Безопасный Интернет-банкинг

Главная > Статьи >Безопасный Интернет-банкинг
Статьи

«Восточно-азиатское банковское сотрудничество» 

Безопасный Интернет-банкинг

В соответствии с положениями Стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» общеметодические требования к удаленному и Интернет-банкингу изложены в разделе 7.6 “Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет”. Это следующие базовые положения:

Решение об использовании сети Интернет для производственной и(или) собственной хозяйственной деятельности должно документально приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены, например, сеть Интернет в организации БС РФ может использоваться для:

–  ведения дистанционного банковского обслуживания;

–  получения и распространения информации, связанной с банковской деятельностью (например, путем создания информационных web-сайтов организации БС РФ);

–  информационно-аналитической работы в интересах организации;

–  обмена электронными сообщениями, например почтовыми.

Использование сети Интернет в неустановленных целях должно быть запрещено.

С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности в соответствии с  назначенными ему ролями.  

В организации БС РФ должен быть документально определен порядок подключения и использования ресурсов сети Интернет, включающий в том числе положение о контроле со стороны подразделения (лиц) в организации, ответственных за обеспечение ИБ.

В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.

Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line.

При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться регламентированным образом.

Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур.

Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.

Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер. Перечень указанных защитных мер и порядок их использования должны быть определены документально.

Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (Интернет-киоски).

Электронная почта должна архивироваться. Архив должен быть доступен подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Порядок доступа к информации архива должен быть документально определен.

Рекомендуется не применять практику хранения и обработки банковской информации (в т.ч. открытой) на ЭВМ,  с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line. Наличие банковской информации на таких ЭВМ должно определяться бизнес-целями организации БС РФ и документально санкционироваться ее руководством.

При взаимодействии с сетью Интернет должны быть документально определены и использоваться защитные меры противодействия  атакам хакеров и распространению спама[1]) .

Для конкретизации общих положений и требований предлагается выделить три уровня безопасности – минимальный, стандартный и повышенный, а также ввести следующие группы требований:

1. Требования по идентификации и аутентификации клиентов.

2. Требования по идентификации и аутентификации клиента и удаленного банка.

3. Требования по аутентификации и регистрации операций.

4. Требования по защите транзакций.

5. Требования к криптографической подсистеме.

6. Требования по хранению ключей.

7. Требования по безопасности программного окружения.

8. Требования к журналам и аудиту.

9. Технологические требования.

Структура требований представлена по аналогии с Руководящими документами ФСТЭК, следующей таблицей:

 

Минимальный

Стандартный

Повышенный

Требования по идентификации и аутентификации клиентов

+

+

+

Требования по идентификации и аутентификации клиента и удаленного банка

-

+

=

Требования по аутентификации и регистрации операций

+

+

=

Требования по защите транзакций

+

+

+

Требования к криптографической подсистеме

+

+

+

Требования по хранению ключей

+

+

+

Требования по безопасности программного окружения

+

+

+

Требования к журналам и аудиту

+

+

=

Технологические требования

+

+

+

Обозначения: “-“ – требования не предъявляются, «+» – требования предъявлены или усиливаются, «=» – требования совпадают с требованиями предыдущего класса.

В документе используются следующие термины:

Клиент – физическое или юридическое лицо, взаимодействующее с организацией банковской системы РФ и владеющее (на правах собственности, лизинга или аренды) клиентским программным обеспечением (далее -  клиентское ПО) и клиентским рабочим местом, на котором установлено клиентское программное обеспечение.

Изолированная программная среда – такой порядок использования клиентского рабочего места, при котором производится запуск только явно разрешенных программ.

 


[1]) Спам – общее наименование незапрошенных пользователями электронных посланий и рекламных писем, рассылаемых в Интернете по ставшим известными рассылающей стороне адресам пользователей.