настоятельно рекомендуется использовать специальные защищенные носители ключевой информации (ключевые носители) с действующими сертификатами соответствия ФСБ или ФСТЭК России, например: e-token, смарт-карта и т.п.
• Крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам, извлекать носители из компьютера, если они (ключевые носители) не используются для работы.
• Использовать сложные пароли для входа на устройство и для доступа к ключам электронной подписи/ключевым носителям, не хранить пароли открытом виде на компьютере/мобильном устройстве.

При обмене информацией через сеть Интернет необходимо:

• При работе с Устройств в сети Интернет удостовериться в том, что сертификат безопасности сайта действителен, а соединение происходит в защищенном режиме (адресная строка браузера начинается с https, либо используется значок в виде замка).
• При наличии на Устройстве программ фильтрации сетевого трафика (брандмауэра) держать его включённым и блокировать все незнакомые или подозрительные подключения.
• Не устанавливать и не сохранять подозрительные файлы, программы, полученные из ненадежных источников, скаченные с неизвестных сайтов в сети Интернет, присланные с неизвестных адресов электронной почты или мессенджеров.
• Не открывать письма и вложения к ним, полученные от неизвестных отправителей по электронной почте, мессенджеров не переходить по содержащимся в таких письмах ссылкам.
• Не вводить персональную информацию на подозрительных сайтах и других неизвестных вам ресурсах.
• Ограничить посещения сайтов сомнительного содержания.
• Не сохранять пароли в памяти интернет-браузера, если к компьютеру есть доступ третьих лиц.
• Не нажимать на баннеры и всплывающие окна, возникающие во время работы с сетью Интернет.
• Не открывать файлы полученные (скачанные) из неизвестных источников.

Осуществление контроля подключения:

•             Не работать с Устройств, использующих подключение к общедоступной wi-fi сети.