Upload
truongxuyen
View
515
Download
30
Embed Size (px)
Citation preview
ООО «РУСОФТ»
Рекомендации
по обеспечению безопасности банкоматов
© ООО "РУСОФТ". Москва, 2013
Авторские права на эту работу принадлежат "РУСОФТ". Содержание этого документа не может полностью или частично
копироваться, использоваться или распространяться без предварительного письменного разрешения "РУСОФТ".
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 2/33
Лист регистрации изменений
Дата Версия
документа Описание изменений
19.06.2009 1.0 Составление документа
11.09.2011 1.1 Изменено описание функциональных модулей:
4.8 Безопасность файловой системы
4.9 Установка разрешений на ключи реестра
04.04.2013 1.2 Изменена структура документа.
Изменено описание функциональных модулей:
3.7 Автоматическое обновление системы
3.9 Политики аудита
3.14 Политики учетных записей
23.05.2013 1.3 Изменено описание функциональных модулей:
3.3 Центр обеспечения безопасности Windows
3.9 Политики аудита
3.12 Безопасность файловой системы
3.13 Установки разрешений на ключи реестра
13.09.2013 1.4 Изменено описание функциональных модулей:
3.4 Настройка брандмауэра
20.12.2013 1.5 Изменено название документа
Изменено описание функциональных модулей:
2.1 Требования к аппаратному обеспечению
2.2 Требования к программному обеспечению
24.12.2013 1.6 Изменено название документа
Изменено описание функциональных модулей:
1. Общие положения
2. Требования по обеспечению информационной безопасности ОС
Windows XP
Добавлены функциональные модули:
5. Обеспечение физической безопасности банкоматов
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 3/33
1. Общие положения ........................................................................................................................ 4
2. Требования по обеспечению информационной безопасности ОС Windows XP ......... 4
2.1. Требования к аппаратному обеспечению ........................................................... 4
2.2. Требования к программному обеспечению ........................................................ 4
2.3. Организационные мероприятия .............................................................................. 5
2.4. Сетевые параметры ....................................................................................................... 5
2.5. Центр обеспечения безопасности Windows ....................................................... 5
2.6. Настройка брандмауэра .............................................................................................. 6
2.7. Настройка параметров сетевого окружения ..................................................... 9
2.8. Отключение доступа по нулевой сессии и гостевого логина .................. 11
2.9. Автоматическое обновление системы ................................................................ 12
2.10. Настройка параметров системных журналов ОС .......................................... 13
2.11. Политики аудита ........................................................................................................... 14
2.12. Установка аудита на ключи реестра ................................................................... 15
2.13. Управление пользователями и группами .......................................................... 16
2.14. Безопасность файловой системы .......................................................................... 18
2.15. Установка разрешений на ключи реестра ........................................................ 21
2.16. Политики учетных записей ...................................................................................... 23
2.16.1. Политика паролей ............................................................................................. 23
2.16.2. Политика блокировки учетных записей ................................................. 24
2.17. Параметры безопасности .......................................................................................... 25
2.18. Настройка параметров автоматического входа в систему ....................... 25
2.19. Используемые службы ............................................................................................... 27
2.20. Назначение прав пользователя ........................................................................... 29
3. Конфигурирование BIOS SETUP банкомата ....................................................................... 31
4. Установка и конфигурирование модуля «СОФИТ-КОМ ЛАЙТ» ..................................... 32
5. Обеспечение физической безопасности банкоматов ....................................................... 32
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 4/33
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие Рекомендации определяют состав и порядок действий в части терминального
оборудования (банкоматов, управляемых программным обеспечением «Sofit ATM WIN» и «Sofit
CASH-IN») по их размещению, установке, а также настройке политик безопасности ОС Windows XP и
BIOS SETUP в целях обеспечения соблюдения требований ЦБ РФ и законодательства РФ в области
информационной безопасности.
Работы, описанные в данной инструкции, проводятся квалифицированным персоналом
(сотрудником службы безопасности, техником и системным администратором).
Сотрудник службы безопасности осцществляет следующие функции:
• контролирует состояние помещения требованиям противопожарной безопасности;
• организует работы по осуществлению видеонаблюдения и сигнализации;
• организует ввод криптографических ключей;
• организует работы по программированию кодового замка и ключей от сейфовой части.
Техник осуществляет следующие функции:
• выполняет работы по проведению необходимых коммуникаций, их подключению и
настройке;
• организует работы по физическому размещению и укреплению банкоматов.
Администратор рабочей станции осуществляет следующие функции:
• конфигурирует BIOS SETUP;
• определяет и устанавливает пароли администратора и пользователя, дающие возможность
доступа к программно-аппаратным средствам банкомата;
• устанавливает и настраивает ПО «Sofit ATM WIN» и «Sofit CASH-IN», а также очередные
версии и обновления;
• контролирует текущее состояние информационной безопасности на банкоматах.
2. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ОС WINDOWS XP
В данном разделе кратко сформулированы общие требования безопасности, которые должны быть
выполнены в результате конфигурирования ОС Windows XP и BIOS SETUP. Основной задачей
описанных мер является защита ПО банкомата и используемых им данных от несанкционированного
доступа (чтения данных, модификации ПО).
2.1. Требования к аппаратному обеспечению
В соответствии с эксплуатационными требованиями ПО банкомата:
1. Банкомат должен управляться стандартным РС-совместимым компьютером, имеющим
конфигурацию не ниже P4 2.4 CPU; 512 M RAM; 40 GB HDD.
Актуальные минимальные аппаратные требования к АТМ размещены на сайте www.rucard.net в
разделе «Программное обеспечение для партнеров/Для терминальных сетей/Банкоматы (АТМ)».
2. Банкомат должен быть подключен к шине гарантированного электропитания или обеспечен
автономным источником бесперебойного питания.
2.2. Требования к программному обеспечению
Для инсталляции ОС должна быть использована официальная версия операционной системы MS
Windows XP.
На всех дисках управляющего компьютера, должна использоваться только файловая система
NTFS. При этом операционная система должна инсталлироваться только с использованием NTFS на
«чистую» машину, не содержащую на жестком диске сторонних данных или программ, в том числе
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 5/33
альтернативных Windows XP операционных систем (использование других операционных систем
категорически запрещено).
Кроме ОС на управляющем компьютере банкомата должны быть инсталлированы:
• пакет обновления № 2 для MS Windows XP (Service Pack 2);
• программное обеспечение «Sofit ATM Win», «Sofit CASH-IN» или «OpenVPN client»
(инсталлируется пользователем с правами администратора);
• пакет антивирусного ПО с последним обновлением антивирусной базы (инсталлируется
специалистами банка).
На управляющем компьютере банкомата запрещается установка программного обеспечения,
отличного от указанного выше. В том числе запрещается установка:
• программного обеспечения, такого, как Internet Information Server, Personal Web Server,
Personal Transaction Server и т.д.;
• офисного программного обеспечения (Microsoft Office и др.);
• игровых программ (в том числе входящих в пакет операционной системы);
• графических оболочек, типа Norton Commander.
На управляющем компьютере должен быть включен и настроен Windows Firewall или
альтернативный брандмауэр, в соответствии с политикой информационной безопасности банка.
2.3. Организационные мероприятия
Организационные мероприятия включают в себя следующие действия:
• конфигурирование программы “SETUP” управляющего компьютера (установка пароля и
др.);
• закрытие системного блока штатными средствами (встроенный замок) и его опечатывание
защитной номерной наклейкой для исключения возможности негласного вскрытия;
• установка ПО;
• настройка политики безопасности.
Так же должно быть обеспечено хранение электронной копии журнальной ленты и технического
журнала (*.PRJ, *.ERL) в течение 180 дней.
2.4. Сетевые параметры
Для обеспечения работы банкомата в сети должен использоваться сетевой протокол TCP/IP.
2.5. Центр обеспечения безопасности Windows
При проведении настроек ОС Windows XP и BIOS каждый пользователь рабочей станции должен
иметь свою уникальную учетную запись.
Первое, что необходимо сделать – это задать пароль пользователю «Administrator»! Так же
необходимо убедиться, что в системе отсутствуют учетные записи с пустым паролем.
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Выполните «Start» => «Settings» => «Control Panel» => «Security Center» («Пуск» => «Настройка»
=> «Панель управления» => «Центр обеспечения безопасности»). В окне «Windows Security Center»
(«Центр обеспечения безопасности Windows») выберите следующие установки: «Firewall» — «ON»,
«Automatic Updates» — «OFF», «Virus Protection» — «NOT FOUND» (см. рис. ниже).
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 6/33
Рисунок 1 - Окно «Windows Security Center» («Центр обеспечения безопасности Windows»)
В этом же окне «Windows Security Center» («Центр обеспечения безопасности Windows») в разделе
«Resources» («Ресурсы») выберите «Change the way Security Center alerts me» («Изменить способ
оповещений Центром обеспечения безопасности») и снимите все три «галочки» в окне «Alert Settings»
(«Способ оповещения»).
Рисунок 2 - Окно «Alert Settings» («Способ оповещения»)
2.6. Настройка брандмауэра
Для настройки брандмауэра войдите в «Start» => «Settings» => «Control Panel», выберите и
загрузите системную утилиту Windows «Firewall». В появившемся окне, на закладке «General»
включите переключатель «On (recommended)».
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 7/33
Рисунок 3 - Включение брандмауэра
Настройками Windows Firewall необходимо обеспечить двухсторонний обмен данными только
между сервисом RCOMM (SofitCom Lite) банкомата и сервером SofitCom процессингового центра.
В случае подключения банкомата к процессинговому центру по технологии OpenVPN
необходимо:
• добавить в исключения брандмауэра порт 7777 TCP, как показано на рисунке 4;
• отключить брандмауэр на сетевом интерфейсе, появившемся после установки клиента
OpenVPN (обычно «Подключение по локальной сети 2», адаптер TAP-Win32 Adapter V9).
Сделать это можно убрав соответствующую галочку на вкладке «Дополнительно»
брандмауэра.
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 8/33
Рисунок 4 – Настройки исключений
Весь остальной трафик должен быть заблокирован.
По умолчанию ведение журналов отключено. Нужно включить ведение журналов.
Рисунок 5 - Дополнительные настройки брандмауэра
Для этого необходимо перейти на закладку «Advanced» и в группе «Security Logging» нажать
кнопку «Settings».
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 9/33
Рисунок 6 - Ведение журналов
В появившемся окне включите переключатели «Log dropped packets» («Записывать
пропущенные пакеты») и «Log successful connections» («Записывать успешные подключения»). Нажмите
кнопку «OК».
В окне «Windows Firewall» в разделе «ICMP» нажмите кнопку «Settings…». В появившемся окне
«ICMP Settings» разрешите запрос входящего эха, поставив галочку напротив «Allow incoming echo
request».
Рисунок 7 - Окно «ICMP Settings»
2.7. Настройка параметров сетевого окружения
В настройках параметров подключения к локальной сети необходимо отключить все службы
кроме протокола Интернета (TCP/IP).
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 10/33
Рисунок 8 – Параметры сетевого окружения
Активировать фильтрацию трафика, ограничить используемые порты и добавить порт, по
которому идет соединение с терминальным контроллером в разделы «TCP-порты» и «UDP- порты».
Рисунок 9 – Фильтрация TCP/IP трафика
Отключить NetBIOS через TCP/IP.
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 11/33
Рисунок 10 – Окно дополнительных параметров TCP/IP
2.8. Отключение доступа по нулевой сессии и гостевого логина
В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA установите
значение параметра RestrictAnonymous = 2 (тип параметра – REG_DWORD)
Рисунок 11 – Отключение гостевого логина
В разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 12/33
установите значение параметра RestrictNullSessAccess = 1 (тип параметра – REG_DWORD)
Рисунок 12 – Отключение доступа по нулевой сессии
2.9. Автоматическое обновление системы
Обновление системы необходимо производить в ручном режиме по мере выхода критических
обновлений ОС Windows XP. Для запрета автоматического обновления войдите в «Start» => «Settings»
=> «Control Panel», выберите и загрузите системную утилиту «Automatic Updates».
Рисунок 13 - Запрет автоматического обновления
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 13/33
В появившемся окне, на закладке «Automatic Updates» установите переключатель в положение
«Turn off Automatic Updates» и нажмите «Ok».
2.10. Настройка параметров системных журналов ОС
Для настройки параметров системных журналов откройте «Start» => «Settings» => «Control
Panel», выберите и откройте папку «Administrative Tools» и загрузите системную утилиту «Event
Viewer».
Рисунок 14 - Установка параметров системных журналов
В системе ведется три основных системных журнала:
• Application — журнал событий работы приложений;
• System — журнал системных событий;
• Security — журнал событий системы безопасности.
Для установки параметров журналов, выберите журнал и нажмите правую клавишу мыши. В
появившемся выпадающем меню выберите пункт «Properties».
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 14/33
Рисунок 15 - Настройка свойств журнала
В появившемся окне необходимо включить параметр «Overwrite events older then … days» и
установить значение «31», а также изменить параметр «Maximum log size» на «100032» Kb. Остальные
параметры оставить по умолчанию.
Данные действия повторите для всех журналов.
2.11. Политики аудита
По умолчанию весь аудит отключен. Необходимо включить аудит в соответствии с
нижеприведенной таблицей. Для этого в дереве параметров безопасности выберите «Security Settings»
=> «Local Policies» => «Audit Policy».
Политика аудита Success Failure
Audit account logon events
(Аудит событий входа в систему) Да Да
Audit account management
(Аудит управления учетными записями) Да Да
Audit directory service access
(Аудит доступа к службе каталогов) Нет Да
Audit logon events
(Аудит входа в систему) Да Да
Audit objects access
(Аудит доступа к объектам) Нет Да
Audit policy change
(Аудит изменения политики) Да Да
Audit privilege use
(Аудит использования привилегий) Нет Да
Audit process tracking
(Аудит отслеживания процессов) Нет Нет
Audit system events
(Аудит системных событий) Да Да
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 15/33
Рисунок 16 - Настройка политики аудита
2.12. Установка аудита на ключи реестра
Далее установите аудит на ключ реестра «HKEY_LOCAL_MACHINE» для всех пользователей.
Для этого необходимо запустить редактор системного реестра, выбрать ключ
«HKEY_LOCAL_MACHINE», нажать правую клавишу мыши и в появившемся всплывающем меню
выбрать пункт «Permissions».
В окне «Permissions for HKEY_LOCAL_MACHINE» нажать кнопку «Advanced».
В окне «Advanced Security Settings for HKEY_LOCAL_MACHINE» перейдите на закладку «Auditing»
и нажмите кнопку «Add».
Рисунок 17 - Установка аудита
В появившемся окне нажмите кнопку «Advanced», а затем «Find Now».
После того как заполнится список встроенных учетных записей участников безопасности в
нижней части окна, выберите в нем «Everyone» и нажмите «OК», а затем еще раз «OК».
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 16/33
Рисунок 18 - Выбор пользователей или групп
В появившемся окне «Auditing for HKEY_LOCAL_MACHINE» необходимо проставить флажки
«Successful» и «Failed» напротив значения «Full Control» и нажать кнопку «OК».
Рисунок 19 - Запись аудита
2.13. Управление пользователями и группами
Для работы с пользователями системы откройте «Start» => «Settings» => «Control Panel»,
выберите и откройте папку «Administrative Tools» и загрузите «Computer Management».
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 17/33
После завершения установки всего ПО, необходимого для работы банкомата (заметим, что
установку ПО «Sofit ATM WIN» и «Sofit CASH-IN» следует производить, входя в систему с правами
администратора), удалите из системы всех пользователей и все группы пользователей кроме встроенных
групп (к встроенным группам относятся «Backup Operators», «Network Configuration Operators», «Power
Users», «Remote Desktop Users» и «Replicator»), которые не могут быть удалены, оставив только одного
пользователя «Administrator» из группы «Administrators» и группу «Users». При этом свойства
пользователя «Full Name» и «Description» не должны быть заполнены. В последующем произведите
переименование пользователя «Administrator» на любое другое произвольное (в нашем случае —
«Ivanov»).
Удаление пользователя «Guest» системой запрещено, поэтому необходимо запретить этому
пользователю доступ в систему. Для этого необходимо установить флажок на свойстве «Account is
disabled».
Рисунок 20 - Работа с пользователями системы
Далее необходимо создать нового пользователя в группе «Users», от имени которого будет
загружаться ПО банкомата. Для этого выберите «System Tools» => «Local Users and Groups» => «Users»
и нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «New User».
В появившемся диалоговом окне в поле «User Name» («Наименование нового пользователя»)
укажите «ATM» и введите «Password» («Пароль»), а остальные поля оставьте пустыми.
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 18/33
Рисунок 21 - Создание нового пользователя
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Внимание!
После создания пользователя необходимо войти под его именем для создания профайла
пользователя и внести изменения в региональные настройки.
2.14. Безопасность файловой системы
Для нормального функционирования ПО банкомата необходимо установить разрешения
(«Permissions») на системные файлы и каталоги в соответствии с нижеприведенной таблицей.
Каталог (файл) Разрешения
С:\ и все файлы, находящиеся в
корневом каталоге
Administrators: Full Control
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в
систему: установить разрешения согласно Рисунку 22
С:\ и все подкаталоги Administrators: Full Control
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в
систему: установить разрешения согласно Рисунку 23
%SYSTEMROOT% и все подкаталоги Administrators: Full Control
CREATOR OWNER: Special Permissions
Пользователь, осуществляющий автоматический вход в
систему: Read & Execute
\Document and Settings\Username и все
подкаталоги
Administrators: Full Control
Username: Full Control
\Boot.ini
\Ntdetect.com
\Ntldr
Administrators: Full Control
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 19/33
Рисунок 22 - Окно «Permission Entry for WINOS (C:)»
Рисунок 23 - Окно «Permission Entry for WINOS (C:)»
Примечание!
Помечаются галочкой только те поля, которые видны на Рисунке 22 и Рисунке 23. Остальные
поля остаются пустыми.
На компьютерах, используемых в банкоматах, должны быть дополнительно установлены
следующие разрешения («Permissions») для пользователя, осуществляющего автоматический вход в
систему (в нашем случае — пользователь с именем «ATM»).
Банкоматы NCR:
Каталог Разрешения
C:\Program Files\NCR APTRA и все Пользователь, осуществляющий автоматический вход
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 20/33
подкаталоги в систему: Read & Execute + Write
C:\Program Files\Common Files\NCR и
все подкаталоги
Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
C:\ssds\ и все подкаталоги Пользователь, осуществляющий автоматический вход в
систему: Full Control
C:\40COLFIL Пользователь, осуществляющий автоматический вход
в систему: Read
Банкоматы DIEBOLD:
Каталог Разрешения
C:\Diebold Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
C:\Program Files\Diebold\ и все
подкаталоги
Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
C:\Program Files\Lanit\ и все
подкаталоги
Пользователь, осуществляющий автоматический вход
в систему: Read & Execute + Write
Банкоматы WINCOR NIXDORF:
Каталог Разрешения
C:\CSCW32 и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\FITPCI и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\INSTALL и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\PACKAGE и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\PARAC и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\PROEINFO и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\PROPXD и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\PROSOP и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\PROTOPAS и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\PROVIEW и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
C:\WOSASSP и все подкаталоги Пользователь, осуществляющий автоматический
вход в систему: Read & Execute + Write
Для установки разрешений к файлам необходимо загрузить Windows Explorer (Проводник). В окне
проводника выберете в дереве каталогов каталог (например, «SSDS») и нажмите правую клавишу мыши.
В появившемся всплывающем меню выберите пункт «Properties». В окне перейдите на закладку
«Security».
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 21/33
Рисунок 24 - Настройка безопасности для каталога Внимание!
Не следует применять опцию «Replace permissions entries on all child objects with entries shown
here that apply to child objects». Права должны добавляться одно «сверху» другого.
2.15. Установка разрешений на ключи реестра
Для нормального функционирования ПО банкомата пользователю, с именем которого будет
производиться автоматический вход в систему и последующий автоматический запуск ПО (в нашем
случае — это пользователь с именем «ATM»), необходимо дать разрешения на редактирование ключей
реестра, в которых располагаются параметры ПО банкомата:
Банкоматы DIEBOLD:
Ключ реестра Разрешения
HKEY_LOCAL_MACHINE\Software\Lanit и все подразделы Full Control
HKEY_LOCAL_MACHINE\Software\Diebold и все подразделы Full Control
HKEY_LOCAL_MACHINE\Software\Gemplus и все подразделы Full Control
HKEY_LOCAL_MACHINE\Software\MayFair Software и все подразделы Full Control
HKEY_LOCAL_MACHINE\Software\MayFairSoftware и все подразделы Full Control
HKEY_LOCAL_MACHINE\Software\Nexus и все подразделы Full Control
HKEY_LOCAL_MACHINE\Software\Sygate Technologies, Inc и все подразделы Full Control
HKEY_LOCAL_MACHINE\Software\XFS и все подразделы Full Control
Банкоматы Wincor Nixdorf:
Ключ реестра Разрешения
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT Full Control
\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT Full Control
HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000-
000000000046}\ProxyStubClsid32\(Default) Read Access
HKEY_CURRENT_USER\Control Panel\International Read Access
HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы Full Control
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows
NT\CurrentVersion\DRIVERS32 Read Access
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32 Read Access
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus Read Access
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 22/33
sub-keys)
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File
Execute Options Read Access
Банкоматы NCR:
Ключ реестра Разреше-
ния
\HKEY_LOCAL_MACHINE\SOFTWARE\NCR\SSDS Full
Control
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wosa/XFS_ROOT Full
Control
\HKEY_CLASSES_ROOT\WOSA/XFS_ROOT Full
Control
HKEY_CLASSES_ROOT \Interface\{00000134-0000-0000-C000-
000000000046}\ProxyStubClsid32\(Default)
Read
Access
HKEY_CURRENT_USER\Control Panel\International
Read
Access
HKEY_CLASSES_ROOT\WOSA/XFS_ROOT и все подразделы Full
Control
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\DRIVERS32
Read
Access
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\MCI32
Read
Access
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Uninstall (plus sub-
keys)
Read
Access
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execute
Options
Read
Access
HKEY_LOCAL_MACHINE\Software\NCR и все подразделы Full
Control
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ActiveComputer
Name (plus all sub keys)
Read
Access
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation
Read
Access
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggrea
gte Installer
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\Aggrea
gte Installer Wizard
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Arbitration
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Platform
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Platform API
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
Platform Localisation
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
PRS
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\NCR
UEH
Full
Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\WosaC
trl
Full
Control
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 23/33
Для этого запустите редактор системного реестра. В открывшемся окне приложения найдите и
выберите каждый из указанных ключей, например: HKEY_LOCAL_MACHINE\SOFTWARE\SSDS.
Нажмите правую клавишу мыши, в появившемся всплывающем меню выберите пункт «Permissions».
Рисунок 25 - Установка разрешений на ключи реестра
В появившемся окне необходимо добавить в список пользователя, который указан в параметрах
автоматического входа в систему (в нашем случае — это пользователь с именем «ATM»).
Для этого нажмите кнопку «Add», в открывшемся диалоговом окне нажмите кнопку «Advanced», в
появившемся окне нажмите кнопку «Find Now». После того как заполнится список в нижней части окна,
выберите в нем необходимого пользователя и нажмите «OK». Затем еще раз нажмите «OK». Выбранный
пользователь появится в списке «Group or user name». Выберите этого пользователя и установите
флажок «Allow» напротив «Full Control» в списке разрешений.
Внимание!
Для банкоматов серии Nautilus установка разрешений на ключи реестра не требуется.
Внимание!
Не следует применять опцию «Replace permissions entries on all child objects with entries shown
here that apply to child objects». Права должны добавляться одно «сверху» другого. Редактирование
реестра следует производить с предельным вниманием и не изменять параметры, не предусмотренные
данным описанием.
2.16. Политики учетных записей
Для настройки политики учетных записей откройте «Start» => «Settings» => «Control Panel»,
выберите и откройте папку «Administrative Tools» и загрузите «Local Security Policy».
2.16.1. Политика паролей
Необходимо установить следующие параметры политики паролей. Для этого в дереве параметров
безопасности выберите «Security Settings» => «Account Policies» = > «Password Policy».
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 24/33
Политика паролей Значение
Enforce password history
(Требовать неповторяемости паролей)
24 passwords remembered
(Помнить 24 пароля)
Maximum password age
(Максимальный срок действия)
0 (Password will not expire)
(Пароль никогда не истекает)
Minimum password age
(Минимальный срок действия)
0 days (Password can't be changed
immediately)
(Разрешить смену по истечении 1 дня )
Minimum password length
(Минимальная длина пароля)
12 characters (Password must be at least)
(По крайней мере 12 символов)
Password must meet complexity requirements
(Пароль должен отвечать требованиям сложности)
Enable (Разрешено)
Store Password using Reversible encryption (хранение
пароля с использованием обратимого шифрования)
Disabled (Запрещено)
Рисунок 26 - Настройка политики паролей
2.16.2. Политика блокировки учетных записей
Необходимо указать следующие параметры политики блокировки учетных записей. Для этого в
дереве параметров безопасности выберите «Security Settings» => «Account Policies» => «Account Lockout
Policy».
Политика блокировки учетных записей Значение
Account lockout duration
(Блокировка учетной записи на)
30 minutes
(30 минут)
Account lockout threshold
(Пороговое значение блокировки)
5 invalid logon attempts
(5 неудачных попыток)
Reset account lockout counter after
(Сброс счетчика блокировки через)
30 minutes
(30 минут)
Рисунок 27 - Настройка политики блокировки учетных записей
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 25/33
2.17. Параметры безопасности
Назначение параметров безопасности необходимо производить в соответствии с нижеприведенной
таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies»
=> «Security Options».
Политика безопасности Значение
Accounts: Administrator account status
(Учетные записи: Состояние учетной записи «Администратор»)
Enabled
(Разрешено)
Accounts: Guest account status
(Учетные записи: Состояние учетной записи «Гость»)
Disabled
(Запрещено)
Accounts: Limit local account use of blank passwords to console logon only
(Учетные записи: ограничить использование пустых паролей только для
консольного входа)
Enabled
(Разрешено)
Audit: Shut down system immediately if unable to log security audits
(Аудит: немедленное отключение системы, если невозможно внести в
журнал записи об аудите безопасности)
Disabled
(Запрещено)
Interactive logon: Do not display last user name
(Интерактивный вход: не отображать последнего имени пользователя)
Enabled
(Разрешено)
Interactive logon: Number of previous logons to cache
(Интерактивный вход: количество предыдущих подключений к кэшу)
1 logons
(1 подключение)
Network access: Sharing and security model for local accounts
(Сетевой доступ: модель совместного доступа и безопасности для
локальных учетных записей)
Classic – local users
authenticate as themselves
(Обычная - локальные
пользователи
удостоверяются как они
сами)
Shutdown: Allow system to be shut down without having to log on
(Завершение работы: позволять системе быть отключенной без входа в
систему)
Disabled (Отключено)
Примечание!
Значения параметров политики безопасности, не вошедших в таблицу, остаются по
умолчанию.
2.18. Настройка параметров автоматического входа в систему
Для настройки параметров автоматического входа в систему необходимо запустить редактор
системного реестра, для чего нажмите кнопку «Start», выберите команду «Run» в стартовом меню, в
поле ввода наберите regedit.exe и нажмите «ОK».
Рисунок 28 - Запуск редактора системного реестра
В появившемся окне выберите последовательно ключ реестра HKEY_LOCAL_MACHINE/SOFT-
WARE/Microsoft/WindowsNT/CurrentVersion/Winlogon.
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 26/33
Рисунок 29 - Окно Редактора системного реестра
Затем добавьте или отредактируйте следующие параметры:
1) AutoAdminLogon: (String): 1
Рисунок 30 - Редактирование параметра «AutoAdminLogon»
Для изменения параметра «AutoAdminLogon» необходимо выбрать его в списке ключей и нажать
правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода
«Value data» ввести значение «1».
Если данного параметра в списке не найдено, то его необходимо создать.
2) DefaultUserName: (String): < имя пользователя >
Рисунок 31 - Редактирование параметра «DefaultUserName»
Для изменения параметра «DefaultUserName» необходимо выбрать его в списке ключей и нажать
правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 27/33
«Value data» ввести имя пользователя, от имени которого будет загружаться ПО банкомата (в нашем
случае — это пользователь с именем «АТМ»).
Если данного параметра в списке не найдено, то его необходимо создать.
3) DefaultPassword: (String): < пароль пользователя >
Рисунок 29 - Редактирование параметра «DefaultPassword»
Для изменения параметра «DefaultPassword» необходимо выбрать его в списке ключей и нажать
правую клавишу мыши. В появившемся всплывающем меню выбрать пункт «Modify». В поле ввода
«Value data» ввести пароль, назначенный пользователю.
Внимание!
Должны использоваться сложные пароли длиной не менее 12 символов.
Если данного параметра в списке не найдено, то его необходимо создать.
Внимание!
После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы
изменения вступили в силу.
2.19. Используемые службы
Необходимо настроить правила работы служб в соответствии с нижеприведенной таблицей:
Name Startup
Type
Alerter Disabled
Application Layer Gateway Service Disabled
Application Management Manual
Automatic Updates Disabled
Background Intelligent Transfer Service Disabled
ClipBook Disabled
COM+ Event System Manual
COM+ System Application Manual
Computer Browser Disabled
Cryptographic Services Disabled
DCOM Server Process Launcher Automatic
DHCP Client Disabled
Distributed Link Tracking Client Disabled
Distributed Transaction Coordinator Disabled
DNS Client Disabled
Error Reporting Service Disabled
Event Log Automatic
Fast User Switching Compatibility Disabled
Help and Support Disabled
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 28/33
HTTP SSL Manual
Human Interface Device Access Disabled
IMAPI CD-Burning COM Service Disabled
Indexing Service Manual
IPSEC Services Manual
Logical Disk Manager Automatic
Logical Disk Manager Administrative Service Manual
Messenger Disabled
MS Software Shadow Copy Provider Manual
Net Logon Manual
NetMeeting Remote Desktop Sharing Disabled
Network Connections Manual
Network DDE Disabled
Network DDE DSDM Disabled
Network Location Awareness (NLA) Disabled
Network Provisioning Service Manual
NT LM Security Support Provider Manual
Performance Logs and Alerts Manual
Plug and Play Automatic
Portable Media Serial Number Service Manual
Print Spooler Automatic
Protected Storage Automatic
QoS RSVP Manual
RouterConnect Automatic
Remote Access Auto Connection Manager Manual
Remote Access Connection Manager Manual
Remote Desktop Help Session Manager Manual
Remote Procedure Call (RPC) Automatic
Remote Procedure Call (RPC) Locator Manual
Remote Registry Disabled
Removable Storage Manual
Routing and Remote Access Disabled
Secondary Logon Disabled
Security Accounts Manager Automatic
Security Center Automatic
Server Disabled
Shell Hardware Detection Disabled
Smart Card Manual
SNMP Service Disabled
SNMP Trap Service Disabled
SSDP Discovery Service Manual
System Event Notification Automatic
System Restore Service Automatic
Task Scheduler Disabled
TCP/IP NetBIOS Helper Automatic
Telephony Manual
Telnet Disabled
Terminal Services Disabled
Themes Disabled
Uninterruptible Power Supply Manual
Universal Plug and Play Device Host Manual
Volume Shadow Copy Manual
WebClient Disabled
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 29/33
Windows Audio Automatic
Windows Firewall/Internet Connection Sharing (ICS) Automatic
Windows Image Acquisition (WIA) Manual
Windows Installer Manual
Windows Management Instrumentation Automatic
Windows Management Instrumentation Driver
Extensions Manual
Windows Time Disabled
Wireless Zero Configuration Disabled
WMI Performance Adapter Manual
Workstation Automatic
Примечание!
Данный набор сервисов должен быть после установки и конфигурирования ОС. После
установки ПО банкомата в системе появятся службы, необходимые для его работы. Дополнительно
может быть установлен «Remote Access Service» (RAS) для подключения устройства по выделенным
линиям, GPRS и т.д.
Внимание!
После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы
изменения вступили в силу.
2.20. Назначение прав пользователя
Назначение прав пользователей необходимо производить в соответствии с нижеприведенной
таблицей. Для этого в дереве параметров безопасности выберите «Security Settings» => «Local Policies»
=> «User Rights Assignments».
Политика прав пользователей Значение
Access this computer from the network
(Доступ к компьютеру из сети) Отказано ВСЕМ
Adjust memory quotas for a process
(Настройка квот памяти для процесса) Отказано ВСЕМ
Allow logon through Terminal Services
(Разрешать вход в систему через службу терминалов) Отказано ВСЕМ
Back up files and directories
(Архивирование файлов и каталогов)
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Change system time
(Изменение системного времени)
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Create a pagefile
(Создание страничного файла) Группа «Administrators»
Create a token object
(Создание маркерного объекта) Отказано ВСЕМ
Create global objects
(Создание глобальных объектов) Группа «Administrators»
Create permanent shared objects
(Создание постоянных объектов совместного
использования)
Отказано ВСЕМ
Debug programs
(Отладка программ) Отказано ВСЕМ
Deny access to this computer from the network Группа «Everyone»
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 30/33
(Отказ в доступе к компьютеру из сети)
Deny logon as batch job
(Отказ в качестве пакетного задания) Группа «Everyone»
Deny logon as service
(Отказ в качестве службы) Группа «Everyone»
Deny logon locally
(Отклонить локальный вход) Пользователь «Guest»
Deny logon through Terminal Services
(Отклонить вход в систему через службу терминалов) Группа «Everyone»
Force shutdown from a remote system
(Принудительное завершение с удаленного
компьютера)
Группа «Administrators»
Increase scheduling priority
(Увеличение приоритета диспетчирования) Отказано ВСЕМ
Load and unload device drivers
(Загрузка и выгрузка драйверов) Группа «Administrators»
Log on as a batch job
(Вход к качестве пакетного задания) Отказано ВСЕМ
Log on as a service
(Вход в качестве службы) Отказано ВСЕМ
Log on locally
(Локальный вход в систему)
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Manage auditing and security log
(Управление аудитом и журналом безопасности) Группа «Administrators»
Modify firmware environment values
(Изменение параметров среды оборудования) Группа «Administrators»
Perform volume maintenance tasks
(Запуск операций по обслуживанию тома) Группа «Administrators»
Profile single process
(Профилирование одного процесса)
Группа «Administrators»
Profile system performance
(Профилирование загруженности системы)
Группа «Administrators»
Remove computer from docking station
(Извлечение компьютера из стыковочного узла)
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Replace a process level token
(Замена маркера уровня процесса) Отказано ВСЕМ
Restore files and directories
(Восстановление файлов и каталогов) Группа «Administrators»
Shut down the system
(Завершение работы системы)
Группа «Administrators», пользователь,
осуществляющий автоматический вход в
систему
Take ownership of files or other objects
(Овладение файлами или иными объектами) Группа «Administrators»
Примечание!
Значения прав пользователей, не вошедших в таблицу, остаются по умолчанию.
Внимание!
После выполнения вышеперечисленных действий необходимо перезагрузить систему, чтобы
изменения вступили в силу.
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 31/33
3. КОНФИГУРИРОВАНИЕ BIOS SETUP БАНКОМАТА
После завершения установки прикладного ПО банкомата необходимо произвести необходимую
настойку BIOS SETUP компьютера.
Настройки BIOS SETUP компьютеров разных моделей могут производиться различными
способами, но все они должны содержать основные параметры, которые необходимо изменить. К
основным параметрам относятся:
• Разрешить использование дисковода А для гибких дисков (Floppy A: Enabled);
• Второй дисковод (дисковод В) — запрещен (Floppy B: Not Installed);
• Второй жесткий диск HDD — запрещен (Slave Disk: Not Installed);
• Запретить использование второго контролера (Secondary IDE Ctrl Drivers: Disabled);
• Запретить использование режима управления питанием (Power Management: Disabled);
• Запретить использование режима управления питанием для дисков (IDE Drivers Standby Timer:
Disable);
• Запретить установку Secondary IDE (Disabled);
• Num Lock — включен (ON);
• Начальная загрузка системы (System Boot Up Sequence) производится с диска С, если есть
возможность выбора, то необходимо установить «Only С», если такой возможности нет, то
установить порядок загрузочных дисков — «С, А»;
• Разрешить установку пароля на изменение SETUP (Password Checking);
• Установить пароль (Passwords Supervisor) — произвольный набор из 6 символов.
Пример конфигурации BIOS SETUP.
1) Для настройки BIOS SETUP необходимо выключить банкомат, подсоединить стандартную
клавиатуру PC AT и включить его снова. При появлении на экране монитора строки Hit SPACE if you
want to run SETUP, нажмите клавишу «Пробел».
2) В открывшейся экранной форме Setup выберите раздел Standard и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
Setup/Standard/Floppy B: Not Installed
Setup/Standard/Slave Disk: Not Installed
3) В открывшейся экранной форме Setup выберите раздел Advanced и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
Setup/Advanced/System Boot Up Num Lock: On
Setup/Advanced/System Boot Up Sequence: C, A
Setup/Advanced/Password Checking: Setup
Setup/Advanced/Sec. IDE Ctrl Drives Installed: Disabled
4) В открывшейся экранной форме Setup выберите раздел PowerMgmt и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
PowerMgmt/Power Management Mode Select: Disabled
PowerMgmt/IDE Drives Standby Timer: Disabled
5) В открывшейся экранной форме Setup выберите раздел Peripheral и нажмите «Enter». Далее, в
открывшемся окне выполните следующие установки:
Peripheral/Programming Mode: Manual
Peripheral/Secondary IDE: Disabled
Peripheral/Parallel Port: Enabled
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 32/33
6) В открывшейся экранной форме Passwords выделите раздел Supervisor и нажмите «Enter».
Далее, в открывшемся окне выполните следующие установки:
Supervisor/Password: Пароль из 6 символов
7) Нажмите «Escape». Из предложенного меню выберите Save changes and exit.
8) Выключите банкомат, подсоедините обратно штатную цифровую клавиатуру и включите
банкомат.
4. УСТАНОВКА И КОНФИГУРИРОВАНИЕ МОДУЛЯ «СОФИТ-КОМ ЛАЙТ»
На банкомат должен быть установлен программный модуль «Софит-ком Лайт» для обеспечения
шифрованного обмена данными с Процессинговым Центром.
Для инсталляции ПО в виде сервиса, из каталога «Софит-ком Лайт» необходимо выполнить
команду: rcomm /install.
Настройки модуля «Софит-ком Лайт» хранятся в конфигурационном файле rcomm.ini :
TerminalAddress = 127.0.0.1 указывается IP-адрес АТМ
ListenPort = 8008 указывается открытый IP-порт, на который устанавливает
соединение АТМ
HOSTAddress = xxx.xxx.xxx.xxx указывается IP-адрес коммуникационного сервера ПЦ
HOSTPort = xxxx указывается открытый IP-порт на сервере ПЦ, на который
устанавливает соединение модуль «Софит-ком Лайт»
RunAsService= Y признак запуска модуля в виде сервиса
Для деинсталляции сервиса RouterConnect «Софит-ком Лайт», из каталога «Софит-ком Лайт»
необходимо выполнить команду: rcomm /remove
Внимание!
Установка криптографического ключа для шифрования трафика ПМ «Софит-ком Лайт»
осуществляется только уполномоченными офицерами безопасности банка.
5. ОБЕСПЕЧЕНИЕ ФИЗИЧЕСКОЙ БЕЗОПАСНОСТИ БАНКОМАТОВ
Помещение с зоной обслуживания банкоматов с сейфом 1 (первого) класса устойчивости к взлому
должно отвечать требованиям правил и нормам противопожарной безопасности. Конструктивные
элементы помещений (стены, перекрытия, перегородки и т.п.) должны находиться в исправном
состоянии.
Свободное пространство, необходимое для установки, и служебные проходы определяются
технической документацией к банкоматам.
Пол должен иметь антистатическое покрытие, не образующее пыли и волокон.
Банкомат следует установить так, чтобы исключить попадание на экран прямых солнечных лучей.
Перекрытия должны выдерживать максимальный вес банкомата, обозначенный в технической
документации. Если требуется прикрепить банкомат к полу, то необходимо, чтобы пол был твердым
ровным и способным выдержать максимальный вес банкомата.
Температура и влажность воздуха при эксплуатации банкоматов определяются технической
документацией (отдельно для установки в помещениях и снаружи).
Наиболее распространенные требования к инженерным сетям:
• максимальный потребляемый ток при установленных напряжениях питающей сети составляет
4.1A при напряжении сети 240 В;
Рекомендации по обеспечению безопасности банкоматов 25.02.2014
v1.6
© 2013
ООО «РУСОФТ» Стр. 33/33
• максимальный бросок тока при включении аппарата для данных напряжений составляет 150 A
(амплитудное значение) при напряжении 257 В;
• банкомат может функционировать при следующих значениях напряжения питающей сети от 198
В до 257 В при частоте питающей сети 50/60 Гц.
Примечание
Дополнительные настройки операционной системы банкомата могут устанавливаться системным
администратором банка. Устанавливаемые дополнительные настройки не должны снижать безопасность
функционирования операционной системы, прикладного программного обеспечения и приводить к
сбоям в работе банкомата.
Для защиты программного обеспечения от вирусов, «шпионских» и «троянских» программ на
банкомате должен быть установлен «антивирусный модуль». Производителя и модель «антивирусного
модуля» банк выбирает самостоятельно в соответствии с политикой информационной безопасности
банка. Установка и настройка «антивирусного модуля» осуществляется специалистами банка и не
должна снижать безопасность функционирования операционной системы, прикладного программного
обеспечения и приводить к сбоям в работе банкомата.
Для защиты программного обеспечения от несанкционированного сетевого доступа на
банкомате может быть установлен дополнительный аппаратный либо программный модуль межсетевого
экрана. Производителя и модель межсетевого экрана банк выбирает самостоятельно в соответствии с
политикой информационной безопасности банка. Установка и настройка межсетевого экрана
осуществляется специалистами банка и не должна снижать безопасность функционирования
операционной системы, прикладного программного обеспечения и приводить к сбоям в работе
банкомата.