1. Назначение и область применения
1.1. Настоящая Памятка по информационной безопасности для клиентов АКРА (АО) (далее — Памятка) является нормативным документом Аналитического Кредитного Рейтингового Агентства (Акционерное общество) (далее — АКРА) и публикуется в открытом доступе на официальном сайте АКРА.
1.2. Настоящая Памятка разработана в целях реализации положений «Политики информационной безопасности АКРА» от 19 апреля 2019 года (Протокол Собрания № 28).
1.3. Настоящая Памятка разработана для клиентов АКРА в соответствии с Положением Банка России № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» от 17 апреля 2019 года.
1.4. В настоящей Памятке приведены рекомендации клиентам АКРА по снижению рисков воздействия вредоносного программного обеспечения и несанкционированного доступа к информации.
2. Основные термины
2.1. Клиент АКРА (Клиент) — физическое или юридическое лицо, заинтересованное в услугах и сервисах, предоставляемых АКРА, либо уже использующее данные услуги и сервисы.
2.2. Вредоносное программное обеспечение (вредоносное ПО) — программное обеспечение, способное внедряться в код других программ и распространять свои копии по разнообразным каналам связи, с целью несанкционированного использования ресурсов на устройстве или причинения вреда (нанесения ущерба) владельцу информации и/или владельцу устройства путем копирования, искажения, удаления или подмены информации, а также способное к созданию условий для осуществления вышеперечисленных действий.
2.3. Компрометация — событие, дающее основание полагать, что защищаемая информация стала доступна постороннему лицу, в результате чего ее дальнейшее использование представляется небезопасным.
2.4. Устройство — любое средство автоматической обработки информации, используемое при информационном взаимодействии с системами и сервисами АКРА (к примеру, персональный компьютер, мобильный телефон и т. п.).
2.5. Пароль — секретная комбинация символов, присвоенная определенной индивидуализированной учетной записи и используемая для подтверждения полномочий по использованию информационных систем и ресурсов.
3. Общие рекомендации
3.1. Используйте на ваших устройствах только лицензионное программное обеспечение, полученное из источников, гарантирующих отсутствие вредоносного ПО.
3.2. Регулярно устанавливайте обновления операционной системы, брандмауэра и прикладного программного обеспечения, выпускаемые компаниями-производителями.
3.3. Не рекомендуется устанавливать на устройства программные средства, предназначенные для удаленного управления компьютером.
3.4. Располагайте ваши мониторы и печатающие устройства таким образом, чтобы исключить или ограничить несанкционированный доступ других лиц к отображаемой и печатаемой информации.
3.5. В случае ухода с рабочего места на непродолжительное время рекомендуется блокировать компьютер, например, нажатием комбинации клавиш (Win+L).
4. Рекомендации по использованию парольной защиты
4.1. Не записывайте ваши пароли на бумажных носителях, не сохраняйте их в файлах на жестком диске или в незашифрованном виде на ваших устройствах, не используйте функцию «Сохранить пароль», так как в большинстве случаев программы сохраняют пароли в незашифрованном виде, и злоумышленник, получивший доступ к вашему компьютеру, может воспользоваться ими.
4.2. Не сообщайте пароли другим лицам, в том числе вашим родственникам или системным администраторам вашей компании.
4.3. Для доступа к автоматизированным системам рекомендуется использовать сложные пароли, удовлетворяющие следующим требованиям:
- длина пароля должна быть не менее 12 символов;
- пароль должен включать в себя символы из всех следующих групп: букв латинского алфавита в верхнем регистре (A-Z), букв латинского алфавита в нижнем регистре (a-z), цифр (0-9), специальных символов и знаков пунктуации (!@#$%^&*(),.?).
4.4. Не используйте простые пароли, представляющие собой осмысленные слова (например, password), дату рождения, номер телефона и т. д., последовательности символов, последовательно расположенных на клавиатуре (например, qwerty), последовательности трех и более повторяющихся символов (например, 77777777, 111adZZZ).
4.5. Рекомендуется производить смену пароля, используемого для доступа к автоматизированным системам, не реже одного раза в 90 дней.
5. Рекомендации по антивирусной защите
5.1. Для защиты от вредоносного ПО рекомендуется использовать лицензионное антивирусное ПО, обеспечивающее комплексную защиту и функционирующее в автоматическом режиме.
5.2. Антивирусное программное обеспечение должно регулярно обновляться.
5.3. Не реже одного раза в неделю проводите полное антивирусное сканирование на ваших устройствах. В случае обнаружения подозрительных файлов их следует удалить, а при невозможности удаления — поместить в карантин.
5.4. Не отключайте антивирусное программное обеспечение ни при каких обстоятельствах.
6. Рекомендации по информационной безопасности при использовании сети Интернет
6.1. Не посещайте Интернет-сайты сомнительного содержания.
6.2. Не переходите по гиперссылкам, содержащимся в электронных письмах, полученных вами от неизвестных отправителей, а также не открывайте файлы, вложенные в них. Такие письма рекомендуется немедленно удалять.
6.3. Всегда проверяйте, чтобы веб-адрес Интернет-сайта, указанный в адресной строке вашего браузера, начинался с префикса https:// (отображается в виде «закрытого замка»), а не http://. Кроме того, подлинность веб-адреса должна быть подтверждена SSL-сертификатом международного сертификационного центра.
7. Компрометация ключа электронной подписи
7.1. Обо всех случаях компрометации усиленного квалифицированного ключа электронной подписи, использующегося при взаимодействии с АКРА, просьба информировать АКРА по электронной почте IS@acra-ratings.ru или по телефону 8 (495) 139 0480.