Правовые документы
демо
TMGT
Дата введения в действие: 24 апреля 2026 года
Версия 1.0 · Pre-launch
Рекомендации по безопасности
для корпоративных клиентов
Дата введения в действие: 24 апреля 2026 года
Версия 1.0 · Pre-launch
Рекомендации по безопасности
для корпоративных клиентов
HeadingDoc mob
Вступление
АО «ТрансМашГазТокен» понимает важность кибербезопасности и применяет многоуровневый комплекс защитных мер. На стороне платформы ежедневно обеспечивается защита учётных записей, ключевого материала, операций с цифровыми финансовыми активами и расчётов: многофакторная аутентификация, подпись операций с использованием УКЭП, аппаратные HSM и MPC, непрерывный мониторинг событий безопасности, взаимодействие с ФинЦЕРТ Банка России.
Вместе с тем значительная часть рисков находится вне периметра АО «ТМГТ» — на стороне корпоративного клиента и его уполномоченных пользователей. Создание защищённой среды для работы с платформой — это совместная ответственность. Настоящие Рекомендации адресованы организациям-клиентам АО «ТМГТ» (банкам, инвестиционным фондам, управляющим компаниям, корпоративным казначействам, квалифицированным инвесторам) и их сотрудникам, уполномоченным работать с Личным кабинетом, мобильным приложением и API платформы.
Поскольку каждая организация уникальна и организует внутренние процессы по-разному, в зависимости от среды и уровня риска могут потребоваться дополнительные меры безопасности. АО «ТМГТ» рекомендует периодически проводить внутреннюю оценку рисков информационной безопасности и оценивать достаточность применяемых контролей, а также обучать персонал приведённому ниже набору практик. Настоящий документ следует рассматривать как отправную точку для выстраивания корпоративной программы защиты при работе с платформой АО «ТМГТ».
1. Лучшие практики безопасности
Контроль операций и учётных данных
  1. Контролируйте активность по счёту ежедневно. Незамедлительно проверяйте подтверждения переводов, операций с цифровыми финансовыми активами и иных транзакций; сообщайте о подозрительных операциях или о подозрениях на компрометацию учётных данных в АО «ТМГТ» и в службу информационной безопасности вашей организации.
  2. Применяйте двойной контроль и многоступенчатое согласование (maker / checker / approver) для операций с активами и расчётных операций. Для существенных операций рекомендуется настройка обязательного согласования не менее чем двумя уполномоченными лицами вашей организации.
  3. Устанавливайте транзакционные лимиты, соответствующие объёмам и характеру деятельности вашей организации. Разделяйте лимиты по ролям, подразделениям и типам операций (переводы, выпуск ЦФА, погашение, перевод между кошельками).
  4. Никогда не передавайте логины, пароли, коды подтверждения, OTP-коды, аппаратные токены и иные сведения, обеспечивающие защищённый доступ к Личному кабинету и API АО «ТМГТ». Не оставляйте такие сведения в незащищённых местах.
  5. Используйте разные логины и пароли для каждого внешнего сервиса. Пароль должен быть легко запоминаемым для вас и трудно угадываемым для злоумышленника. Рекомендуется корпоративная парольная политика с требованиями: минимум 14 символов, комбинация прописных и строчных букв, цифр и специальных символов, периодическая смена паролей, запрет повторного использования.
  6. Избегайте использования паролей, составленных из дат рождения, имён членов семьи, кличек домашних животных и иной информации, доступной в открытых источниках.
  7. Не храните списки паролей на компьютере и не размещайте их рядом с рабочим местом. Для корпоративного использования применяйте корпоративный менеджер паролей с централизованным управлением (KeePassXC, Bitwarden, Passwork, Пассворк и аналогичные).
Рабочие станции и сетевая среда
  1. Никогда не осуществляйте доступ к Личному кабинету АО «ТМГТ» с компьютеров общего пользования (интернет-кафе, отели, библиотеки, точки совместной работы), а также не подключайтесь через публичные точки доступа Wi-Fi и небезопасные беспроводные сети. При необходимости удалённой работы используйте корпоративный VPN.
  2. Устанавливайте и поддерживайте в актуальном состоянии лицензионные средства антивирусной защиты, защиты от вредоносного и шпионского ПО, а также управляемый межсетевой экран. Бесплатные средства могут не обеспечивать необходимого уровня защиты от современных угроз. Для российских организаций — предпочтительны решения Лаборатории Касперского, Positive Technologies, Доктор Веб и иных российских производителей, имеющих сертификаты ФСТЭК России.
  3. Поддерживайте рабочие станции в актуальном состоянии: регулярно устанавливайте обновления операционной системы, браузера и прикладного программного обеспечения (Microsoft Office, МойОфис, Р7-Офис, медиаплееры, клиенты электронной почты и мессенджеры). Большинство средств поддерживает автоматическое обновление.
  4. Для предотвращения установки вредоносного, шпионского или программного обеспечения не выполняйте навигацию по сети интернет из-под учётной записи с правами локального администратора. Создайте отдельную учётную запись для работы в интернете без административных прав и используйте учётную запись с административными правами только при необходимости.
  5. Остерегайтесь всплывающих окон, предлагающих установить программное обеспечение. Распространённый приём — сообщение о заражении компьютера вирусом с имитацией антивирусной проверки. Не нажимайте «ОК» в таких окнах: это приводит к установке вредоносного или шпионского ПО.
  6. Ограничьте или исключите неслужебное использование интернета и электронной почты (включая личную активность) на компьютерах, используемых для операций в Личном кабинете АО «ТМГТ». Рекомендуется выделить специализированное рабочее место, используемое исключительно для работы с платформой и не используемое для электронной почты, социальных сетей и сторонних онлайн-сервисов.
  7. Обучите сотрудников очищать кеш интернет-браузера до и после работы в Личном кабинете АО «ТМГТ», чтобы снизить риск сохранения и последующей компрометации чувствительных данных.
  8. Обновляйте установленное программное обеспечение, посещая официальный сайт производителя, а не переходя по ссылкам из электронных писем или веб-страниц. Нажатие на поддельную ссылку установки обновления может привести к загрузке вредоносного ПО.
Работа с сайтом АО «ТМГТ» и подозрительными страницами
  1. При работе на странице, запрашивающей персональную или учётную информацию, проверьте следующее.
  2. Убедитесь, что сессия защищена: адрес страницы начинается с «https://», а не с «http://», и показывается действующий TLS-сертификат. Это гарантирует, что соединение зашифровано.
  3. Убедитесь в наличии индикатора защищённого соединения (замок в адресной строке браузера). Если замок отсутствует, страница не защищена, и передаваемая информация может быть перехвачена в процессе передачи по сети.
  4. Адрес страницы Личного кабинета следует вводить в адресной строке вручную или переходить по ранее сохранённой закладке, а не по ссылкам. Ссылки могут быть подделаны: они выглядят как легитимные, но ведут на мошеннический сайт. Закладки также могут быть скомпрометированы и изменены; периодически проверяйте их корректность.
  5. Не используйте функции автоматической подстановки логина и пароля («запомнить меня») для Личного кабинета; не сохраняйте пароли в браузере.
  6. Никогда не оставляйте рабочую станцию без присмотра во время активной сессии в Личном кабинете АО «ТМГТ»; блокируйте рабочую станцию при временном отсутствии.
  7. Никогда не направляйте персональную и чувствительную информацию по электронной почте и не размещайте её на сторонних ресурсах, включая социальные сети, публичные репозитории и форумы.
  8. Не переходите по ссылкам и не открывайте вложения в подозрительных электронных письмах.
  9. Незамедлительно сообщайте о подозрительной или мошеннической активности или о подозрениях на компрометацию учётных данных в АО «ТМГТ» и в службу информационной безопасности вашей организации.
Дополнительные меры для институциональных клиентов
  • Управление API-ключами. Храните API-ключи и секреты в корпоративном менеджере секретов (HashiCorp Vault, CyberArk, российские аналоги). Исключите хранение в коде, в репозиториях и в коммуникационных каналах (электронная почта, мессенджеры, файлы общего доступа). Настраивайте ограниченные scope и срок действия ключей. Выполняйте периодическую ротацию.
  • Сегментация ролей. В Личном кабинете АО «ТМГТ» используйте механизмы ролевого доступа (RBAC): разделяйте роли для просмотра, создания операций, согласования, управления пользователями, управления настройками безопасности. Роли с повышенными полномочиями выделяйте отдельным пользователям с обязательной многофакторной аутентификацией.
  • Белые списки адресов получателей. Для операций перевода ЦФА и фиатных средств используйте механизмы «белых списков» (allowlist) адресов получателей с отдельной процедурой добавления адресов, предусматривающей двойное согласование и период выдержки (time-lock).
  • Защита цепочки поставок программного обеспечения. Для организаций, интегрирующихся с платформой через API, рассматривайте как отдельный риск безопасность цепочки поставок собственного кода: проверка зависимостей, подписание артефактов сборки, защита CI/CD-конвейеров и хранилищ контейнеров.
  • Многофакторная аутентификация. Применяйте приложения-аутентификаторы (TOTP) и аппаратные ключи (YubiKey, Rutoken ЭЦП) вместо SMS-кодов. SMS-канал уязвим для перехвата и атак с подменой SIM-карты.
  • Регулярные учения. Проводите внутренние учения по реагированию на инциденты (табличные упражнения) с привлечением ИТ, ИБ, юридической и бизнес-функций. Отрабатывайте сценарии компрометации учётных данных, подмены реквизитов получателя, целевого фишинга в отношении руководства.
2. Мошенничество по электронной почте и в мессенджерах
Мошенничество по электронной почте, известное как «фишинг», обычно выглядит как письма, отправленные от легитимного источника. В письме пользователю предлагается обновить персональную информацию, подтвердить статус учётной записи или воспользоваться «новой функцией» Личного кабинета. Встроенная в письмо ссылка ведёт на мошеннический сайт, внешне напоминающий Личный кабинет АО «ТМГТ». Помимо иных чувствительных данных пользователя просят ввести логин и пароль под предлогом «подтверждения личности». Полученная таким образом информация затем используется для доступа к реальной учётной записи.
На протяжении многих лет мошенники используют поддельные электронные письма, побуждающие пользователей переходить на сайты, имитирующие сайты банков, платёжных систем, маркетплейсов, налоговых и иных государственных органов, а в последние годы — биржевых и депозитарных сервисов, платформ для работы с цифровыми финансовыми активами.
Аналогичные схемы реализуются в SMS-сообщениях («смишинг») и в мессенджерах (Telegram, WhatsApp, Max). Злоумышленники рассылают сообщения, выдавая себя за представителей финансовой организации, и просят перейти по ссылке или позвонить по указанному номеру. Тем, кто перезванивает, предлагается ввести номер карты, ПИН-код, паспортные данные, СНИЛС или код из SMS. В современных схемах активно применяется Voice phishing («вишинг») — звонки с подменой номера от имени «сотрудника банка», «сотрудника службы безопасности», «сотрудника Банка России», «следователя» или «сотрудника АО «ТМГТ»».
Рекомендации
  1. Относитесь с подозрением к электронным письмам и сообщениям, якобы направленным финансовой организацией, государственным органом или иным источником, запрашивающим ваши учётные или платёжные данные.
  2. Никогда не отправляйте учётные или иные чувствительные данные в ответных сообщениях.
  3. Настоятельно не рекомендуется переходить по ссылкам и открывать вложения в подобных письмах: это может привести к компрометации системы. Свяжитесь с отправителем по контактным данным, указанным на официальном сайте, чтобы проверить подлинность сообщения.
  4. Никогда не отвечайте и не следуйте инструкциям в письмах или сообщениях, запрашивающих ваши персональные данные.
  5. Никогда не сообщайте персональную информацию, включая, без ограничения, паспортные данные, СНИЛС, ИНН, номера счетов и карт, коды подтверждения из SMS — по телефону, через интернет, электронную почту или SMS, если не вы инициировали соответствующее обращение.
  6. Всегда заходите в Личный кабинет АО «ТМГТ», вводя адрес сайта вручную в адресной строке, а не переходя по ссылкам из электронных писем или со сторонних веб-ресурсов.
  7. Всегда проверяйте адрес электронной почты отправителя или номер, с которого пришло сообщение, чтобы убедиться, что источник действительный. При малейших сомнениях сообщайте об этом в АО «ТМГТ» или в соответствующую легитимную организацию.
  8. Всегда покидайте подозрительный сайт, если у вас есть сомнения в его легитимности. Не завершайте начатую операцию, не вводите учётные данные, не загружайте предлагаемые файлы.
3. Социальная инженерия
Как и фишинг и иные схемы в электронной почте и мессенджерах, социальная инженерия — это мошенничество или манипуляция, направленная на то, чтобы заставить людей отклониться от стандартных процедур безопасности в целях получения информации, совершения мошенничества или получения доступа к компьютерной системе жертвы. Лица, прибегающие к социальной инженерии, пытаются получить информацию, завоёвывая доверие уполномоченного пользователя и побуждая его к раскрытию сведений, компрометирующих безопасность сети. Социальные инженеры рассчитывают на природную отзывчивость и слабости людей: они могут связаться с уполномоченным сотрудником с «срочной проблемой», требующей «немедленного доступа к сети» или «немедленного подтверждения операции».
Социальный инженер использует тактики, побуждающие людей запускать вредоносные вложения электронной почты и разглашать чувствительную информацию. Эти злоумышленники полагаются на людей, которые не осознают ценность информации и небрежно относятся к её защите. Подслушивание (eavesdropping), подглядывание через плечо (shoulder surfing) и поиск в мусоре (dumpster diving) — другие тактики, используемые в социальной инженерии.
Специфические для российского контекста схемы социальной инженерии, о которых важно знать сотрудникам организаций-клиентов: звонки с подменой номера от имени «сотрудника службы безопасности банка», «следователя Следственного комитета», «сотрудника Банка России» или «сотрудника АО «ТМГТ»» с целью заставить уполномоченного пользователя провести операцию «для защиты средств», «для участия в оперативных мероприятиях» или «для подтверждения личности». Во всех случаях алгоритм реагирования одинаков: завершить разговор, не совершать операции, перезвонить в свою организацию и в соответствующий банк / АО «ТМГТ» по официальному номеру.
Ни один сотрудник АО «ТМГТ», Банка России, ФинЦЕРТ, МВД или иного государственного органа не запрашивает по телефону логины, пароли, коды подтверждения из SMS, коды подтверждения из приложения-аутентификатора, seed-фразы или PIN-коды, не инструктирует о переводе средств на «защищённый счёт» и не просит совершать операции с цифровыми финансовыми активами в «оперативных целях».
Организационные меры противодействия
  • Обучение сотрудников. Проводите регулярное (не реже одного раза в год) обучение уполномоченных пользователей распознаванию фишинга, вишинга, смишинга и иных приёмов социальной инженерии. Обучение должно включать разбор актуальных сценариев и практические упражнения.
  • Внутренний порядок подтверждения операций. Установите внутренний регламент, запрещающий инициирование или подтверждение операций по устным указаниям (в том числе от руководителя), полученным только по телефону или в мессенджере. Внедрите процедуры обратного подтверждения (call-back) по ранее согласованным каналам связи.
  • Защита от Business Email Compromise (BEC). Настройте почтовые сервисы (SPF, DKIM, DMARC) и фильтрацию входящей корреспонденции. Применяйте визуальные предупреждения для писем, пришедших с внешних адресов.
  • Проверка подлинности контрагентов. При получении запросов на изменение платёжных реквизитов, реквизитов получателя цифровых активов или иных ключевых данных обязательна проверка по независимому каналу связи с контрагентом.
4. Дополнительные ресурсы
АО «ТМГТ», легитимные финансовые организации, Банк России, налоговые органы и иные государственные органы НИКОГДА не направляют непрошенных обращений с запросом логина, пароля, кодов подтверждения из SMS, секретных фраз или иной учётной информации. Важно, чтобы все уполномоченные пользователи организаций-клиентов были осведомлены о подобных видах мошенничества.

О подозрительных электронных письмах, SMS, звонках, сообщениях в мессенджерах и иной подозрительной активности или запросах сообщайте:
  • в АО «ТМГТ» — через экстренный канал связи, указанный в договоре обслуживания, в Центре доверия на официальном сайте Общества и в разделе «Безопасность» Личного кабинета;
  • в службу информационной безопасности вашей организации — в соответствии с внутренним регламентом реагирования на инциденты;
  • в ваш обслуживающий банк — по номеру, указанному на официальном сайте банка;
  • в Банк России — через приёмную интернет-обращений на официальном сайте cbr.ru;
  • в ФинЦЕРТ Банка России — через АСОИ ФинЦЕРТ (для юридических лиц — участников информационного обмена) или через формы обратной связи на сайте Банка России;
  • в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — для организаций субъектов критической информационной инфраструктуры, в соответствии с требованиями 187-ФЗ;
  • в Управление «К» МВД России — через приёмную интернет-обращений МВД или при личном обращении в территориальный орган внутренних дел;
  • в Роскомнадзор — при выявлении фишинговых сайтов, имитирующих Личный кабинет АО «ТМГТ», или несанкционированного распространения персональных данных.

Дополнительную информацию о кибербезопасности в финансовой сфере и противодействии мошенничеству можно получить на следующих ресурсах:
  • сайт Банка России (cbr.ru) — разделы, посвящённые кибербезопасности, информационной безопасности финансового рынка и противодействию мошенничеству;
  • сайт ФСТЭК России (fstec.ru) — требования и рекомендации по защите информации для субъектов, обрабатывающих персональные данные, ГИС и объекты КИИ;
  • сайт НКЦКИ (safe-surf.ru) — материалы, рекомендации и форма уведомления о компьютерных инцидентах для субъектов КИИ;
  • сайт Роскомнадзора (rkn.gov.ru) — рекомендации по защите персональных данных и формы уведомлений;
  • Центр доверия АО «ТМГТ» — актуальные сертификаты, статус внешних аудитов, регламенты безопасности платформы, контактные данные службы реагирования.
Настоящий документ носит рекомендательный характер и не заменяет условия Пользовательского соглашения, Правил оказания услуг АО «ТрансМашГазТокен» и индивидуальных договоров с корпоративными клиентами. При противоречии между настоящими Рекомендациями и иными документами АО «ТМГТ» применяются условия соответствующего договора и применимое законодательство Российской Федерации.
© 2026 АО «ТрансМашГазТокен». Все права защищены.
Инфраструктура, которой можно доверить цифровые активы
Вернуться в начало ↑
© 2025 TMGT (TransMashGazToken). Все права защищены. Продукты и услуги могут быть недоступны в вашей юрисдикции. Информация носит образовательный характер и не является офертой, приглашением или рекомендацией покупать или продавать какие-либо продукты или услуги, либо использовать любую стратегию. Где применимо, в рамках OECD Crypto-Asset Reporting Framework (CARF), вступающего в силу с 2026 года, операции и владения криптоактивами могут передаваться в налоговые органы в агрегированном виде по типам активов через нашу канадскую структуру. Полные условия: Master Legal Agreement, Privacy Policy, Risk Disclosure Statement, Acceptable Use Policy, Principles for Complaints and Dispute Resolution, Reverse Solicitation Policy, Global Compliance Overview и Restricted Jurisdictions. Доступ из ограниченных регионов запрещён.