ООО «Спектрум кредитное бюро» (далее — Бюро) в соответствии с требованиями Положения Банка России от 17.10.2022 N 808-П «О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона «О кредитных историях», при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства» настоящим документом информирует субъектов* электронного взаимодействия с Бюро о мерах, направленных на противодействие неправомерному разглашению и незаконному использованию защищаемой информации (персональных данных), возникающих при воздействии вредоносных кодов.
С учетом специфики и характера взаимодействия, предусмотренного Регламентом электронного взаимодействия c Программой SKB.CHD, возможны следующие риски проявления несанкционированного доступа к защищаемой информации неуполномоченными лицами:
- Риск получение неуполномоченными лицами доступа (компрометация) к ключевой информации, учетной записи субъекта, используемых в процессе электронного взаимодействия с Бюро и как следствие выполнение незаконных операций с защищаемой информацией;
- Риск воздействия фишинговых атак, вредоносного программного обеспечения, в совокупности приводящий к несанкционированному доступу и использованию защищаемой информации;
- Риск воздействия фишинговых атак, вредоносного программного обеспечения, в совокупности приводящий выводу из строя, нарушению штатного использования (в т.ч. шифрования) устройства и носителей ключевой информации, с помощью которых осуществляется электронное взаимодействие.
В целях предотвращения несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройств (персональные, переносные компьютер, носители ключевой информации), используемых при электронном взаимодействии, контролю конфигурации данных устройств, и своевременному обнаружению воздействия вредоносного кода на устройства взаимодействия, Бюро рекомендует выполнять следующие мероприятия:
- На устройствах электронного взаимодействия использовать:
- Лицензионное программное обеспечение с возможностью регулярного обновления;
- Средства защиты информации от несанкционированного доступа, с возможностью контроля внесения изменений в конфигурацию операционной системы;
- Антивирусные средства защиты с возможностью регулярного автоматического обновления баз данных сигнатур, поддержкой технологии «песочница» для исполнения файлов, анти-спам проверки электронной почты;
- Для работы с ключами электронной подписи использовать аппаратные токены, позволяющие хранить ключи в не извлекаемом виде;
- Обязательный антивирусный контроль запускаемых файлов и приложений, особенно из недоверенных источников, в т.ч. внешних носителей информации;
- Наделение операторов электронного взаимодействия пользовательским правами доступа к ресурсам операционной системы;
- Обращать внимание на сообщения электронной почты, не переходить по незнакомым ссылкам, реагировать на письма с обещанием выплат, бонусов и наследства и т.д.
- Ключи электронной подписи, используемые для шифрования и подписания передаваемой в рамках взаимодействия информации, хранить на отчуждаемых носителях (токенах) в неизвлекаемом виде (не экспортируемый ключ) с установленным паролем на ключевой контейнер.
- Для паролей, используемых для защиты контейнера ключа и доступа в Личный кабинет Программы SKB.CHD использовать следующие параметры сложности: минимальная длина 10 символов, использование букв верхнего и нижнего реестра, цифр и специальных символов.
- При утрате (потере, хищении, выходе из строя) носителей ключей электронной подписи, используемой при электронном взаимодействии с Бюро, необходимо обратиться в удостоверяющий центр, выпустивший сертификат ключа проверки электронной подписи с запросом на отзыв соответствующего сертификата, далее проинформировать Бюро о смене сертификата в установленном порядке;
- При утрате (потере, хищении, выходе из строя) устройств доступа к Программе SKB.CHD, в случае хранения на устройстве ключевой информации и реквизитов доступа в Личный кабинет, необходимо проинформировать Бюро о данном факте и следовать рекомендация сотрудников Бюро по восстановлению электронного взаимодействия.
- В случае аномального функционирования устройства (продолжительные зависания, медленная загрузка, исчезновение/изменение объектов файловой системы и др.) обратиться к соответствующим техническим специалистам на предмет анализа вредоносного и иного деструктивного воздействия на устройства, с последующим принятием мер по восстановлению штатного функционирования устройства.