Рекомендации по соблюдению информационной безопасности клиентами ООО «СПЭК ИНВЕСТМЕНТ» в целях противодействия незаконным финансовым операциям

В соответствии с требованиями Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» Общество с ограниченной ответственностью «СПЭК ИНВЕСТМЕНТ» (далее по тексту - Организация) доводит до вашего сведения основные рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники (вредоносный код), в целях противодействия незаконным финансовым операциям.

Рекомендации по соблюдению информационной безопасности (совокупности мер, применение которых направлено на непосредственное обеспечение защиты информации, процессов, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты (здесь и далее термины из ГОСТ Р 57580.1-2017)) не гарантируют обеспечение конфиденциальности, целостности и доступности информации, но позволяют в целом снизить риски информационной безопасности и минимизировать возможные негативные последствия в случае их реализации.

Настоящие Рекомендации действуют в дополнение к существующим положениям внутренних документов Организации.

В целях снижения риска реализации инцидентов информационной безопасности (ГОСТ Р 57580.1-2017) под этими инцидентами понимаются нежелательные или неожиданные события защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов клиента, технологических процессов организации и (или) нарушить конфиденциальности, целостности и доступности информации вследствие:

• несанкционированного доступа к вашей информации лицами, не обладающими правом осуществления значимых (критичных) операций (в т.ч. финансовых);
• потери (хищения) носителей ключей электронной подписи, с использованием которых осуществляются критичные (финансовые) операции;
• воздействия вредоносного кода на устройства, с которых совершаются критичные (финансовые) операции;
• совершения в отношении Вас иных противоправных действий, связанных с информационной безопасностью.

Рекомендуется соблюдать ряд профилактических мероприятий, направленных на повышение уровня информационной безопасности при использовании объектов информатизации (совокупности объектов, ресурсов, средств и систем обработки информации, в т.ч. автоматизированных систем, используемых для обеспечения информатизации бизнес-процессов (ГОСТ Р 57580.1-2017) Организации.

Внимательно изучите свой договор с Организацией, приложения к договору и иные документы, связанные с исполнением договора, ознакомьтесь с разделами, посвященными информационной безопасности/конфиденциальности.

1. При осуществлении критичных (финансовых) операций следует принимать во внимание риск получения третьими лицами несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления; такие риски могут быть обусловлены возникновением, без ограничения, следующих возможных ситуаций:
1. Кража пароля и идентификатора доступа или иных конфиденциальных данных, ключей электронной подписи/шифрования посредством технических средств и/или вредоносного кода; и использование злоумышленниками указанных данных с других устройств для несанкционированного доступа;
2. Установка на компьютер вредоносного кода, который позволит злоумышленникам осуществить критичные операции от Вашего имени;
3. Кража или несанкционированный доступ к компьютеру, с которого Вы пользуетесь услугами/сервисами Организации для получения данных и/или несанкционированного доступа к сервисам Организации с этого устройства;
4. Перехват электронных сообщений и получение несанкционированного доступа к выпискам, отчетам и прочей финансовой информации, если Ваша электронная почта используется для информационного обмена с Организацией, или, в случае получения доступа к вашей электронной почте, отправка сообщений от вашего имени в Организацию.
2. Для снижения риска финансовых потерь:
1. Обеспечьте защиту персонального компьютера, с которого вы пользуетесь услугами Организации; такие меры могут включать, без ограничения, следующие:
• Использование только лицензионного программного обеспечения, полученного из доверенных источников;
• Запрет на установку программ из непроверенных источников
• Наличие средства защиты, таких как: антивирус (с регулярно и своевременно обновляемыми базами), межсетевой экран;
• Настройка прав доступа к устройству с целью предотвращения несанкционированного доступа;
• Хранение, использование устройства с целью избежать рисков кражи и/или утери;
• Своевременные обновления операционной системы, особенно в части обновлений безопасности. Имейте в виду, что обновления снижают риски заражения вредоносным кодом. Злоумышленники часто используют старые уязвимости;
• Активация парольной или иной защиты для доступа к персональному компьютеру.
2. Обеспечьте конфиденциальность, а именно:
• Храните в тайне аутентификационные/идентификационные данные и ключевую информацию, ключи электронной подписи/шифрования, а в случае компрометации немедленно примите меры для смены и/или блокировки.
3. Проявляйте осторожность и предусмотрительность, а именно:
• Будьте осторожны при получении электронных писем со ссылками и вложениями, они могут привести к заражению вашего устройства вредоносным кодом. Вредоносный код, попав к вам через электронную почту или интернет-ссылку на сайт, может получить доступ к любым данным и информационным системам на вашем устройстве;
• Внимательно проверяйте адресата, от которого пришло электронное письмо. Входящее электронное письмо может быть от злоумышленника, который маскируется под Организацию или иных доверенных лиц;
• Будьте осторожны при просмотре/работе с интернет-сайтами, так как вредоносный код может быть загружен с сайта;
• Будьте осторожны с файлами из новых или «недоверенных» источников (в т.ч. архивы с паролем, зашифрованные файлы/архивы, т.к. такого рода файлы не могут быть проверены антивирусным ПО в автоматическом режиме);
• Не заходите в системы удаленного доступа с недоверенных устройств, которые вы не контролируете. На таких устройствах может быть вредоносный код, собирающий пароли и идентификаторы доступа или способный подменить операцию;
• Следите за информацией в прессе о последних критичных уязвимостях и о вредоносном коде;
• При наличии в рамках вашего продукта, сервиса контакт-центра, осуществляйте звонок только по номеру телефона, указанному в договоре или на официальном сайте Организации. При подозрении на несанкционированный доступ и/или компрометацию компьютера необходимо сменить пароль.
4. При работе с ключами электронной подписи необходимо:
• Использовать для хранения ключей электронной подписи внешние носители, настоятельно рекомендуется использовать специальные защищенные носители ключевой информации (ключевые носители), например: e-token, смарт-карта и т.п.;
• Крайне внимательно относиться к ключевому носителю, не оставлять его без присмотра и не передавать третьим лицам, извлекать носители из компьютера, если они (ключевые носители) не используются для работы;
• Использовать сложные пароли для входа на устройство и для доступа к ключам электронной подписи/ключевым носителям, не хранить пароли в открытом виде на компьютере/мобильном устройстве.
5. При работе на компьютере необходимо:
• Использовать лицензионное программное обеспечение (операционные системы, офисные пакеты и т.д.);
• Своевременно устанавливать актуальные обновления безопасности (операционные системы, офисные пакеты и т.д.);
• Использовать антивирусное программное обеспечение, регулярно обновлять антивирусные базы;
• Использовать специализированные программы для защиты информации (межсетевые экраны и средства защиты от несанкционированного доступа), средства контроля конфигурации устройств;
• Использовать сложные пароли;
• Ограничить доступ к компьютеру, исключить (ограничить) возможность дистанционного подключения к компьютеру третьим лицам.
6. При обмене информацией через сеть Интернет необходимо:
• Не открывать письма и вложения к ним, полученные от неизвестных отправителей по электронной почте, не переходить по содержащимся в таких письмах ссылкам;
• Не вводить персональную информацию на подозрительных сайтах и других неизвестных вам ресурсах;
• Ограничить посещения сайтов сомнительного содержания;
• Не сохранять пароли в памяти интернет-браузера, если к компьютеру есть доступ третьих лиц;
• Не нажимать на баннеры и всплывающие окна, возникающие во время работы с сетью Интернет;
• Не открывать файлы, полученные (скачанные) из неизвестных источников.

При подозрении в компрометации ключей электронной подписи/шифрования или несанкционированном движении ценных бумаг, денежных средств или иных финансовых активов необходимо незамедлительно обращаться в Организацию.

 

Information Security Guidelines for Clients of LLC "SPEC INVESTMENT" for the Purpose of Counteracting Illegal Financial Transactions

Pursuant to the requirements of Bank of Russia Regulation of 17 April 2019 No. 684-P On Establishing for Non-Banking Financial Institutions Obligatory Requirements for Ensuring Information Protection in the Course of Conduct of Financial Markets Activities for the Purpose of Counteracting Illegal Financial Transactions, Limited Liability Company SPEC INVESTMENT (hereinafter the “Company”) hereby informs you of the basic guidelines for protecting information from the impact of software codes causing disruption of regular functioning of computer hardware tools (malware) for the purpose of counteracting illegal financial transactions.

Guidelines for observance of information security (i.e., a totality of measures whose application is aimed at directly ensuring protection of information, processes, resource support and organizational support needed for the application of such protective measures (hereinafter within the meaning of these terms under National Standard GOST R 57580.1-2017)) do not guarantee the preservation of confidentiality, integrity or availability of information but on the whole make it possible to mitigate information security risks and minimize potential negative consequences should such risks materialize.

These Guidelines supplement the existing provisions of the Company’s internal documents.

For the purpose of mitigating the risk of materialization of information security incidents (National Standard GOST R 57580.1-2017), such incidents mean undesirable or unexpected information protection events that may cause the risk of disrupting the execution of business processes of the client, technology processes of the company and (or) breach the confidentiality, integrity or availability of information as a result of:

• unauthorized access to your information by persons who do not have the right to effectuate crucial (critical) activities, including financial transactions;
• any loss or theft of an electronic signature key used to effectuate critical (financial) transactions;
• impact of malware on devices involved in executing critical (financial) transactions;
• execution against you of other illicit activities related to information security.

It is recommended to take a number of preventative steps aimed at upgrading the level of information security when using informational facilities, i.e., a totality of facilities, resources, tools and systems for information processing, including automated systems used for information support of business processes (National Standard GOST R 57580.1-2017) of the Company.

Please carefully review your agreement with the Company, appendices thereto and other documents related to the performance of the agreement and familiarize yourself with sections covering either information security or confidentiality.

1. When effectuating critical (financial) transactions you should take into consideration the risk of third parties’ gaining unauthorized access to protected information for the purpose of effectuation of financial transactions by persons unauthorized to effectuate them; such risks may arise out of, without limitation, the following hypothetical situations:
1. Theft of a password and login or other confidential data or of electronic signature/encryption keys by means of hardware and/or malware; and use by a hacker of such data to gain unauthorized access from another device;
2. Installation of malware on your computer that would enable a hacker to effectuate critical transactions in your name;
3. Theft of, or unauthorized access to, a computer that you use to access the Company’s services in order to obtain data and/or unauthorized access to the Company’s services from that device;
4. Interception of electronic communications and obtainment of unauthorized access to statements, reports, or other financial information if your e-mail is used for exchange of information with the Company, or, if access to your e-mail is obtained, sending messages to the Company in your name.
2. To mitigate the risk of financial loss:
1. Ensure the protection of the personal computer which you use to access the Company’s services; such steps may include, without limitation, the following:
• Use solely of licensed software procured from reliable sources;
• Prohibition on installation of applications from unreliable sources;
• Availability of protection, such as antivirus software with regularly and timely updated databases and a firewall;
• Configuration of device access rights to prevent unauthorized access;
• Device use and storage to avoid the risk of theft and/or loss;
• Timely updates to the operating system, particularly security updates. Please note that updates mitigate the risks of malware infection. Hackers often take advantage of unremoved vulnerabilities;
• Activation of password or other protection for personal computer access.
2. Ensure confidentiality, specifically:
• Maintain the secrecy of authentication or identification credentials and key information, electronic signature and encryption keys, and if they are compromised, immediately take steps to replace and/or block them.
3. Act with care and foresight, specifically:
• Be careful when you receive an e-mail message with a link or an attachment, as it can cause your device to become infected with malware. Such malware, once it attaches via e-mail or an Internet link to a website, may gain access to any data or information systems on your device;
• Closely check the sender from whom you have received an e-mail message. An incoming e-mail message may have come from a hacker who pretends to be the Company or another trusted person;
• Be careful when viewing or working with websites, as malware can be downloaded from a website;
• Be careful with files received from either new or “untrusted” source (including password-protected archives or encrypted files or archives, as such files cannot be automatically checked by antivirus software);
• Avoid entering remote access systems from an untrusted device that you do not control. Such a device can carry malware that collects passwords and logins or can replace an intended transaction with a false one.
• Follow information in the press about the latest critical vulnerabilities and malware;
• If your product or service comes with contact-center coverage, place your call only to the number specified in the contract or on the Company’s official website. If you suspect that unauthorized access to your computer has occurred or it has been compromised, you need to change the password.
4. When working with electronic signature keys, you need to:
• Use removable media to store an electronic signature key; it is strongly recommended to use specially protected media carrying key information (key media), e.g., e-token, smart card, and the like;
• Be extremely careful when handling key media, avoid leaving them unattended or sharing them with third parties, remove media from your computer if you are not using such key media for your work;
• Use complex passwords to log on to your device and to access electronic signature keys / key media; avoid storing passwords in unprotected files on your computer or mobile device.
5. When working with a computer, you need to:
• Use licensed software (operating systems, office suites, etc.);
• Timely install the latest security updates (operating systems, office suites, etc.);
• Use antivirus software, regularly update antivirus databases;
• Use special information protection software (firewalls and unauthorized access prevention systems) and device configuration control systems;
• Use complex passwords;
• Restrict access to the computer, eliminate or restrict the ability of third parties to obtain remote access to the computer.
6. When exchanging information via the Internet, you need to:
• Avoid opening messages and attachments thereto received by e-mail from unknown senders or following links contained in such messages;
• Avoid entering personal information at suspicious websites or other resources unknown to you;
• Restrict visits to websites with dubious content;
• Avoid storing passwords in the memory of any Internet browser if third parties have access to your computer;
• Avoid clicking on banners or pop-up windows that appear when you work on the Internet;
• Avoid opening files received (downloaded) from unknown sources.

If you suspect that your electronic signature/encryption keys have been compromised or that unapproved transfers of securities, cash, or other financial assets have occurred, please contact the Company immediately.