Меры безопасности для юридических лиц при использовании устройств самообслуживания (терминалы самообслуживания, банкоматы)

 

Меры по обеспечению информационной безопасности:

1. Обеспечить изоляцию сетевого сегмента устройств самообслуживания (терминалы самообслуживания, банкоматы, далее – УС) (ограничить взаимодействие только с необходимым списков хостов и сетевых портов);
2. Настроить «белый» список программного обеспечения запуск которого допускается на УС (с помощью специализированного программного обеспечения или встроенных средств операционной системы);
3. Обеспечить непрерывный контроль целостности исполняемого на УС программного обеспечения (например, с помощью свободно распространяемого ПО);
4. Обеспечить регулярное обновление системного и прикладного программного обеспечения УС;
5. Ограничить или полностью запретить (в случае отсутствия необходимости) возможность подключения внешних устройств хранения информации. В случае, если УС включены в домен, данную настройку можно сделать через инструмент групповых политик (Computer Configuration - Policies - Administrative Templates – System - Removable Storage Access);
6. Обеспечить штатную работу УС под учетной записью, не имеющей административных прав;
7. Исключить практику использования одинаковых пар login/password для разных УС и при увольнении(смене) обслуживающего персонала проводить обязательную смену паролей для технологических и административных учетных записей (если УС включены в домен, данную настройку можно проводить с помощью инструмента LAPS);
8. Настроить сильные парольные политики для учетных записей в операционной системе и установить пароль на BIOS УС;
9. Для систем удаленного администрирования УС использовать двухфакторную аутентификацию;
10. Проводить регулярный анализ журналов событий УС и системы удаленного администрирования УС для выявления аномальной активности учетных записей по времени суток, дням недели, в том числе, в праздничные и выходные дни;
11. Обеспечить антивирусный контроль образов операционной системы и программного обеспечения, устанавливаемых на УС;
12. Обеспечить шифрование всей информации (в том числе трафик удаленного управления УС), передаваемой от УС до локальной вычислительной сети организации-владельца УС;
13. Проводить антивирусную проверку всех обновлений программного обеспечения перед установкой их на УС;
14. При подключении УС к сетям передачи данных обеспечивать размещение сетевых устройств внутри корпуса УС для исключения возможности подключения сторонних сетевых устройств;
15. Обеспечить централизованный сбор и хранение фото/видеоинформации с УС, а также журналов событий операционной системы и прикладного ПО УС;
16. Настроить уведомления службам информационной безопасности при наступлении ключевых событий в работе УС (нарушение работы средств защиты УС, создание учетных записей в операционной системе УС, блокировка запуска исполняемых файлов политикой «белого списка ПО», нарушение целостности программного обеспечения УС);
17. Проводить периодические тесты на проникновение для УС.

 

 

Меры по обеспечению физической безопасности:

При выборе мест расположения устройств самообслуживания проводить анализ для определения адекватных технических мер защиты УС. В качестве факторов, влияющих на безопасность СУ, рекомендуется учитывать такие как:

• время суток, в течение которого имеется свободный доступ к УС (дневное, круглосуточно);
• наличие систем видеонаблюдения в месте расположения УС;
• период наблюдения за камерами систем видеонаблюдения в местах расположения УС (только днём, круглосуточно);
• наличие охранной сигнализации в помещении установки УС;
• наличие военизированной охраны в месте расположения УС и период её работы;
• возможность армированного закрепления УС к месту установки;
• удаленность места установки УС от ближайшего крупного населенного пункта;
• ориентировочное время прибытия военизированной охраны или правоохранительных органов к месту установки УС по сигналу тревоги;
• конструктивная прочность поверхности, на которой укреплен УС

В зависимости от указанных выше факторов рекомендуется применять следующие технические меры безопасности для УС:

1. Установить охранно-пожарную сигнализацию в УС с подключением к пульту оперативного наблюдения военизированных охранных организаций с датчиками открытия сервисной части и сейфовой части УС;
2. Установить дополнительный датчик-газоанализатор для обнаружения взрывоопасных газов в сейфовой части УС;
3. Установить дополнительные датчики для обнаружения вибрации УС в сервисной и сейфовой зонах УС;
4. Установить дополнительный тепловой датчик УС в сейфовой и сервисной зонах;
5. Для конструктивно слабых УС (терминалы) выбирать модели с устойчивым к силовым воздействиям корпусом;
6. Применять армированное крепление УС к поверхности установки;
7. Заменить стандартный заводской ключ для сервисной части УС;
8. Установить дополнительное оборудования для обнаружения фактов установки скимминговых устройств на УС (антискимминг) и блокировки работы УС;
9. Организовать видеонаблюдение помещения в котором находится УС.

Агентство также рекомендует применять следующие меры безопасности для УС:

• Использование инструментов страхование ущерба, возникающего при реализации атак на УС;
• Проводить регулярный мониторинг внешнего вида УС для выявления несанкционированной установки скиммингового оборудования, фактов нарушения целостности УС (например, работниками инкассаторской службы, отделений обслуживания);
• Оповещать клиентов, использующих УС, о мерах безопасности при использовании УС и наборе PIN-кода (бумажные памятки, сообщения на экране УС, наклейки на УС).

При наступлении инцидентов информационной безопасности, связанных с устройствами самообслуживания, необходимо информировать Агентство, а также заинтересованных лиц (аутсорсинговые компании, осуществляющие техническое сопровождение УС, правоохранительные органы).