КОНТРОЛЬНЫЙ СПИСОК ДИРЕКТОРА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: ЗАЩИТА КЛИЕНТОВ
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
КИБЕРБЕЗОПАСНОСТЬ ДЛЯ НЕБОЛЬШИХ ОРГАНИЗАЦИЙ
КОНТРОЛЬНЫЙ СПИСОК ДИРЕКТОРА ПО
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ:
ЗАЩИТА КЛИЕНТОВ
КОНСУЛЬТИРОВАНИЕ КЛИЕНТОВ И СОТРУДНИКОВ ПО ВОПРОСАМ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
o Предоставьте сотрудникам и клиентам следующие • Соблюдайте осторожность в отношении того, где и
личные рекомендации, которые помогут обеспечить как вы подключаетесь к Интернету для связи с банком
защиту их данных: или другого обмена конфиденциальной личной
информацией.
• Используйте надежные пароли на всех личных и
профессиональных устройствах и рассмотрите • Не открывайте вложения из электронных писем
возможность использования диспетчера паролей. сразу после получения и не переходите по ссылкам
в незапрошенных или подозрительных электронных
• Регулярно обновляйте операционные системы, другое письмах. Остановитесь. Подумайте. Нажмите.
ПО и приложения на своих компьютерах и мобильных
устройствах. • С подозрением относитесь к ситуациям, когда кто-то
неожиданно обращается к вам через Интернет или по
• Установите антивирусное, антивредоносное ПО и телефону и запрашивает личную информацию. Даже
защиту от программ-вымогателей для предотвращения, при общении с известными адресами постарайтесь
обнаружения и удаления вредоносных программ. свести к минимуму обмен личной информацией по
• Используйте брандмауэр для предотвращения электронной почте.
несанкционированного доступа к компьютеру. • Помните, что ни одно финансовое учреждение не
• Используйте продукты безопасности только от надежных будет отправлять электронные письма или звонить и
компаний. Ознакомьтесь с отзывами о компьютерах и запрашивать конфиденциальную информацию, которая
потребительскими изданиями, а также рассмотрите у них уже имеется.
возможность консультации с производителем вашего • Предполагайте, что запрос на получение информации
компьютера или операционной системы. из банка, где вы никогда не открывали счет, является
• Соблюдайте осторожность при работе с мошенничеством.
конфиденциальной информацией. Не отправляйте • Перед предоставлением личной информации проверяйте
пароли от банковского счета или другие достоверность подозрительного электронного письма
конфиденциальные данные финансового счета по или всплывающего окна. Обратите особое внимание на
незашифрованной электронной почте. адрес электронной почты.
УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ
o Требуйте, чтобы для входа в ваши сервисы o Предлагайте, а лучше — требуйте от клиентов
клиенты использовали надежные идентификаторы прохождения двухфакторной аутентификации при
пользователей и пароли. Посоветуйте им не входе в ваши сервисы.
использовать пароль, который уже используется
для других учетных записей. o Регулярно проверяйте учетные записи
пользователей на наличие признаков
o Для проверки реальных клиентов и снижения мошенничества.
возможности мошенничества используйте
мгновенную верификацию, проверку в реальном
времени, пробную проверку вклада, проверку
личности и/или ответы на личные вопросы.
4_CISO Customers_Checklist_RU.indd 1 1/7/21 4:22 PM
ЗАЩИТА ДАННЫХ
o Подумайте о том, какие данные клиентов o Внедрите политики безопасности данных, чтобы
организация должна собирать для предоставления четко обозначить разрешенные и запрещенные
своих услуг, и соблюдайте осторожность при сборе методы передачи данных и укажите допустимые
дополнительных данных клиентов. процедуры для всех сотрудников при работе с
данными клиентов. Убедитесь, что эти политики
o Разработайте и распространите политики хранения задокументированы, доведены до сведения всех
данных. Ликвидируйте данные клиентов, которые сотрудников и периодически пересматриваются и
больше не будут использоваться. обновляются.
o Обеспечьте шифрование передаваемых и
неиспользуемых данных клиентов.
ЗАЩИТА ОБЩЕДОСТУПНЫХ ВЕБ-ПРИЛОЖЕНИЙ
o Обеспечьте внедрение протокола HTTPS в o Рассмотрите возможность шифрования
общедоступных веб-приложениях организации и информации, хранящейся в используемых файлах
перенаправляйте весь HTTP-трафик по протоколу «cookie».
HTTPS.
o Рассмотрите возможность найма службы проверки
o Используйте политику безопасности контента на на проникновение для оценки безопасности
ваших веб-сайтах. общедоступных веб-приложений не реже одного
раза в год.
o Активируйте закрепление публичного ключа на
ваших веб-сайтах.
o Убедитесь, что в общедоступных веб-приложениях
не используются файлы «cookie» для хранения
особо важной или критичной информации о
клиентах (например, паролей), и что эти файлы
имеют даты истечения срока действия (лучше
раньше, чем позже).
ОБУЧЕНИЕ СОТРУДНИКОВ
o Обучайте своих сотрудников подотчетности и • сообщать о любых потенциальных внутренних или
стратегиям минимизации человеческих ошибок, внешних инцидентах в сфере безопасности, угрозах
которые могут привести к раскрытию данных или неправильном обращении с данными клиентов
клиентов. Порекомендуйте им: техническим специалистам организации и/или
высшему руководству.
• свести к минимуму доступ к данным клиентов и их
передачу, получая его только для выполнения своих o Убедитесь, что ваши сотрудники ознакомились с
должностных обязанностей; документами и подписали их, подтвердив согласие
• придерживаться строгих методов обеспечения с политиками безопасности и защиты данных
безопасности на всех устройствах и учетных записях, организации.
которые работают с данными клиентов, посредством
использования надежных паролей, двухфакторной
аутентификации, обновления ПО, и воздерживаться от
перехода по подозрительным ссылкам;
4_CISO Customers_Checklist_RU.indd 2 1/7/21 4:22 PM
УВЕДОМЛЕНИЕ КЛИЕНТОВ
o Обеспечьте понимание нормативных требований • Напоминание «сохранять бдительность» в течение
организации в отношении нарушений безопасности следующих 24–12 месяцев.
данных клиентов, чтобы гарантировать готовность к • Рекомендация о необходимости незамедлительного
их соблюдению в случае подобных инцидентов. информирования о подозрениях в краже персональных
данных.
o Когда ваша организация узнает о
• Общее описание мер, предпринятых финансовым
несанкционированном доступе к конфиденциальной учреждением для защиты информации от дальнейшего
информации клиентов, необходимо срочно несанкционированного доступа или использования.
провести расследование и определить вероятность
• Контактная информация бюро кредитных историй.
того, что информация была или будет незаконно
использоваться. Используйте передовые способы • Любая другая информация, которая требуется
уведомления и незамедлительно сообщите в соответствии с соблюдаемыми организацией
пострадавшим клиентам следующие данные: нормативными требованиями.
• Общее описание происшествия и информацию, к
которой был получен несанкционированный доступ.
• Номер телефона для получения дополнительной
информации и помощи.
CarnegieEndowment.org
4_CISO Customers_Checklist_RU.indd 3 1/7/21 4:23 PM
Вы также можете почитать
