close

Вход

Забыли?

вход по аккаунту

?

Приложения к Договору дистанционного обслуживания Клиента

код для вставкиСкачать
Приложение №2
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
ТАРИФЫ БАНКА ПО ДОГОВОРУ
№
Перечень услуг и условий
обслуживания
тариф с
«дд.мм.гггг»
Порядок и срок
оплаты
Примечания
Установка и подключение
1
Обслуживание системы
2
Техническая поддержка
3
1
Приложение №3
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Термины, их понятия и определения и сокращения для целей настоящего Договора следует понимать
и трактовать следующим образом:
Система «Банк-Клиент» (Система) – организационно-техническая система обеспечения
электронного документооборота и безбумажных расчетов между Банком и его Клиентами,
функционирующая на основе системы электронного банкинга «iBank 2» (разработчик – ООО «БИФИТ»)
обеспечивающая подготовку, защиту и обработку документов в электронном виде с использованием
электронно-вычислительных средств обработки информации, а также разбор конфликтных ситуаций.
Система состоит из:
- программных и аппаратных средств Клиента, соответствующих требованиям Банка, комплектуемых
и эксплуатируемых Клиентом за свой счет;
- аппаратных средств Банка, эксплуатируемых Банком за свой счет;
- программных средств Системы, устанавливаемых в соответствующих частях на аппаратных
средствах Клиента и Банка и самостоятельно эксплуатируемых Сторонами;
- программных и аппаратных средств связи, обеспечивающих обмен электронными документами
между Сторонами.
Электронный документ (ЭД) – электронный образ документа (платежного или иного),
представленный в согласованном Сторонами формате, определяемом программными средствами создания
документа. ЭД хранится в виде файла (или записи в базе данных), заверенного электронной подписью и
подготовленного с помощью программного обеспечения системы «Банк-Клиент». В состав файла (записи в
базе данных) может входить несколько ЭД. Если файл (записи в базе данных) имеет корректную ЭП, то
каждый электронный документ, входящий в файл, считается подписанным ЭП.
Подлинником документа в системе «Банк-Клиент» является любой должным образом оформленный
файл в оговоренном формате, т.е. содержащий текст документа и электронные подписи уполномоченных
лиц Стороны, подписавшей этот документ, с положительным результатом проверки подлинности этих
электронных подписей, произведенной программными средствами системы «Банк-Клиент», с
использованием электронных ключей, зарегистрированных в установленном Договором порядке.
Документ приобретает юридическую силу после его подписания. Юридическая сила электронного
документа подтверждается электронной подписью. Юридическая сила электронной подписи признается при
наличии средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима
использования.
Защита информации от несанкционированного доступа – комплекс мероприятий, проводимых с
целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения,
модификации (подделки), несанкционированного копирования информации, ее блокирования и т. п.
Электронная подпись (ЭП) – информация в электронной форме, которая присоединена к другой
информации в электронной форме (подписываемой информации) или иным образом связана с такой
информацией и которая используется для определения лица, подписывающего.
Уполномоченное лицо Клиента – сотрудник Клиента, уполномоченный распоряжаться денежными
средствами, находящимися на счете, и совершать иные действия, предусмотренные разделом 1 настоящего
Договора, используя электронную подпись.
Электронный документ валютного контроля (ЭД ВК) – электронный документ, оформляемый
Клиентом и/или представляемый им в Банк в соответствии с Инструкцией № 138-И, и/или электронный
документ, связанный с проведением валютных операций, направляемый в Банк в соответствии с
требованиями валютного законодательства и представляемый:
- в формате, определяемом Системой (Паспорт сделки по контракту, Паспорт сделки по кредитному
договору, Справка о валютных операциях, Справка о подтверждающих документах, Заявление на перевод,
Поручение на покупку иностранной валюты, Поручение на продажу иностранной валюты, Распоряжение на
обязательную продажу иностранной валюты, Распоряжение на списание с транзитного счета);
- в свободном формате в виде ЭД, содержащего сканированный графический образ, являющийся
точным воспроизведением оригинала документа или документ в текстовом формате (обосновывающие
документы, ведомости банковского контроля в случае перевода контракта/кредитного договора из другого
уполномоченного банка, подтверждающие документы, копии банковских выписок в случае осуществления
валютных операций по контракту/кредитному договору через счета, открытые в банке-нерезиденте, и иные
документы, установленные валютным законодательством Российской Федерации).
Вложения ЭД ВК в свободном формате в виде сканированного графического образа или документа в
текстовом формате признаются Сторонами равнозначным документу на бумажном носителе
соответствующего содержания, содержащего подписи Уполномоченных лиц Клиента и его печать (если
2
согласно федеральным законам, принимаемым в соответствии с ними нормативными правовыми актами или
обычаям делового оборота документ должен быть заверен печатью).
«SMS – ключ (или кодовое слово)– одноразовый пароль, имеющий ограниченный срок действия,
указанный в SMS-сообщении, направляемом Банком Клиенту в момент отправки Клиентом платежного
документа. SMS-ключ используется Клиентом во всех случаях, предусмотренных Системой «Банк-Клиент»:
для направления электронного платежного документа в рублях РФ в Банк, а также в иных случаях,
предусмотренных Системой «Банк-Клиент».
Банк не несет ответственности перед Клиентом в случае, если Клиент не получил SMS-ключ, либо
получил SMS-ключ с задержкой по времени, а также в случае если SMS-ключ был ошибочно направлен
иному получателю, либо Клиенту ошибочно поступило SMS-ключ, адресованный иному получателю, если
данные обстоятельства произошли в связи с техническими сбоями, а также по иным причинам, не зависящим
от Банка.
SMS-подтверждение – автоматическая отправка системой Банк-Клиент сообщений посредством
SMS-сообщений.
КЛЮЧИ:
1.1. Закрытый ключ ЭП (Ключ ЭП) – уникальная последовательность символов, генерируемая
Клиентом с использованием средств системы «Клиент-Банк», и предназначенная для формирования
сотрудником Клиента ЭП под электронными документами.
Открытый ключ ЭП – уникальная последовательность символов, соответствующая секретному
ключу ЭП сотрудника Клиента, самостоятельно генерируемая Клиентом с использованием средств системы
«Клиент-Банк», с ограниченным сроком действия и предназначенный для проверки Банком корректности
ЭП электронного документа, сформированного сотрудником Клиента. Открытый ключ считается
принадлежащим Клиенту, если он был зарегистрирован в установленном порядке.
Группа подписи ключа – полномочия ключа ЭП при подписи электронного документа. По аналогии
с собственноручной подписью, образец которой есть в банковской карточке, обычно различают первую и
вторую подпись (группу подписи).
Средство криптографической защиты информации (СКЗИ) – программный модуль, входящий в
состав системы «Банк-Клиент», обеспечивающий защиту информации в соответствии с утвержденными
стандартами (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89) и сертифицированный в соответствии с
действующим законодательством.
Аппаратный криптопровайдер – устройство, предназначенное для выполнения криптографических
преобразований (создание ключей ЭП, формирование ЭП ЭД в соответствии с утвержденными стандартами
(ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)), а также для хранения и защиты закрытых ключей
ЭП от несанкционированного копирования (хищения).
Блокировочное слово – уникальное слово, определяемое Клиентом при регистрации в системе
«Банк-Клиент». Блокировочное слово может быть использовано Клиентом (например, в случае
компрометации ключа) для блокирования своей работы в системе «Банк-Клиент» по телефонному звонку в
Банк.
Компрометация ключа – утрата доверия к тому, что используемые ключи обеспечивают
безопасность информации.
К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь,
следующие:
- утрата ключевых элементов;
- утрата ключевых элементов с последующим обнаружением;
- увольнение (изменение должностных обязанностей) сотрудников, имевших доступ к ключевой
информации;
- нарушение правил хранения закрытого ключа;
- случаи, когда нельзя достоверно установить, что произошло с носителями электронных ключей,
содержащими ключевую информацию (в том числе случаи, когда носитель вышел из строя и достоверно не
опровергнута возможность того, что данный факт произошел в результате несанкционированных действий
злоумышленника).
Сертификат открытого ключа ЭП – бумажный документ со ссылкой на открытый ключ,
подтверждающий принадлежность открытых ключей участнику Системы, заверенный физическими
подписями владельца соответствующего закрытого ключа уполномоченного лица и печатью пользователя
системы «Банк-Клиент».
Проверка ЭП ЭД – проверка соотношения, связывающего ЭП под этим ЭД и открытый ключ
подписавшего абонента.
Если рассматриваемое соотношение оказывается выполненным, то ЭП признается правильной, а сам
ЭД – подлинным, в противном случае ЭД считается измененным, а ЭП под ним недействительной.
Автоматизированное рабочее место «Клиент» системы «Банк-Клиент» (далее АРМ «Клиент») –
3
составная часть (клиентский модуль) системы электронного банкинга «iBank 2», устанавливаемая на
территории Клиента, используемая Клиентом для предоставления в Банк и получения от Банка электронных
документов.
Электронное средство платежа - средство и (или) способ, позволяющие клиенту оператора по
переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления
перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием
информационно-коммуникационных технологий, электронных носителей информации, в том числе
платежных карт, а также иных технических устройств.
4
Приложение №5
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
ПОЛОЖЕНИЕ
о порядке работы согласительной комиссии
1. Согласительная комиссия (далее – комиссия) создается Сторонами с целью рассмотрения спорных
вопросов при передаче - приеме ЭД, установления фактических обстоятельств, послуживших основанием их
возникновения, а также в необходимых случаях для подтверждения подлинности и контроля целостности
ЭД.
2. При возникновении спорных вопросов по передаче - приему ЭД Сторона, предъявляющая претензии
(Клиент), направляет другой Стороне (Банку) заявление, подписанное уполномоченным должностным
лицом, с подробным изложением этих вопросов и предложением создать комиссию. Заявление должно
содержать персональный состав (фамилия и занимаемая должность) представителей Клиента, которые будут
участвовать в работе комиссии, место, время и дату сбора комиссии (не позднее 7 дней со дня отправления
заявления).
3. При этом до подачи заявления Клиенту рекомендуется убедиться в целостности своего
программного обеспечения, неизменности используемой ключевой информации, а также отсутствии
несанкционированных действий со стороны сотрудников, которым предоставлен доступ к АРМ «Клиент».
4. В состав комиссии должно входить равное количество представителей каждой Стороны (до пяти
человек, включая представителей службы безопасности, юридической службы и иных), а также, в случае
необходимости, независимые специалисты.
Члены комиссии от каждой Стороны назначаются распорядительными актами соответствующей
Стороны. В случае необходимости привлечения независимых специалистов, имеющих официально
подтвержденную квалификацию, специалист считается назначенным только при согласии обеих Сторон,
выраженном в письменной форме.
Оплата работы независимых специалистов осуществляет Сторона, которая является инициатором их
привлечения.
5. Комиссия создается на срок до 7 дней. В исключительных случаях срок работы комиссии по
согласованию Сторон может быть продлен до 15 дней.
6. Стороны обязуются способствовать работе комиссии и не допускать отказа от предоставления
необходимых документов и возможности ознакомления с условиями и порядком работы своих программных
и аппаратных средств, используемых для передачи - приема ЭД.
В ходе работы комиссии каждая Сторона обязана доказать, что она исполнила обязательства по
Договору надлежащим образом.
7. Работа комиссии проходит в три этапа.
7.1. Проведение проверки ЭД, заверенного необходимым количеством ЭП Клиента, на основании
которого Банком выполнены оспариваемые Клиентом действия с его счетом.
7.2. Проведение проверки открытых ключей ЭП Клиента, период действия и статус открытых ключей
ЭП Клиента, и установление их принадлежности Клиенту.
7.3. Проведение проверки корректности ЭП Клиента в ЭД.
8. По итогам работы комиссии составляется акт, содержащий:
- фактические обстоятельства, послужившие основанием возникновения разногласий;
- описание работ, проведенных членами комиссии;
- вывод по результатам работы комиссии по оспариваемому ЭД и его обоснование.
Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Каждой из Сторон комиссия
направляет по одному экземпляру акта. Члены комиссии, не согласные с мнением большинства,
подписывают акт с особым мнением, которое прикладывается к акту.
9. В случае препятствования Клиента работе комиссии, Банк вправе составить акт в одностороннем
порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 8
настоящего Положения. Акт составляется в двух экземплярах, подписывается уполномоченными
должностными лицами Банка. Один экземпляр акта направляется Клиенту.
10. В случае, когда Банк предъявляет электронный документ, корректность электронных цифровых
подписей Клиента признана разрешительной комиссией (и задокументирована соответствующим Актом),
принадлежность Клиенту открытых ключей Клиента подтверждена, Банк перед Клиентом по выполненным
операциям со счётом Клиента ответственности не несёт.
5
11. Если Клиент настаивает на том, что данный ЭД был создан не им или не подписан одной или
несколькими ЭП, разрешительная комиссия может вынести определение о компрометации ключа (ключей)
ЭП Клиента, что не снимает с Клиента ответственности за данный ЭД.
12. В случае, если спорная ситуация не урегулирована в процессе переговоров, стороны разрешают
спор в порядке, предусмотренном действующим законодательством РФ.
6
Приложение №6
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
ТРЕБОВАНИЯ
безопасности при эксплуатации системы «Банк-Клиент»
Клиент обязуется исполнять следующие требования:
1. Требования по организационному обеспечению безопасности системы «Банк-Клиент»:
− в организации Клиента выделяются (определяются) должностные лица, ответственные за
обеспечение безопасности информации и эксплуатации Системы;
− в организации Клиента разрабатываются нормативные документы, регламентирующие вопросы
безопасности информации и эксплуатации Системы;
− к работе с Системой допускаются сотрудники, имеющие навыки работы на персональном
компьютере, ознакомленные с правилами эксплуатации АРМ «Клиент».
2. Требования по размещению технических средств клиентского рабочего места и режиму
охраны:
− помещения, в которых размещаются технические средства клиентского рабочего места, являются
режимными и должны обеспечивать конфиденциальность проводимых работ;
− размещение режимных помещений и их оборудование должны исключать возможность
бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих
помещениях конфиденциальных документов и технических средств;
− размещение
оборудования,
технических
средств,
предназначенных
для
обработки
конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным
нормам и требованиям пожарной безопасности;
− входные двери режимных помещений должны быть оборудованы замками, обеспечивающими
надежное закрытие помещений в нерабочее время;
− окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом
централизованного наблюдения за сигнализацией;
− размещение технических средств в режимном помещении должно исключать возможность
визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается,
через окна;
− в режимные помещения допускаются руководители организации Клиента, сотрудники
подразделения безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему
конфиденциальных документов;
− системные блоки компьютеров с техническими средствами клиентского рабочего места
оборудуются средствами контроля вскрытия;
− ремонт и/или последующее использование системных блоков осуществляется после удаления с них
программного обеспечения Системы.
3. Требования по обеспечению безопасности ключевой информации:
− ключевые носители в организации Клиента берутся на поэкземплярный учет в выделенных для этих
целей журналах;
− учет и хранение ключей поручается руководством Клиента специально выделенным сотрудникам;
− для хранения ключевых носителей выделяется сейф или иное хранилище, обеспечивающее
сохранность ключевой информации;
− хранение ключей и дистрибутива АРМ «Клиент» допускается в одном хранилище с другими
документами при условиях, исключающих их непреднамеренное уничтожение или иное применение, не
предусмотренное правилами пользования СЗИ;
− ключевые носители, если их несколько, хранятся раздельно с обеспечением условия невозможности
их одновременной компрометации;
− при транспортировке ключевых носителей с закрытой ключевой информацией создаются условия,
обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую
информацию.
7
Приложение №7
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
СПЕЦИФИКАЦИЯ
аппаратных и программных средств, необходимых для установки и
функционирования АРМ «Клиент»
Обязательным условием установки АРМ «Клиент» и подключения к системе «Банк-Клиент»
является
наличие
у
Клиента
собственного
комплекта
аппаратных
и
программных
средств,
удовлетворяющего требованиям Системы:
1.
Персональный или переносной компьютер, с параметрами не ниже рекомендуемых:
Процессор – Intel Celeron 1500 MHz, оперативная память 256 МБ, операционная система
Windows Vista/ XP/ 7/ 8. Для всех операционных систем необходима установка последних
обновлений по безопасности.
2. Наличие принтера для возможности распечатки сертификата ключа подписи.
3. Flash-носитель (либо аппаратный криптопровайдер «iBank 2 Key») – для хранения закрытого
ключа ЭП.
4. Устройство чтения компакт дисков (CD/DVD-ROM).
5. Наличие доступа в сеть Интернет. Для работы с Системой достаточной является скорость
соединения 48 Кбит/сек.
6. Актуальную Java-машину (Java Runtime Environment), рекомендуется скачать с веб-сайта
http://www.java.com/ru/
7. Антивирусное
программное
обеспечение
с
регулярно
обновляемыми актуальными
антивирусными базами.
8. В случае использования клиентом аппаратного криптопровайдера «iBank 2 Key», необходим
драйвер для работы этого устройства, который поставляется в дистрибутивном комплекте от Банка.
8
Приложение №8
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
ЗАЯВКА
на подключение Клиента к системе «Банк-Клиент» (на оказание консультационных
услуг)
по договору дистанционного обслуживания Клиента по системе «Банк-Клиент»
№______ от «____»_____________20___г.
______________________________________________________________________________________________
(наименование организации, ИП)
Адрес: _______________________________________________________________________________________
Телефон: __________________ ИНН: _____________________ КПП: ___________________
Телефон для sms-информирования: _______________________________
В случае отказа от sms-информирования:
Я отказываюсь от способа информирования о каждой операции путем направления sms-сообщений.
Я уведомлен, что услуга sms – информирования позволяет наиболее надежно контролировать все мои
операции, проводимые по банковскому счету, повышает безопасность его использования и защищает мои
средства от несанкционированного доступа.
_________________________ФИО
_________________________ подпись
Прошу осуществить подключение к системе «Банк-Клиент» в соответствии с условиями Договора:
Установка АРМ «Клиент» осуществляется Клиентом _______________________________________________
(самостоятельно/ с привлечением Банка)
Сведения о владельце(ах) ключа(ей) ЭП Клиента:
1. ___________________________________________________________________________________________
(ФИО, должность)
Тип подписи под документом: ___________________________________________________________________
единственная (первая)/ вторая
2. ____________________________________________________________________________________________
(ФИО, должность)
Тип подписи под документом: ___________________________________________________________________
единственная (первая)/ вторая
Количество ключей: ________ Фильтр IP-адреса: ____________________________________________
диапазон ip-адресов, с которых будет осуществлять работу Клиент
Тип ключевого(ых) носителя(ей) ________________________________________________________________
(flash-носитель/ “iBank 2 Key”/ другой)
Прошу осуществить выезд специалиста Банка для оказания консультационных услуг:
______________________________________________________________________________________________
(переустановку, обновление, восстановление АРМ «Клиент»)
Контактное лицо: ______________________________________________________________________________
(ФИО, должность)
Контактный телефон:___________________________________________________________________________
Обоснование заявки: ___________________________________________________________________________
(причина выхода из строя АРМ «Клиент»)
Клиент подтверждает, что располагает программно-аппаратными средствами, указанными в Спецификации
аппаратных и программных средств, необходимых для установки и функционирования АРМ «Клиент»
(Приложение №7 к Договору)
Руководитель организации:
______________________/______________________________________________________________________/
(подпись)
м.п.
«____»________________20___ г.
ФИО, должность
9
Отметка о выполнении:_________________________________________________________________________
____________________________/________________________________________________________________/
(подпись представителя Клиента)
ФИО, должность представителя Клиента
____________________________/________________________________________________________________/
(подпись исполнителя)
ФИО, должность исполнителя
10
Приложение №9
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
АКТ
приема-передачи аппаратного криптопровайдера «iBank 2 Key»
г. Геленджик
«____»______________20___г.
Открытое Акционерное Общество «Геленджик-Банк», именуемое в дальнейшем «Банка», в лице
_____________________________________________________________________________________
(должность, ФИО полностью)
____________________________________ действующего на основании ________________________________,
с одной стороны, и _____________________________________________________________________________
(наименование организации)
именуемый в дальнейшем «Клиент», в лице ______________________________________________________
(должность, ф.и.о. полностью)
действующего на основании _________________________, с другой стороны, заключили настоящий Акт о
нижеследующем:
Настоящим Банк передал, а Клиент принял USB-токен «iBank 2 Key» №_______________________ в
опечатанном конверте соответствии с «Договором дистанционного обслуживания Клиента по системе “БанкКлиент”» № _____ от «____»_____________20___г. (далее – Договор). Целостность конверта не нарушена.
Лицо, уполномоченное использовать устройство «iBank 2 Key»:
_____________________________________________________________________________________
(ФИО полностью, должность)
_____________________________________________________________________________________
(адрес регистрации)
______№____________ _________________________________________«____»__________20___ г.
(паспорт, серия, номер)
(выдан кем, дата)
Настоящим подтверждаю согласие на обработку Банком моих персональных данных __________________/
подпись
Настоящий Акт составлен в 2 (двух) экземплярах: по одному для каждой Стороны и является неотъемлемой
частью Договора.
Стороны претензий друг к другу не имеют.
От Банка:
От Клиента:
_______________________ (___________________)
__________________ (___________________)
м.п.
м.п.
(подпись)
(фамилия, и.о.)
(подпись)
(фамилия, и.о.)
11
Приложение №10
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
АКТ
готовности к эксплуатации системы «Банк-Клиент»
г. Геленджик
«____»______________20___г.
Открытое Акционерное Общество «Геленджик - Банк», именуемое в дальнейшем «Банк», в лице
_____________________________________________________________________________________________
(должность, ФИО полностью)
__________________________________________, действующего на основании _________________________,
с одной стороны, и ____________________________________________________________________________
(наименование организации)
именуемый в дальнейшем «Клиент», в лице _______________________________________________________
(должность, ф.и.о. полностью)
_____________________________________________________________________________________________
__________________________________, действующего на основании _________________________________,
с другой стороны, составили настоящий Акт о нижеследующем:
1.
Клиент использует для работы с банком собственные аппаратные средства и общесистемные
программные средства (компьютер, модем, операционная система, вспомогательные программы).
2.
Настоящим Банк передал, а Клиент принял дистрибутивный комплект со следующим программным
обеспечением и сопроводительную документацию в электронном виде по перечню:
№
Наименование
п/п
1.
Программное обеспечение АРМ «Клиент» системы «Банк-Клиент»
2.
Средство криптографической защиты информации в составе дистрибутива АРМ «Клиент»
3.
Инструкция по установке АРМ «Клиент»
4.
Руководство пользователя АРМ «Клиент»
5.
Формы документов по Договору
3.
4.
Установка программных средств, поставляемых Банком, на средствах Клиента выполнена.
Руководство Клиента и лица, осуществляющие эксплуатацию автоматизированного рабочего места
«Клиент», с Требованиями безопасности при эксплуатации системы «Банк-Клиент» и
Информацией для Клиентов Банка (Приложения №6, №14 к Договору дистанционного
обслуживания Клиента по системе «Банк-Клиент») ознакомились __________________
5.
В качестве носителя ключей ЭП выбран ____________________________________________________
(подпись)
(flash-носитель/ “iBank 2 Key”/ другой)
5. Распечатки открытых ключей ЭП на бумажном носителе, заверенные подписями и печати Клиента,
переданы Банку. Работоспособность автоматизированного рабочего места «Клиент» проверена.
Автоматизированное рабочее место «Клиент» готово к эксплуатации. Стороны не имеют взаимных
претензий.
Передаваемые Клиентом в Банк электронные документы будут заверяться ________________________ ЭП.
(одной, двумя)
Генерацию ключей ЭП Клиента __________________________________________________ выполнил:
(наименование организации)
_________________________/_______________________________________/
(подпись)
(ФИО, уполномоченного представителя Клиента)
Доверенность (распоряжение) руководителя Клиента на Генерацию ключей ЭП уполномоченным лицом
Клиента прилагается.
От Банка:
От Клиента:
_______________________ (___________________)
__________________ (___________________)
м.п.
м.п.
(подпись)
(фамилия, и.о.)
(подпись)
(фамилия, и.о.)
12
Приложение № 12
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
ИЗВЕЩЕНИЕ
о смене ключей ЭП Клиента по Договору дистанционного обслуживания Клиента по
системе «Банк-Клиент» №______ от «____»_____________20___г.
_____________________________________________________________________________________
(наименование организации, ИП)
Адрес: _______________________________________________________________________________
Телефон: _____________________________ ИНН: __________________ КПП: _________________
Настоящим извещаю Банк о компрометации ключа ЭП, использовавшегося в системе «Банк-
Клиент»
Сведения о владельце компрометированного ключа ЭП Клиента:
_____________________________________________________________________________________
(ФИО, должность)
Причина компрометации ключа ЭП Клиента:
_____________________________________________________________________________________
(увольнение уполномоченного сотрудника/ утеря носителя ЭП / другое)
Прошу произвести регистрацию сертификатов ЭП Клиента:
Сведения о владельце ключа ЭП Клиента:
_____________________________________________________________________________________
(ФИО, должность)
Тип подписи под документом: ____________________ Количество ключей: ___________________
единственная (первая)/ вторая
Руководитель организации:
______________________/_____________________________________________________________/
(подпись)
м.п.
«____»________________20___ г.
ФИО, должность
13
Приложение №12
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
АКТ
обследования рабочего места Клиента с АРМ «Клиент» по Договору дистанционного
обслуживания по системе «Банк-Клиент» №______ от «____»_____________20___г.
Наименование Клиента: ________________________________________________________________________
Дата проведения обследования: __________________________________________________________________
Основание проведения обследования: _____________________________________________________________
______________________________________________________________________________________________
Адрес офиса:__________________________________________________________________________________
Состав комиссии (ФИО, должность):
Филиал ОАО «Геленджик-Банк» в г. Москва
(далее – Банк)
1.
_________________________ (далее – Клиент)
1.
2.
2.
3.
3.
Комиссия произвела мероприятия по выяснению обстоятельств события, указанного в поле «Основание
проведения обследования» настоящего Акта и установила следующее:
Описание инцидента:
______________________________________________________________________________________________
______________________________________________________________________________________________
______________________________________________________________________________________________
______________________________________________________________________________________________
Сотрудники Клиента, непосредственно осуществляющее работу в
системе «Банк-Клиент», наличие распорядительных документов на
доступ данных лиц к ключам ЭП Клиента
Организация доступа в помещение с ПК, с установленным АРМ
«Клиент», доступ неуполномоченных лиц к АРМ «Клиент»
Лица, осуществляющие установку/ обновление ПО, техническое
обслуживание /профилактику ПК с АРМ «Клиент», наличие
договора с данными лицами, вид доступа (локальный/ удалённый),
контроль над их действиями.
Хранение носителей ключей ЭП Клиента, несанкционированный
доступ к ключам, наличие копий ключей
Наименование ПК, на котором было установлено АРМ «Клиент»,
инвентарный номер, серийный номер
Локальная вычислительная сеть (наличие, тип)
Версия операционной системы (ОС), актуальность установленных
обновлений, полномочия пользователей ОС на установку
программного обеспечения
Целостность программного комплекса Системы «Банк-Клиент»,
включая СКЗИ
Установленные средства антивирусной защиты, межсетевые
экраны, актуальность антивирусных баз и т.п.
Версия Java-машины (Java Runtime Environment)
14
Наличие подозрительного программного обеспечения (средства
удалённого администрирования операционной системы), признаки
несанкционированного доступа
Следы вирусной активности
Прочие обстоятельства:
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________
Комиссией были опечатаны и подписаны следующие материалы:
Дальнейшее хранение на
территории Банка/ Клиента
Наименование
1.
2.
3.
К настоящему Акту прилагаются также следующие материалы:
1.
2.
3.
К настоящему Акту прилагаются также следующие файлы:
Хеш-сумма*
(контроль целостности файлов)
Имя файла
1.
2.
3.
*алгоритм вычисления хеш-суммы: ___________________________________________________________
программное обеспечение, использованное при вычислении хеш-суммы: ___________________________
Настоящий Акт составлен в двух идентичных экземплярах по одному для Банка и Клиента
От Банка
От Клиента
1.
_______________________/_________________
1.
_______________________/_________________
2.
_______________________/_________________
2.
_______________________/_________________
3.
_______________________/_________________
3.
_______________________/_________________
15
Приложение №13
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
Форма заявления о согласии на обработку персональных данных
_________________________________
Кому (организация, должность руководителя)
_________________________________
Кому (Ф.И.О. руководителя)
«____» ____________________ 201__ г.
Я,
______________________________________,
паспорт
серии
________,
____________, выданный _______________________________________________________
«
номер
___
»
___________ _____ года, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных» даю согласие ______________________________________________ (наименование и адрес
организации) на проверку и обработку (включая автоматизированную обработку) моих персональных
данных, а именно:
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
______________________________________________________________________________________
(указать состав персональных данных – Ф.И.О, паспортные данные, адрес …)
Для обработки в целях ____________________________________________________________________
______________________________________________________________________________________________
_______________________________________________________________________________________
(указать цели обработки)
Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока.
Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
« ___ » __________ 20__ г.
_____________________
(подпись)
16
Приложение №14
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
Информация для Клиентов Банка
«Защита от противоправной деятельности с использованием информационных технологий»
Уважаемые Клиенты, обращаем Ваше внимание!
В целях реализации мер по предотвращению противоправной деятельности с использованием
информационных технологий (далее – ПДИИТ) сотрудниками Филиала ОАО «Геленджик-Банк» в г. Москва
проводится непрерывная работа по обеспечению безопасности системы «Банк-Клиент» (далее – Система),
однако, комплексная безопасность невозможна без принятия защитных мер со стороны Клиента.
Практика показывает, что при противоправной деятельности с использованием информационных
технологий в системах дистанционного банковского обслуживания злоумышленники, чаще всего, не
пытаются взламывать компьютерные сети банков, а захватывают управление компьютерами их клиентов, и,
получая доступ к ключам электронной подписи и паролям доступа, осуществляют платежи от имени
клиентов банка. Существенную опасность представляют также уволенные или недобросовестные
сотрудники предприятий, имеющие или имевшие ранее доступ к системе дистанционного банковского
обслуживания.
Система «Банк-Клиент» Филиала ОАО «Геленджик-Банк» в
г. Москва обеспечивает
гарантированный уровень безопасности, содержит механизмы шифрования информации и ЭП, поддерживает
работу с аппаратными криптопровайдерами «iBank 2 Key».
В свою очередь Клиенту – пользователю системы следует на своем рабочем месте обеспечить
должный уровень безопасности данных – паролей, ключей ЭП и т.п. информации, хищение которой может
повлечь за собой материальный ущерб организации. Ниже описаны основополагающие принципы
безопасной работы в системе Системе «Банк-Клиент».
Внимание! Обращаем Ваше внимание на то, что приведенные ниже правила, требования и
рекомендации предполагают, что их реализация будет поручена лицам, имеющим надлежащую
квалификацию и опыт работы. Они способны дать реальный эффект лишь при комплексном
использовании и надлежащем контроле за их реализацией.
1.
Настоятельно рекомендуется использовать лицензионно-чистую операционную систему,
установленную на компьютере, применяемом для работы с Системой. Использование нелицензионных
копий операционных систем (как и любых иных программных продуктов) крайне нежелательно по
следующим причинам:
- В том случае, если они получены не из доверенного источника, например, приобретены не у
авторизованного дилера, скачаны из файлообменной сети и т.д., они могут уже быть заражены вирусными
программами, или иметь «черные ходы», используемые злоумышленниками;
- Программы-«активаторы» («генераторы ключей» и т.п.), используемые для обхода систем проверки
подлинности, в большинстве своем используют вирусные механизмы и препятствуют работе самозащиты
операционных систем, что может привести к заражению вирусными программами или установке в систему
или программный продукт троянской компоненты, используемой злоумышленниками для получения
несанкционированного доступа;
- Возможно нарушение в работе систем автоматического обновления операционной системы и прочих
программных продуктов, что оказывает негативное влияние на механизм обеспечения безопасности.
Используя нелегальное системное и прикладное программное обеспечение на компьютере,
предназначенному для эксплуатации систем «Банк-Клиент», Вы подвергаете себя неоправданному риску,
поскольку потери в результате хищений могут быть значительно больше, чем экономия на приобретении
легального программного обеспечения.
Для систем семейства Microsoft Windows версия операционной системы должна быть не ниже
Windows XP с установленным Service pack 3 и всеми актуальными на момент установки системы «БанкКлиент» обновлениями операционной системы.
Для операционной системы должны быть в обязательном порядке обеспечены процедуры
своевременного применения всех актуальных обновлений системного и прикладного программного
обеспечения.
2.
На компьютере, используемом для обеспечения работы системы «Банк-Клиент», должно
быть установлено и включено антивирусное программное обеспечение и персональный сетевой экран с
постоянно обновляющимися в автоматическом режиме базами. Отсутствие антивирусного программного
обеспечения, либо использование бесплатных, условно-платных программ, либо программ с ограниченной
функциональностью не допускается. Антивирусное программное обеспечение должно быть настроено
способом, обеспечивающим надлежащий уровень реакции на возникающие угрозы без участия
пользователя, и обеспечивать максимальный уровень защиты, в той мере, в которой это не препятствует
штатной работе пользователя.
17
3.
Все прочее прикладное и системное программное обеспечение, установленное на данном
компьютере, должно быть лицензионно-чистым и получено из доверенного источника (сайт изготовителя
программного обеспечения, авторизованный дилер и т.д.). Если это предусмотрено производителем
программного продукта, то должна быть включена возможность автоматической установки обновлений для
данного программного продукта. Недопустимо использование программ-генераторов инсталляционных
ключей или программ снятия защиты от несанкционированного доступа на компьютере с установленной
системой «Банк-Клиент».
4.
Категорически не рекомендуется использование компьютера с системой «Банк-Клиент» для
каких-либо целей, не связанных с работой в Системе, например, развлекательных.
5.
Работа пользователя на данном компьютере должна происходить в режиме «обычного
пользователя» (учётная запись с минимумом привилегий). Работа в роли пользователя, обладающего
административными правами, локальными и/или иными, категорически не рекомендуется, вне зависимости
от используемой операционной системы.
6.
Должна быть явно отключена возможность автозапуска программ со всех подключаемых и
встроенных устройств хранения данных, сетевых и сменных носителей информации. Загрузка компьютера
должна осуществляться с установленного в нем жесткого диска, возможность первичной загрузки с иных
устройств (CD/DVD, внешних накопителей, загрузка по сети и т.д.), а также возможность дистанционного
включения или выключения компьютера путем подачи сигнала по сетевому или иному коммуникационному
интерфейсу, должна быть отключена средствами BIOS компьютера. Доступ к BIOS компьютера
(административный, пользовательский и любого иного уровня) должен быть закрыт паролем, требования к
которому определяются в п.7.
7.
Не допускается вход в систему любого из пользователей данного компьютера без ввода
пароля, причем, количество неудачных попыток его ввода должно быть ограничено. Пароли пользователей
должны иметь длину не менее 8 символов и содержать символы, цифры и спецсимволы латинского алфавита
в различном регистре ввода, таким же образом должны формироваться и пароли к системе «Банк-Клиент». В
том случае, если требования к длине и составу пароля, определяемые в п.7, невозможно исполнить в силу
ограничений, налагаемых производителем оборудования или программного обеспечения, действуют
наиболее строгие, в пределах данных ограничений, правила. Пароли к ключам системы «Банк-Клиент» и
компьютеру, обеспечивающему её функционирование, должны храниться в условиях, не допускающих их
попадание к посторонним лицам. Срок действия паролей и ключей целесообразно ограничивать сроком в 1-2
месяца. Также желательно переименование учетных записей
пользователей, обладающих
административными правами (глобальными и локальными).
8.
После установки на компьютер системного и прикладного программного обеспечения, или
выполнения иных операций, требующих административного уровня доступа, целесообразно произвести
очистку кэша паролей (в случае использования систем MS WINDOWS), с целью недопущения попадания
паролей административных учетных записей в руки злоумышленников.
9.
Настоятельно рекомендуется запретить исполнение любых программ и библиотек
программного обеспечения, не входящих в перечень необходимых для работы операционной системы и
прикладного программного обеспечения, или расположенных в местах, отличных от стандартных мест
расположения системного и программного обеспечения. Для реализации этого ограничения применяются
средства используемой операционной системы или стороннего системного программного обеспечения,
соответствующего требованиям п.п.1-3. Это ограничение желательно применить, как минимум, для
подключаемых устройств хранения данных (USB-накопителей и т.п.), сменных и сетевых носителей
информации.
10.
Если это возможно, то компьютер, используемый для работы в Системе, должен быть
физически отключен от сети предприятия (в этом случае для работы систем «Банк-Клиент» используются
GSM/CDMA или аналогичные беспроводные модемы), или же логически не входить в сетевой домен
(домены) и/или рабочие группы, существующие в сети предприятия.
11.
Категорически не рекомендуется использование в компьютерных сетях, в которых
функционируют клиентская часть Системы, беспроводных подключений к локальным сетям и точек доступа
любого рода. Не рекомендуется использование беспроводных средств доступа для подключения к
провайдерам сети Интернет, за исключением использования GSM/CDMA или аналогичных модемов для
работы систем «Банк-Клиент» (и только для этих целей).
12.
В том случае, если избежать использования беспроводных подключений не представляется
возможным в силу причин технического и/или технологического характера, не допускается отключение
шифрования канала передачи данных или использование стандарта безопасности WEP. Категорически не
рекомендуется использование точек доступа, поддерживающих технологию WPS, в том случае, если эта
возможность не может быть явно отключена (аппаратно или программно). Пароли к точкам доступа, ключи
сетей и порядок обращения с ними должны соответствовать требованиям, изложенным в п.7. Настоятельно
рекомендуется установить контроль доступа по МАС-адресам устройств, если это позволяет архитектура
точки доступа. Идентификатор беспроводной сети рекомендуется назначить таким образом, чтобы избежать
даже косвенной ассоциации точки доступа с объектом, на котором она установлена, каким-либо
сотрудником предприятия, его подразделением или физическим лицом, с прямым или косвенным указанием
на оборудование, обеспечивающее функционирование или функционирующее в данной сети.
13.
Не допускается установка или активация на компьютере, используемом для работы
Системы, программ дистанционного управления или каких-либо их компонентов, как входящих в состав
операционной системы, так и сторонних производителей. Также необходимо отключить системы
18
дистанционного управления аппаратным обеспечением, путем внесения соответствующих изменений в
настройки BIOS компьютеров (также см. п.6).
14.
Недопустимо предоставление любых ресурсов данного компьютера в общий доступ, если же
избежать этого не представляется возможным, то пароль доступа к предоставляемым ресурсам должен
соответствовать требованиям, указанным в п.7. Предоставление в общий доступ логических дисков с
установленной системой «Банк-Клиент», или каталогов (папок), находящихся на этих логических дисках,
категорически запрещается. Также запрещается предоставление в общий доступ устройств хранения данных
или носителей информации, используемых для хранения ключей системы «Банк-Клиент», или же портов
компьютера, к которым они подключаются.
15.
Не допускается наличие на сменном носителе, используемом для хранения ключей
электронной подписи (далее – ЭП) системы «Банк-Клиент», иной информации, кроме как ключевой, или
использование его для любых иных целей, кроме как для хранения ключей электронной подписи. Любое
устройство, используемое для хранения ключей системы «Банк-Клиент» или подписи документов этой
системы (см. п.18), должно подключаться к компьютеру исключительно на время работы с системой «БанкКлиент», после чего должно отключаться в штатном порядке и перемещаться в место, предназначенное для
его безопасного хранения (металлический шкаф, сейф и т.д.). Также необходимо ограничить физический
доступ к компьютеру, используемому для работы с системой «Банк-Клиент», путем размещения его в
отдельном помещении с ограниченным доступом, или оборудованном системой контроля доступа.
16.
В том случае, если это возможно, необходимо использовать для подписи документов пару
ключей, например, ключ бухгалтера и ключ директора, размещаемые на разных носителях данных или
устройствах (см. п.18). Эта мера, в сочетании с прочими, способна уменьшить вероятность совершения
хищения, поскольку злоумышленнику необходимо будет завладеть уже двумя ключами и двумя паролями к
ним.
17.
Для хранения ключей ЭП и шифрования данных рекомендуется использование электронных
ключей (аппаратный криптопровайдер «iBank 2 Key»), обеспечивающих больший уровень защиты от
попыток несанкционированного использования систем «Банк-Клиент». В отличие от обычного сменного
устройства хранения данных (например, накопителя на базе флэш-памяти), «iBank 2 Key» не содержит
ключей ЭП в явном виде, и, следовательно, они не могут быть считаны злоумышленником. Однако
необходимо учитывать, что «iBank 2 Key» не является панацеей, поскольку, если злоумышленник получил
удаленный доступ к компьютеру (например, в результате нарушения положений п.14), то его действия, даже
при использовании электронных ключей, для банка будут неотличимы от штатных действий пользователя.
Настоятельно рекомендуем Вам использовать для работы в Системе именно электронные ключи.
18.
Категорически запрещается хранение ключей системы «Банк-Клиент» непосредственно на
жестких дисках компьютера или иных встроенных в него устройствах хранения данных.
19.
В качестве одной из высокоэффективных мер безопасности Филиал ОАО «Геленджик-Банк»
в г. Москва использует систему фильтрации ip-адресов, с которых осуществляется подключение к системе
«Банк-Клиент». При использовании системы фильтрации ip-адресов, ограничивается набор адресов в сети
Интернет (фактически, набор сетей, провайдеров Интернет и/или физических мест), из которых
злоумышленник (в том случае, если ему удалось завладеть ключами и кодами доступа) может подключиться
к серверу банка. Мы настоятельно рекомендуем Вам воспользоваться данной услугой. Для этого необходимо
в официальном порядке, в письменной форме сообщить банку ip-адрес или диапазон ip-адресов,
идентифицирующий компьютер, или компьютерную сеть клиента, или его провайдера в сети Интернет.
Внедрение системы фильтрации ip-адресов существенно затруднит решение задачи подключения к
банковскому серверу для злоумышленников, даже если им и удастся тем или иным способом завладеть
Вашими ключами и кодами доступа.
20.
Даже если финансовые операции в этот день не планируются, необходимо выходить на
связь с банком как минимум 1 раз в день. Рекомендуется осуществлять сеансы связи несколько раз в день,
например, утром, в момент начала рабочего дня, в середине рабочего дня, и вечером, незадолго до окончания
операционного дня в банке. Как правило, злоумышленники отправляют документы именно в эти периоды
времени или в ночное время.
21.
При обнаружении документа, который заведомо не проводился на клиентской стороне
уполномоченным лицом, необъяснимого изменения остатка средств на счете/счетах, или иных нештатных
ситуациях, связанных с работой средств вычислительной техники, используемых при работе с Системе,
необходимо немедленно связаться с банком, с целью блокирования всех платежей по всем Вашим счетам, а
также, если это необходимо, для принятия мер, направленных на возврат денежных средств, уже списанных
с Вашего счета.
22.
В случае, если при включении или в процессе работы системы «Банк-Клиент», или
компьютера, используемого для работы в Системе, будут обнаружены какие-то не имевшие ранее места
события, такие, как нештатные информационные окна, платежи, Вами не проводившиеся или не
санкционированные, сообщения об ошибках, сообщения о неверном ключе доступа или пароле, и т.п. – лицу,
ответственному за работу с системой, надлежит зафиксировать суть события, прекратить работу, выключить
компьютер и незамедлительно уведомить о событии сотрудников банка. Эти же действия необходимо
выполнить и в случае появления признаков заражения этого компьютера или вычислительной сети, к
которой он подключен, вирусными программами.
23.
Не отвечайте и не реагируйте на сообщения, письма (e-mail, почтовые отправления и т.п.)
или телефонные звонки, исходящие якобы от имени банка, с просьбой выслать или сообщить иным образом
19
секретный ключ(-и), пароль(-и) и другие конфиденциальные данные, установить программное обеспечение и
т.д.
24.
Банк не осуществляет рассылку сообщений, писем (e-mail, почтовые отправления и т.п.), как
напрямую, так и делегируя это право третьим лицам, содержащих инструктивный материал, вложенные
документы, носители информации и/или программное обеспечение, ссылки на web-страницы и т.п.
содержимое. Необходимое для работы системы «Банк-Клиент» программное обеспечение и иную
информацию можно получить исключительно через сообщения системы «Банк-Клиент», на официальном
сайте банка или непосредственно в банке.
25.
Банк никогда не запрашивает у клиентов никакую конфиденциальную информацию иначе,
чем во время личного визита клиента в банк. Любой иной порядок предоставления клиентом банку
конфиденциальной информации, и доверенные средства (каналы коммуникации), используемые для этого,
оговариваются отдельно.
26.
При взаимодействии с банком необходимо использовать только реквизиты средств связи
(телефонов, факсов, страниц в сети Интернет (сайтов), обычной и электронной почты и др.), которые
указаны в документах, полученных непосредственно в банке или размещены на официальном сайте банка.
27.
Если Вы получили сообщение любой формы и способа доставки, или телефонный звонок, в
котором от имени банка Вас просят исполнить какое-то действие, Вам необходимо, игнорируя полученное
сообщение, немедленно связаться с банком, учитывая положения п.29.
28.
При увольнении сотрудников, имевших доступ к секретным ключам ЭП в Системе и их
носителям, или обеспечивающих информационно-техническую поддержку предприятия, необходимо
незамедлительно заблокировать текущие и создать новые ключи системы «Банк-Клиент», сменив также все
пароли доступа к используемому в работе с данной системой компьютеру и устройствам, подключенным к
вычислительной сети. Также необходимо провести полную антивирусную проверку компьютера,
используемого для работы в Системе, а также его проверку на предмет запланированного исполнения какихлибо программ, наличия программ или компонентов программ удаленного доступа и, в целом, на предмет
соответствия изложенным в настоящем документе требованиям и рекомендациям.
29.
Ключи и пароли доступа к Системе, равно как и прочие ключи и пароли, используемые на
компьютере, обеспечивающем функционирование этой системы, должны обязательно меняться в случае
заражения данного компьютера вредоносными программами, даже в том случае, если было проведено
успешное удаление этих программ, вне зависимости от того, выполнялась или нет переустановка системного
и прикладного программного обеспечения.
30.
Лицо или лица, уполномоченные от имени клиента для работы с системой «Банк-Клиент»,
не должны передоверять свои обязанности иным лицам, при любых обстоятельствах и для решения любых
задач, иначе, как в официальном порядке.
31.
Если избежать использования систем обмена сообщениями или e-mail на компьютере,
предназначенном для работы в Системе, не представляется возможным, то необходимо соблюдать
максимальную осторожность при работе с ними:
- не открывать письма или сообщения, полученные из неизвестных источников;
- не устанавливать и не запускать программы, прикрепленные к письмам и/или сообщениям;
- не переходить по ссылкам из писем или сообщений.
32.
Возможность просмотра ресурсов сети Интернет на компьютере, предназначенном для
работы в Системе, должна быть заблокирована. Если же реализация этого ограничения невозможна, в силу
каких-либо причин, то следует ограничить список ресурсов, доступных для просмотра пользователю, только
ресурсами, необходимыми в его рабочей деятельности. Настройки безопасности всех программ,
применяемых для просмотра ресурсов Интернет, должны быть установлены в максимально возможный
уровень, не препятствующий исполнению пользователем своих служебных обязанностей: как минимум,
должно быть запрещено исполнение ActiveX скриптов, если эта мера не препятствует исполнению
служебных задач. Рекомендуется использовать программы, применяемые для просмотра ресурсов,
размещенных в сети Интернет, в режиме «изолированного окружения» («песочницы») или используя для их
запуска учетную запись с минимальными локальными и/или глобальными правами.
Рекомендации о порядке действий в случае выявления хищения денежных средств
Клиенту (пострадавшему) – юридическому лицу, индивидуальному предпринимателю или
физическому лицу, занимающемуся в установленном законодательством порядке частной практикой
необходимо:
1.
В случае выявления хищения денежных средств в системе дистанционного банковского
обслуживания (далее – ДБО) немедленно прекратить любые действия с электронными устройствами (далее –
20
ЭУ), подключенным к системе ДБО, обесточить его (принудительно отключить электропитание в обход
штатной процедуры завершения работы, извлечь все аккумуляторные батареи из ноутбука и т.п.) и
отключить от информационных сетей (если было подключение, например, по Ethernet, USB, Wi-Fi, Dial-Up и
др.) или перевести в режим гибернации («спящий» режим).
При отсутствии возможности обесточивания ЭУ, осуществить отключение по штатной процедуре и
запротоколировать указанный факт.
2.
При наличии технической возможности отозвать перевод с использованием иного ЭУ, после
чего принять меры к блокировке системы ДБО.
3.
При отсутствии технической возможности отозвать перевод по системе ДБО немедленно
обратиться в банк плательщика по телефону с заявлением о блокировке системы ДБО, приостановке
исполнения платежа и возврате средств.
4.
Произвести фотосъёмку ЭУ (с подключенными кабелями и иными периферийными
устройствами), рабочего места и его расположения в помещении. Обеспечить сохранность (целостность) ЭУ
как возможного средства совершения преступления, поместив его в место с ограниченным доступом,
обеспечив при этом защиту от вскрытия (стикеры, наклейки, пластилин, мастичная печать, пломбы и т.п.) и
по возможности зафиксировать средства контроля целостности фотографированием со всех ракурсов. Если
позволяют размеры ЭУ, следует поместить его в непрозрачный пакет (мешок) и заклеить горловину. При
необходимости ведения хозяйственной деятельности – задействовать другое ЭУ.
5.
Дополнительно к п.п. 2, 3 обратиться в банк плательщика с письменным заявлением об
отзыве платежа, возврате средств и блокировании доступа к системе ДБО (ФОРМА № 1), а также о
компрометации ключей и необходимости смены пароля (закрытого ключа). Копия заявления должна быть
направлена в банк плательщика незамедлительно по факсу или по электронной почте (скан-копия). Оригинал
заявления должен быть доставлен в банк плательщика течение одного дня.
6.
Проинформировать все банки, с которыми клиент имеет договорные отношения,
предусматривающие использование ДБО, о факте хищения денежных средств и обратиться с просьбой о
внеплановой замене ключевой информации.
7.
При наличии необходимой информации обратиться в банк получателя или к оператору
соответствующей платежной системы с письменным заявлением о приостановлении платежа и возврате
денежных средств (ФОРМА № 2).
8.
Предпринять меры для обеспечения сохранности и неизменности записей с внутренних и
внешних камер систем видеонаблюдения, журналов систем контроля доступа, средств обеспечения и
разграничения доступа в сеть Интернет (при наличии таковых) за максимальный период времени, как до, так
и после даты совершения хищения денежных средств.
9.
Провести сбор записей с межсетевых экранов и других средств защиты информации,
серверов баз данных и иных компонент клиентского приложения системы ДБО, систем авторизации
пользователей (AD и т.д.), коммуникационного оборудования (включая АТС), ЭУ, используемых для
управления денежными средствами через систему ДБО банка, устройств, которые могут использоваться для
удалённого управления указанными ЭУ.
10.
При возможности оперативно обратиться с письменным заявлением к своему Интернетпровайдеру или оператору связи (ФОРМА № 3) для получения в электронной форме журналов соединений
с Интернет с электронного устройства клиента или из его локальной вычислительной сети (далее – ЛВС) как
минимум за три месяца, предшествовавшие факту хищения денежных средств.
11.
Не предпринимать никаких действий для самостоятельного или с привлечением сторонних
ИТ-специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности ЭУ, не
отправлять ЭУ в сервисные службы ИТ для восстановления работоспособности.
12.
Зафиксировать в протокольной форме значимые действия и события, в том числе имена лиц,
имеющих доступ к ЭУ, действия с ЭУ, подключенным к системе ДБО, предшествовавшие факту хищения
денежных средств, подготовить объяснения клиента (работников клиента) об использовании ЭУ в целях,
отличных от осуществления операций в системе ДБО, посещаемых сайтах, о странностях при работе ЭУ,
перебоях или отказах ЭУ, обращениях в ИТ-службы, в банк плательщика, о сторонних лицах, побывавших в
месте расположения ЭУ и т.д.
13.
Все действия, указанные в п.п. 1, 4, 8, 9, 12 настоящего раздела, производить
коллегиально, протоколировать и документировать, в т.ч. с использованием фотосъёмки.
При невозможности осуществления коллегиальных действий (для индивидуальных
предпринимателей или физических лиц, занимающихся частной практикой) отдельно зафиксировать
данный факт.
14.
Оперативно обратиться с заявлением в правоохранительные органы о возбуждении
уголовного дела по факту хищения денежных средств (глава 21 УК РФ) (ФОРМА № 4).
21
15.
Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных
средств (указав все известные реквизиты получателя) о взыскании неосновательно полученного обогащения
и процентов за пользование денежными средствами (глава 60 ГК РФ), а также с ходатайством о принятии
судом мер по обеспечению иска в виде ареста денежных средств на счете получателя в сумме
неосновательно полученного обогащения. К исковому заявлению необходимо приложить копию заявления о
возбуждении уголовного дела либо копию талона, содержащего порядковый номер из книги учета
сообщений о преступлениях (далее – КУСП) содержащую отметку правоохранительного органа о его
приеме.
16.
Копии вышеуказанных документов по перечню, установленному банком плательщика,
направить в банк плательщика с приложением Справки по факту инцидента информационной безопасности
в системе ДБО (ФОРМА № 5), а также подтверждающих документов (ФОРМА № 6).
22
ФОРМА № 1
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА В БАНК ПЛАТЕЛЬЩИКА ОБ ОТЗЫВЕ ПЛАТЕЖА,
ВОЗВРАТЕ ДЕНЕЖНЫХ СРЕДСТВ И БЛОКИРОВАНИИ ДОСТУПА К СИСТЕМЕ ДБО
______________________
должность руководителя
______________________
наименование банка
______________________
Фамилия И.О.
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«___» __________________ 201__ года с нашего банковского счета, открытого в Вашем банке, по
системе дистанционного банковского обслуживания были похищены денежные средства, которые, по
имеющейся информации были переведены со следующими реквизитами платежа:
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя:
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
Назначение платежа:
12
Прошу Вас заблокировать нашу учетную запись в системе ДБО, провести процедуру компрометации
всех ключей ЭП и оказать содействие в возврате денежных средств.
_________________________
должность
____________________ _________________________
подпись
расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
12
Для случаев перевода электронных денежных средств – указать реквизиты перевода.
23
ФОРМА № 2
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА В БАНК ПОЛУЧАТЕЛЯ ИЛИ К ОПЕРАТОРУ
ПЛАТЕЖНОЙ СИСТЕМЫ О ПРИОСТАНОВЛЕНИИ ПЛАТЕЖА И ВОЗВРАТЕ ДЕНЕЖНЫХ
СРЕДСТВ
______________________
должность руководителя
______________________
наименование организации
______________________
Фамилия И.О.
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«____» _____________________ 20___ года с нашего банковского счета были похищены денежные
средства, которые, по информации, полученной из банка, были переведены со следующим реквизитам
платежа:
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя:
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
13
Назначение платежа:
Прошу Вас оказать содействие в приостановлении прохождения платежа и возврате денежных
средств.
_________________________
должность
________________
подпись
_________________________
расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
13
Для случаев перевода электронных денежных средств – указать реквизиты перевода.
24
ФОРМА № 3
ФОРМА ПИСЬМА ИНТЕРНЕТ ПРОВАЙДЕРУ О ПРЕДОСТАВЛЕНИИ ЖУРНАЛОВ
СОЕДИНЕНИЙ (ЛОГОВ)
______________________
должность руководителя
______________________
наименование организации
______________________
ФИО
от ___________________________________________
должность, ФИО заявителя
проживающего: ________________________________
адрес места жительства
паспорт: ______________________________________
номер паспорта, дата выдачи, кем и когда выдан
контактный телефон: ___________________________
телефон заявителя
адрес для корреспонденции ______________________
почтовый адрес
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«____» _____________________ 20___ года в ___:___ по московскому времени со счета
___________________ по системе дистанционного банковского обслуживания (ДБО) был осуществлен
несанкционированный перевод денежных средств. Компьютер, с которого осуществляется подключение к
системе ДБО, располагается по адресу _______________________ и использует IP-адрес ___.___.___.___.
Вероятной причиной несанкционированного перевода могло послужить заражение компьютера
вредоносным программным обеспечением, кража логина, пароля и секретных ключей системы ДБО.
«____» ________________ 20__ года между _______________ и вами был заключен договор № ______
об оказании _____________ услуг.
Для выявления обстоятельств несанкционированного перевода прошу предоставить информацию из
журналов (логов) о входящем и исходящем трафике за период с «____» _____________________ 20___ года
по «____» _____________________ 20___ года с указанием времени соединения, IP и MAC адресов.
_________________________
должность
________________
подпись
_________________________
расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
25
ФОРМА № 4
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА (ПОТЕРПЕВШЕГО) В ПРАВООХРАНИТЕЛЬНЫЕ
ОРГАНЫ О ВОЗБУЖДЕНИИ УГОЛОВНОГО ДЕЛА ПО ФАКТУ ХИЩЕНИЯ ДЕНЕЖНЫХ
СРЕДСТВ
Начальнику ОМВД ___________________________
наименование ОМВД
от __________________________________________
должность, ФИО заявителя
проживающего: ________________________________
адрес места жительства
паспорт: ____________________________________,
номер паспорта, дата выдачи, кем и когда выдан
место работы ______________________________
наименование организации
контактный телефон: ________________________
телефон заявителя
адрес для корреспонденции ____________________
почтовый адрес
ЗАЯВЛЕНИЕ
Прошу провести проверку настоящего заявления по факту незаконного завладения принадлежащими
__________________________________________________________________________________________
наименование организации / ФИО потерпевшего
денежными средствами (кражи) с использованием системы дистанционного банковского
обслуживания (далее – ДБО) «___________________________________________________________»
наименование банка
________________ 201__ г. неизвестными лицами по системе
несанкционированный перевод денежных средств со следующими реквизитами:
ДБО
был
осуществлен
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя:
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
14
Назначение платежа:
.
Оснований для данного денежного перевода нет: с получателем платежа отсутствуют договорные и
иные деловые отношения, равно как и какие-либо обязательства перед ним; перевод расцениваю как
хищение денежных средств.
Признаком хищения является то, что этот перевод не был осуществлен уполномоченными лицами.
Факт появления этого перевода был установлен «____» _______________ 201__
_______________________________________________________________________________________
г.
ФИО лица, установившего факт несанкционированного перевода, должность, наименование организации
при _______________________________________________________________________.
обстоятельства обнаружения факта несанкционированного перевода
Электронное устройство, с которого осуществляется подключение к системе ДБО, располагается по
адресу _______________________, доступ к электронному устройству ограничен, прямая кража реквизитов
доступа (учетной записи, пароля и секретных ключей) маловероятна.
Вероятной причиной этого несанкционированного перевода считаю ввод, удаление, блокирование,
модификацию компьютерной информации либо иное вмешательство в функционирование средств хранения,
обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей,
поскольку данному событию сопутствовали следующие обстоятельства:
14
Для случаев перевода электронных денежных средств – указать реквизиты перевода.
26
1. _________________________________________________________________________;
обстоятельства, снижающие вероятность прямого хищения реквизитов доступа в систему ДБО
2. _________________________________________________________________________.
наблюдавшиеся сбои, нехарактерное поведение системы ДБО и рабочего места системы ДБО
3. _________________________________________________________________________.
иное
На основании изложенного, прошу Вас провести необходимые оперативно-розыскные мероприятия
для выявления виновных лиц и привлечь их к уголовной ответственности в соответствии с действующим
законодательством.
_________________________
должность
________________
подпись
_________________________
расшифровка подписи
«___» _______________ 20__ г.
«___» _______________ 20__г.
________________________ /
/
подпись
27
ФОРМА № 5
ФОРМА СПРАВКИ ПО ФАКТУ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
СИСТЕМЕ ДБО
«___» _________________ 20__ неустановленным лицом через систему ДБО была совершена
несанкционированная операция по переводу денежных средств со следующими реквизитами:
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя:
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
15
Назначение платежа:
Дополнительно сообщаю:
Количество ЭУ, настроенных для доступа в систему ДБО: ___________________.
Для доступа в системы ДБО хотя бы раз использовались
корпоративные ЭУ
личные ЭУ
ЭУ, находящиеся в общественном пользовании
Периодичность смены пароля системы ДБО: _______________________________
Применяемые элементы безопасности ЭУ включают:
соблюден порядок подготовки ЭУ к установке системы ДБО
используется только программное обеспечение для работы системы ДБО
используется только лицензионное программное обеспечение
операционная система и приложения обновляются в автоматическом режиме
используется антивирусное программное обеспечение: ______________
антивирусное программное обеспечение обновляется ежедневно
из числа съемных носителей информации на ЭУ используются только ключевые
носители
передача файлов и обмен сообщениями электронной почты на ЭУ ограничены
целостность исполняемых файлов и файлов конфигураций контролируется с
периодичностью ____________________
используются средства сетевой защиты: __________________________
на ЭУ запрещены входящие соединения из сети Интернет
с ЭУ разрешены исходящие соединения с Банком и ограниченным числом сайтов сети
Интернет для проведения обновлений программного обеспечения, число разрешенных сайтов
составляет ____________
обеспечивается возможность доступа к ЭУ только уполномоченных лиц
обеспечивается возможность доступа к ключевым носителям только уполномоченных
лиц
Иная информация, имеющая отношение к инциденту: ________________________________________
____________________________________________________________________________________
_______________________________
________________________
подпись плательщика
Я намерен обратиться в правоохранительные органы по факту хищения денежных средств.
Заявление в правоохранительные органы принято в ОВД ____________________
______________________________________________________________________
район, округ, город, субъект федерации и иные идентифицирующие ОВД данные
и зарегистрировано за № ______ в КУСП
Я не намерен обращаться в правоохранительные органы по факту хищения денежных средств.
О необходимости предоставления доступа сотрудников правоохранительных органов к электронному
устройству, об ответственности за использование нелицензированного и контрафактного программного
обеспечения в соответствии со статьей 146 УК Российской Федерации предупрежден.
Заявитель: ______________________/________________/
Дата: ______________/Телефон: _________________
15
Для случаев перевода электронных денежных средств – указать реквизиты перевода.
28
ФОРМА № 6
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ ДОКУМЕНТОВ, КОТОРЫЕ МОГУТ БЫТЬ ИСТРЕБОВАНЫ У
ПЛАТЕЛЬЩИКА В СЛУЧАЕ ВЫЯВЛЕНИЯ ХИЩЕНИЯ ДЕНЕЖНЫХ СРЕДСТВ
1. Копия лицензии на операционную систему ПК;
2. Копия чека на приобретение операционной системы ПК;
3. Описание используемого ПО (перечень использованного лицензионного ПО на рабочем месте,
информация о версии операционной системы и наличии критических обновлений, рекомендуемых
разработчиком операционной системы);
4. Копия договора на оказание телематических услуг информационно–телекоммуникационной сети
Интернет;
5. Описание организации доступа в сеть Интернет на рабочем месте;
6. Копия чека на оказание доступа в сеть Интернет на повременной основе;
7. Копия заявления в правоохранительные органы;
8. Копия лицензии на антивирусное ПО;
9. Копия чека на антивирусное ПО;
10. Описание по антивирусной защите рабочего места (наличие установленного на жестком диске
автоматизированного рабочего места клиента антивирусного программного обеспечения и актуальность его
баз, частота обновления, сканирования, наличие сведений о проявлении на автоматизированном рабочем
месте клиента вредоносных программ);
11. Описание системы защиты информации (наличие или отсутствие персонального межсетевого
экрана у клиента, сведения об использовании рабочего места в иных целях, кроме осуществления платежнорасчетных операций, в частности – интернет-серфинга, сведения о порядке хранения и использования
ключевых носителей).
29
Приложение №15
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
УВЕДОМЛЕНИЕ
О блокировке системы «Банк-Клиент»
______________________________________________________________________________________________
(наименование организации, ИП)
Адрес: _______________________________________________________________________________________
Телефон: _________________________________ ИНН: _____________________ КПП: ___________________
Настоящим Уведомлением подтверждаю, что «___»________20__ года был произведен запрос на
блокировку системы «Банк-Клиент» по телефону 8 (86141) 40-191, установленной для
обслуживания расчетного счета №___________________________________________________, открытого в
Филиале ОАО «Геленджик-Банк» в г. Москва.
Руководитель организации:
______________________/______________________________________________________________________/
(подпись)
м.п.
«____»________________20___ г.
ФИО, должность
30
Приложение №16
к договору дистанционного обслуживания
Клиента по системе «Банк-Клиент»
№ ___ от “___”__________ 20__ г.
УВЕДОМЛЕНИЕ
Уведомление об обнаружении факта совершения операции по банковскому счету
Клиента без его согласия
______________________________________________________________________________________________
(наименование организации, ИП)
Адрес: _______________________________________________________________________________________
Телефон: _________________________________ ИНН: _____________________ КПП: ___________________
Настоящим Уведомлением подтверждаю, что платежное поручение №____ от «___»________20__ года на
сумму ___________с назначением платежа ___________________________ осуществляется без моего
согласия.
Прошу прекратить исполнение проведения платежа по вышеназванному платежному поручению.
Руководитель организации:
______________________/______________________________________________________________________/
(подпись)
м.п.
«____»________________20___ г.
ФИО, должность
31
Документ
Категория
Типовые договоры
Просмотров
47
Размер файла
747 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа