Читаем Мошенничество в платежной сфере полностью

В целях повышения безопасности и защиты от несанкционированного доступа к программному обеспечению банкоматов, работающих под управлением операционной системы Windows, а также для защиты от вредоносных программ рекомендуется произвести следующий комплекс мероприятий:

1. Произведите настройки BIOS.

А. Отключите загрузку с внешних устройств.

После запуска BIOS происходит поиск устройств хранения информации для запуска операционной системы — обычно это жесткий диск. Различные типы BIOS могут использовать разную технику выбора устройств хранения. Некоторые требуют полностью отключить загрузку с внешних устройств. Также есть BIOS, которые имеют способность обходить нормальную процедуру загрузки через PC-клавиатуру, например нажатием клавиши ESC во время загрузки. Такую возможность тоже нужно отключить. В BIOS возможность загрузки с USB при отсутствии загрузочного USB-устройства может не отображаться и, следовательно, при настройке это устройство по факту может оказаться первым. Если в BIOS запрещена загрузка со всех устройств, кроме HD, возможен вариант игнорирования запрета на запуск с CD, рекомендуется установить загрузку с CD второй, то есть когда неисправен HD.

Б. Установите пароль в BIOS.

После того как сделаны все настройки BIOS, доступ к нему должен быть защищен паролем. Большинство BIOS имеют два пароля: Supervisor и User. Нужно использовать только Supervisor. Пароль User должен быть выключен (disabled). Длину и корректные символы для ввода пароля определяет тип BIOS.

2. Осуществляйте инсталляцию ПО на банкомате при отключенном сетевом кабеле.

3. Произведите настройку учетных записей в Windows.

Для доступа к рабочему столу нужно использовать не менее двух учетных записей: администратор и рабочая.

4. Установите парольную политику и измените пароли по умолчанию у всех учетных записей.

Необходимо установить/изменить все пароли, установленные по умолчанию, в том числе для удаленного доступа, установки обновлений и т. п.

5. Отключите функцию автозапуска (autoplay, autorun).

6. Используйте стойкое шифрование каналов связи.

7. Установите межсетевой экран или используйте изолированную сетевую инфраструктуру.

8. Удалите неиспользованные службы и приложения.

9. Установите политику обновлений программного обеспечения (по согласованию с поставщиком ПО).

10. Задайте различные учетные записи пользователя прикладного ПО.

Прикладное ПО должно работать под учетной записью с минимальными полномочиями.

11. Обеспечьте мониторинг сигнала оповещения при открытии верхнего кабинета банкомата.

12. Используйте в диспенсере функцию шифрования.

13. Используйте программное обеспечение контроля запускаемого на исполнение ПО («белый» список).

14. Используйте систему удаленной загрузки терминальных мастер-ключей (Remote KeyManagement).

15. Используйте промышленную операционную систему, поддерживаемую производителем.

16. Используйте прикладное ПО, сертифицированное по стандарту PA-DSS.

17. Банкоматное программное обеспечение должно устанавливаться с инсталляционных дисков по технологии и регламентам, рекомендованным поставщиками банкоматов и ПО.

18. Используйте EPP клавиатуру, сертифицированную по стандарту PCI PTS.

19. Используйте режим ЕРР клавиатуры, соответствующий стандарту PCI PTS (защищенный ввод криптографических ключей).

20. Для неконсольного административного доступа к банкомату используйте программное обеспечение, обеспечивающее стойкое шифрование аутентификационных данных.

21. Заблокируйте или отключите не используемые для обслуживания порты ввода/вывода.