ООО «РУСОФТ»
Рекомендации
по обеспечению безопасности банкоматов
© ООО "РУСОФТ". Москва, 2013
Авторские права на эту работу принадлежат "РУСОФТ". Содержание этого документа не может полностью или частично копироваться, использоваться или распространяться без предварительного письменного разрешения "РУСОФТ".
Лист регистрации изменений
Дата
|
Версия документа
|
Описание изменений
|
19.06.2009
|
1.0
|
Составление документа
|
11.09.2011
|
1.1
|
Изменено описание функциональных модулей:
4.8 Безопасность файловой системы
4.9 Установка разрешений на ключи реестра
|
04.04.2013
|
1.2
|
Изменена структура документа.
Изменено описание функциональных модулей:
3.7 Автоматическое обновление системы
3.9 Политики аудита
3.14 Политики учетных записей
|
23.05.2013
|
1.3
|
Изменено описание функциональных модулей:
3.3 Центр обеспечения безопасности Windows
3.9 Политики аудита
3.12 Безопасность файловой системы
3.13 Установки разрешений на ключи реестра
|
13.09.2013
|
1.4
|
Изменено описание функциональных модулей:
3.4 Настройка брандмауэра
|
20.12.2013
|
1.5
|
Изменено название документа
Изменено описание функциональных модулей:
2.1 Требования к аппаратному обеспечению
2.2 Требования к программному обеспечению
|
24.12.2013
|
1.6
|
Изменено название документа
Изменено описание функциональных модулей:
1. Общие положения
2. Требования по обеспечению информационной безопасности ОС Windows XP
Добавлены функциональные модули:
5. Обеспечение физической безопасности банкоматов
|
-
Общие положения
Настоящие Рекомендации определяют состав и порядок действий в части терминального оборудования (банкоматов, управляемых программным обеспечением «Sofit ATM WIN» и «Sofit CASH-IN») по их размещению, установке, а также настройке политик безопасности ОС Windows XP и BIOS SETUP в целях обеспечения соблюдения требований ЦБ РФ и законодательства РФ в области информационной безопасности.
Работы, описанные в данной инструкции, проводятся квалифицированным персоналом (сотрудником службы безопасности, техником и системным администратором).
Сотрудник службы безопасности осцществляет следующие функции:
контролирует состояние помещения требованиям противопожарной безопасности;
организует работы по осуществлению видеонаблюдения и сигнализации;
организует ввод криптографических ключей;
организует работы по программированию кодового замка и ключей от сейфовой части.
Техник осуществляет следующие функции:
выполняет работы по проведению необходимых коммуникаций, их подключению и настройке;
организует работы по физическому размещению и укреплению банкоматов.
Администратор рабочей станции осуществляет следующие функции:
конфигурирует BIOS SETUP;
определяет и устанавливает пароли администратора и пользователя, дающие возможность доступа к программно-аппаратным средствам банкомата;
устанавливает и настраивает ПО «Sofit ATM WIN» и «Sofit CASH-IN», а также очередные версии и обновления;
контролирует текущее состояние информационной безопасности на банкоматах.
-
Требования по обеспечению информационной безопасности ОС Windows XP
В данном разделе кратко сформулированы общие требования безопасности, которые должны быть выполнены в результате конфигурирования ОС Windows XP и BIOS SETUP. Основной задачей описанных мер является защита ПО банкомата и используемых им данных от несанкционированного доступа (чтения данных, модификации ПО).
-
Требования к аппаратному обеспечению
В соответствии с эксплуатационными требованиями ПО банкомата:
Банкомат должен управляться стандартным РС-совместимым компьютером, имеющим конфигурацию не ниже P4 2.4 CPU; 512 M RAM; 40 GB HDD.
Актуальные минимальные аппаратные требования к АТМ размещены на сайте www.rucard.net в разделе «Программное обеспечение для партнеров/Для терминальных сетей/Банкоматы (АТМ)».
Банкомат должен быть подключен к шине гарантированного электропитания или обеспечен автономным источником бесперебойного питания.
-
Требования к программному обеспечению
Для инсталляции ОС должна быть использована официальная версия операционной системы MS Windows XP.
На всех дисках управляющего компьютера, должна использоваться только файловая система NTFS. При этом операционная система должна инсталлироваться только с использованием NTFS на «чистую» машину, не содержащую на жестком диске сторонних данных или программ, в том числе альтернативных Windows XP операционных систем (использование других операционных систем категорически запрещено).
Кроме ОС на управляющем компьютере банкомата должны быть инсталлированы:
пакет обновления № 2 для MS Windows XP (Service Pack 2);
программное обеспечение «Sofit ATM Win», «Sofit CASH-IN» или «OpenVPN client» (инсталлируется пользователем с правами администратора);
пакет антивирусного ПО с последним обновлением антивирусной базы (инсталлируется специалистами банка).
На управляющем компьютере банкомата запрещается установка программного обеспечения, отличного от указанного выше. В том числе запрещается установка:
программного обеспечения, такого, как Internet Information Server, Personal Web Server, Personal Transaction Server и т.д.;
офисного программного обеспечения (Microsoft Office и др.);
игровых программ (в том числе входящих в пакет операционной системы);
графических оболочек, типа Norton Commander.
На управляющем компьютере должен быть включен и настроен Windows Firewall или альтернативный брандмауэр, в соответствии с политикой информационной безопасности банка.
-
Организационные мероприятия
Организационные мероприятия включают в себя следующие действия:
конфигурирование программы “SETUP” управляющего компьютера (установка пароля и др.);
закрытие системного блока штатными средствами (встроенный замок) и его опечатывание защитной номерной наклейкой для исключения возможности негласного вскрытия;
установка ПО;
настройка политики безопасности.
Так же должно быть обеспечено хранение электронной копии журнальной ленты и технического журнала (*.PRJ, *.ERL) в течение 180 дней.
Для обеспечения работы банкомата в сети должен использоваться сетевой протокол TCP/IP.
-
Центр обеспечения безопасности Windows
При проведении настроек ОС Windows XP и BIOS каждый пользователь рабочей станции должен иметь свою уникальную учетную запись.
Первое, что необходимо сделать – это задать пароль пользователю «Administrator»! Так же необходимо убедиться, что в системе отсутствуют учетные записи с пустым паролем.
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Выполните «Start» => «Settings» => «Control Panel» => «Security Center» («Пуск» => «Настройка» => «Панель управления» => «Центр обеспечения безопасности»). В окне «Windows Security Center» («Центр обеспечения безопасности Windows») выберите следующие установки: «Firewall» — «ON», «Automatic Updates» — «OFF», «Virus Protection» — «NOT FOUND» (см. рис. ниже).
Рисунок 1 - Окно «Windows Security Center» («Центр обеспечения безопасности Windows»)
В этом же окне «Windows Security Center» («Центр обеспечения безопасности Windows») в разделе «Resources» («Ресурсы») выберите «Change the way Security Center alerts me» («Изменить способ оповещений Центром обеспечения безопасности») и снимите все три «галочки» в окне «Alert Settings» («Способ оповещения»).
Рисунок 2 - Окно «Alert Settings» («Способ оповещения»)
Для настройки брандмауэра войдите в «Start» => «Settings» => «Control Panel», выберите и загрузите системную утилиту Windows «Firewall». В появившемся окне, на закладке «General» включите переключатель «On (recommended)».
Рисунок 3 - Включение брандмауэра
Настройками Windows Firewall необходимо обеспечить двухсторонний обмен данными только между сервисом RCOMM (SofitCom Lite) банкомата и сервером SofitCom процессингового центра.
В случае подключения банкомата к процессинговому центру по технологии OpenVPN необходимо:
добавить в исключения брандмауэра порт 7777 TCP, как показано на рисунке 4;
отключить брандмауэр на сетевом интерфейсе, появившемся после установки клиента OpenVPN (обычно «Подключение по локальной сети 2», адаптер TAP-Win32 Adapter V9). Сделать это можно убрав соответствующую галочку на вкладке «Дополнительно» брандмауэра.
Рисунок 4 – Настройки исключений
Весь остальной трафик должен быть заблокирован.
По умолчанию ведение журналов отключено. Нужно включить ведение журналов.
Рисунок 5 - Дополнительные настройки брандмауэра
Для этого необходимо перейти на закладку «Advanced» и в группе «Security Logging» нажать кнопку «Settings».
Рисунок 6 - Ведение журналов
В появившемся окне включите переключатели «Log dropped packets» («Записывать пропущенные пакеты») и «Log successful connections» («Записывать успешные подключения»). Нажмите кнопку «OК».
В окне «Windows Firewall» в разделе «ICMP» нажмите кнопку «Settings…». В появившемся окне «ICMP Settings» разрешите запрос входящего эха, поставив галочку напротив «Allow incoming echo request».
Рисунок 7 - Окно «ICMP Settings»
-
Настройка параметров сетевого окружения
В настройках параметров подключения к локальной сети необходимо отключить все службы кроме протокола Интернета (TCP/IP).
Рисунок 8 – Параметры сетевого окружения
Активировать фильтрацию трафика, ограничить используемые порты и добавить порт, по которому идет соединение с терминальным контроллером в разделы «TCP-порты» и «UDP- порты».
Рисунок 9 – Фильтрация TCP/IP трафика
Отключить NetBIOS через TCP/IP.
Рисунок 10 – Окно дополнительных параметров TCP/IP
-
Отключение доступа по нулевой сессии и гостевого логина
В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA установите значение параметра RestrictAnonymous = 2 (тип параметра – REG_DWORD)
Рисунок 11 – Отключение гостевого логина
В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver
установите значение параметра RestrictNullSessAccess = 1 (тип параметра – REG_DWORD)
Рисунок 12 – Отключение доступа по нулевой сессии
-
Автоматическое обновление системы
Обновление системы необходимо производить в ручном режиме по мере выхода критических обновлений ОС Windows XP. Для запрета автоматического обновления войдите в «Start» => «Settings» => «Control Panel», выберите и загрузите системную утилиту «Automatic Updates».
Рисунок 13 - Запрет автоматического обновления
В появившемся окне, на закладке «Automatic Updates» установите переключатель в положение «Turn off Automatic Updates» и нажмите «Ok».
-
Настройка параметров системных журналов ОС
Для настройки параметров системных журналов откройте «Start» => «Settings» => «Control Panel», выберите и откройте папку «Administrative Tools» и загрузите системную утилиту «Event Viewer».
Рисунок 14 - Установка параметров системных журналов
В системе ведется три основных системных журнала:
Application — журнал событий работы приложений;
System — журнал системных событий;
Security — журнал событий системы безопасности.
Для установки параметров журналов, выберите журнал и нажмите правую клавишу мыши. В появившемся выпадающем меню выберите пункт «Properties».
Рисунок 15 - Настройка свойств журнала
В появившемся окне необходимо включить параметр «Overwrite events older then … days» и установить значение «31», а также изменить параметр «Maximum log size» на «100032» Kb. Остальные параметры оставить по умолчанию.
Данные действия повторите для всех журналов.
По умолчанию весь аудит отключен. Необходимо включить аудит в соответствии с нижеприведенной таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies» => «Audit Policy».
Политика аудита
|
Success
|
Failure
|
Audit account logon events
(Аудит событий входа в систему)
|
Да
|
Да
|
Audit account management
(Аудит управления учетными записями)
|
Да
|
Да
|
Audit directory service access
(Аудит доступа к службе каталогов)
|
Нет
|
Да
|
Audit logon events
(Аудит входа в систему)
|
Да
|
Да
|
Audit objects access
(Аудит доступа к объектам)
|
Нет
|
Да
|
Audit policy change
(Аудит изменения политики)
|
Да
|
Да
|
Audit privilege use
(Аудит использования привилегий)
|
Нет
|
Да
|
Audit process tracking
(Аудит отслеживания процессов)
|
Нет
|
Нет
|
Audit system events
(Аудит системных событий)
|
Да
|
Да
|
|