Письмо Минздрава РТ от 27.07.2015 N 09-01/7508 <Об направлении Рекомендаций по обеспечению информационной безопасности на автоматизированных рабочих местах, подключенных к системе "Клиент-банк" разработаны министерством информатизации и связи Республики Татарстан>
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ ТАТАРСТАН
ПИСЬМО
от 27 июля 2015 г. № 09-01/7508
Во исполнение поручения первого заместителя Премьер-министра Республики Татарстан А.В.Песошина "Вопросы информационной безопасности при обработке финансовой информации" направляю для использования в работе Рекомендации по обеспечению информационной безопасности на автоматизированных рабочих местах, подключенных к системе "Клиент-Банк".
Необходимо учитывать данные Рекомендации при разработке организационно-распорядительной документации в организации.
Руководителям УЗ по г. Казани, Набережные Челны, Альметьевску и Нижнекамску обеспечить доведение материалов до подведомственных учреждений.
Заместитель министра
И.Р.ФАТИХОВ
Приложение
РЕКОМЕНДАЦИИ
ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
НА АВТОМАТИЗИРОВАННЫХ РАБОЧИХ МЕСТАХ,
ПОДКЛЮЧЕННЫХ К СИСТЕМЕ "КЛИЕНТ-БАНК"
РАЗРАБОТАНЫ МИНИСТЕРСТВОМ ИНФОРМАТИЗАЦИИ И СВЯЗИ
РЕСПУБЛИКИ ТАТАРСТАН
1. Защита рабочих станций.
1.1. Общие требования.
1.1.1. Доступ в помещение, где установлено автоматизированное рабочее место (далее - АРМ), должен быть ограничен.
1.1.2. Программное обеспечение (далее - ПО), установленное на АРМ, должно быть лицензионным.
1.1.3. На АРМ должно быть установлено только то ПО, которое необходимо для работы с финансовой информацией.
1.1.4. На АРМ должна быть настроена автоматическая загрузка и установка обновлений безопасности ОС и ПО.
1.1.5. Необходимо периодически проверять журнал установки обновлений и контролировать корректность установки обновлений.
1.1.6. На АРМ должно быть установлено средство антивирусной защиты с включенной функцией сканирования объектов на лету.
1.1.7. Средство антивирусной защиты должно быть настроено на выполнение периодических полных проверок системы.
1.1.8. Средство антивирусной защиты должно автоматически загружать и устанавливать обновления и актуальные базы сигнатур.
1.1.9. Внесение изменений в настройки средства антивирусной защиты, его отключение и удаление должны быть запрещены или защищены паролем.
1.1.10. Встроенная учетная запись администратора должна иметь сложный пароль и быть заблокированной.
1.1.11. Должна быть создана учетная запись с ограниченными административными правами для оперативного администрирования или разблокировки учетной записи администратора для внесения глобальных изменений в систему. После внесения изменений учетная запись администратора должна быть снова заблокирована.
1.1.12. Для работы с финансовой информацией и банк-клиентом должна использоваться учетная запись пользователя, которая не должна иметь возможности установки ПО, внесения изменений в реестр и т.д.
1.1.13. Учетные записи ОС, используемые для работы с АРМ, должны иметь требования к паролю (не менее 8 символов, строчные, прописные буквы, цифры), также пароль должен меняться не реже 1 раз в квартал.
1.1.14. АРМ должно быть оборудовано электротехническими средствами бесперебойного и автономного электропитания, защищающего в том числе от скачков напряжения в бытовой электросети.
1.2. Носители информации.
1.2.1. На АРМ должно быть запрещено использовать автозапуск для всех носителей и устройств.
1.2.2. Запрещается подключать к АРМ носители, за исключением тех, которые используются для передачи финансовой информации, и носители ключевой информации.
1.2.3. Перед подключением любого носителя информации необходимо убедиться, что средство антивирусной защиты запущено, и сканирование на лету включено.
1.2.4. Если носитель не является специализированным токеном для хранения ключевой информации, необходимо выполнить его полное сканирование.
1.3. Электронная почта.
1.3.1. Средство антивирусной защиты должно иметь специализированный модуль сканирования сообщений электронной почты, интегрированный с почтовым клиентом.
1.3.2. Все вложения, которые являются исполняемыми файлами, должны блокироваться.
1.3.3. АРМ может быть настроено на использование только корпоративной электронной почты, если это необходимо для обмена финансовой информацией.
1.4. Интернет-браузер.
1.4.1. Должен блокировать cookies, исполняемое содержимое сайтов и т.д., за исключением тех, которые используются для работы банк-клиента.
1.5. Интернет.
1.5.1. АРМ не должно иметь публичного IP-адреса.
1.5.2. АРМ должно находиться в сегменте сети, защищенном межсетевым экраном.
1.5.3. Доступ в интернет должен осуществляться исключительно через NAT.
1.5.4. Все попытки входящих соединений к АРМ из интернета должны блокироваться межсетевым экраном и фиксироваться в соответствующем журнале.
1.5.5. Разрешить только те ресурсы и/или протоколы, которые необходимы для работы.
1.5.6. Необходимо использовать ПО, блокирующее программы-шпионы и другой вредоносный код. Это ПО может быть установлено как локально, так и централизованно, на прокси-серверах, через которые осуществляется выход в интернет.
1.6. Локальная сеть.
1.6.1. АРМ должна иметь приватный IP-адрес.
1.6.2. На АРМ должен быть активен межсетевой экран.
1.6.3. Все входящие соединения, ненужные для работы, должны блокироваться межсетевым экраном.
1.6.4. Попытки входящих соединений должны записываться в соответствующий журнал.
2. Защита носителей ключевой информации.
2.1. Хранение и доступ.
2.1.1. Ключевая информация должна храниться только на специализированных носителях. Запрещается хранить ключевую информацию на АРМ, а также на обычных носителях информации (дискеты, флеш-карты и т.д.).
2.1.2. Носитель ключевой информации должен храниться в недоступном для посторонних месте.
2.1.3. Доступ к носителю должен быть регламентирован и должен фиксироваться в соответствующем журнале.
2.1.4. Порядок хранения и использования носителей ключевой информации должен исключать возможность несанкционированного доступа к ним.
2.2. Использование.
2.2.1. Носитель должен быть подключен к рабочему месту только во время защищенного сеанса связи.
2.2.2. Все остальное время он должен храниться в недоступном для посторонних месте.
2.2.3. Для доступа к закрытому ключу требуется дополнительно ввести пин-код, даже если он хранится не на специализированном носителе. Чтобы исключить возможность перехвата этого пин-кода, рекомендуется использовать для его набора экранную клавиатуру.
2.2.4. Не разрешается:
2.2.4.1. производить несанкционированное копирование носителей ключевой информации;
2.2.4.2. знакомить или передавать носители ключевой информации лицам, к ним не допущенным;
2.2.4.3. выводить ключи ЭП на дисплей или принтер;
2.2.4.4. вставлять носитель ключевой информации в считывающее устройство других компьютеров;
2.2.4.5. оставлять носитель ключевой информации без присмотра на рабочем месте;
2.2.4.6. записывать на носитель ключевой информации посторонние файлы.
------------------------------------------------------------------