Требования к системам Интернет-банкинга

Главная > Статьи >Требования к системам Интернет-банкинга
Статьи

Требования к системам Интернет-банкинга

Для конкретизации общих положений и требований к Интернет-банкингу предлагается выделить три уровня безопасности – минимальный, стандартный и повышенный, а также ввести следующие группы требований:

1. Требования по идентификации и аутентификации клиентов.

2. Требования по идентификации и аутентификации клиента и удаленного банка.

3. Требования по аутентификации и регистрации операций.

4. Требования по защите транзакций.

5. Требования к криптографической подсистеме.

6. Требования по хранению ключей.

7. Требования по безопасности программного окружения.

8. Требования к журналам и аудиту.

9. Технологические требования.

Структура требований представлена по аналогии с Руководящими документами ФСТЭК, следующей таблицей:

 

Минимальный

Стандартный

Повышенный

Требования по идентификации и аутентификации клиентов

+

+

+

Требования по идентификации и аутентификации клиента и удаленного банка

-

+

=

Требования по аутентификации и регистрации операций

+

+

=

Требования по защите транзакций

+

+

+

Требования к криптографической подсистеме

+

+

+

Требования по хранению ключей

+

+

+

Требования по безопасности программного окружения

+

+

+

Требования к журналам и аудиту

+

+

=

Технологические требования

+

+

+

Обозначения: “-“ – требования не предъявляются, «+» – требования предъявлены или усиливаются, «=» – требования совпадают с требованиями предыдущего класса.

В документе используются следующие термины:

Клиент – физическое или юридическое лицо, взаимодействующее с организацией банковской системы РФ и владеющее (на правах собственности, лизинга или аренды) клиентским программным обеспечением (далее -  клиентское ПО) и клиентским рабочим местом, на котором установлено клиентское программное обеспечение.

Изолированная программная среда – такой порядок использования клиентского рабочего места, при котором производится запуск только явно разрешенных программ.

Требования к минимальному уровню защищенности клиентских рабочих мест удаленного и Интернет-банкинга

Требования по идентификации и аутентификации клиентов

При входе клиент в систему (старте клиентского ПО) должна проводиться его идентификация и аутентификация по имени и паролю диной не менее 6 символов при мощности алфавита не менее 10.

Требования по идентификации и аутентификации клиента и удаленного банка

Не предъявляются.

Требования по аутентификации и регистрации операций

Выполнение операций по переводу денежных средств на счета, отличные от счетов владельца рабочего места, подтверждается отдельным паролем временного действия (не совпадающим с паролем для идентификации и аутентификации). Все выполненные операции фиксируются в журнале на стороне банка с указанием результата выполнения операций.

Требования по защите транзакций

Все транзакции с банком должны быть защищены электронной цифровой подписью. Секретный ключ ЭЦП должен быть выработан клиентом самостоятельно.

Требования к криптографической подсистеме

Криптографические функции могут быть реализованы программно.

Требования по хранению ключей

Секретные ключи (ключи подписи) должны храниться на отчуждаемых носителях, либо на общем диске клиентского места в зашифрованном виде. Для расшифрования используется производный ключ от пароля идентификации и аутентификации. При смене пароля ключи должны быть перешифрованы.

Требования по безопасности программного окружения

На рабочем месте должно быть установлена система антивирусной защиты и персональный межсетевой экран.

Требования к журналам и аудиту

В журнале фиксируются все старты клиентского рабочего места и результаты идентификации и аутентификации клиентов, а также окончание сеанса работы.

Технологические требования

При использовании клиентского рабочего места в режиме минимального уровня защиты должно действовать ограничение на максимальную сумму транзакции, а ряд транзакций могут быть запрещены банком. Суточный объем транзакций также может быть ограничен.

Требования к стандартному уровню защищенности клиентских рабочих мест удаленного и Интернет-банкинга

Требования по идентификации и аутентификации клиентов

При входе клиента в систему (старте клиентского ПО) должна проводиться его идентификация и аутентификация по имени и паролю диной не менее 6 символов при мощности алфавита не менее 10.

Дополнительно проводится аутентификация по факту предъявления клиентом внешнего носителя ключевой информации.

Дополнительно может быть проведена аутентификация по одноразовому паролю.

Требования по идентификации и аутентификации клиента и удаленного банка

Проводится взаимная аутентификация клиента и удаленного банка в начале сеанса работы, при его завершении и периодически.

Требования по аутентификации и регистрации операций

Выполнение операций по переводу денежных средств на счета, отличные от счетов владельца рабочего места, подтверждается отдельным одноразовым паролем. Все выполненные операции фиксируются в журнале на стороне банка с указанием результата выполнения операций.

Дополнительно все выполненные операции фиксируются в журнале на стороне клиента.

Требования по защите транзакций

Все транзакции с банком должны быть защищены электронной цифровой подписью. Секретный ключ ЭЦП должен быть выработан клиентом самостоятельно.

Требования к криптографической подсистеме

Криптографические функции могут быть реализованы программно. Криптографический модуль должен быть сертифицирован.

Требования по хранению ключей

Секретные ключи (ключи подписи) должны храниться только на отчуждаемых носителях. При завершении сеанса носитель должен быть извлечен.

Требования по безопасности программного окружения

На рабочем месте должно быть установлена система антивирусной защиты и персональный межсетевой экран.

Дополнительно должен проводиться контроль целостности клиентского ПО при его запуске. При нарушении целостности работа клиента блокируется. На клиентском рабочем месте должна быть организована изолированная программная среда.

Требования к журналам и аудиту

В журнале фиксируются все старты клиентского ПО, результаты идентификации и аутентификации пользователей, а также окончание сеанса работы.

Дополнительно фиксируются результаты контроля целостности и выполнение всех транзакций.

Технологические требования

При использовании клиентского рабочего места в режиме стандартного уровня защиты должно действовать ограничение на максимальную сумму транзакции, большее, чем для минимального уровня. Суточный объем транзакций также может быть ограничен.

Для получения одноразовых паролей используется мобильный телефон клиента или одноразовые пароли предоставляются клиенту банком на бумажном носителе.

Требования к повышенному уровню защищенности клиентских рабочих мест удаленного и Интернет-банкинга

Требования по идентификации и аутентификации клиентов

При входе клиента в систему (старте клиентского рабочего места, старте клиентского ПО) должна проводиться его идентификация и аутентификация на основе аппаратного носителя, а также дополнительно по имени и паролю диной не менее 6 символов при мощности алфавита не менее 10.

Дополнительно может быть проведена аутентификация по одноразовому паролю.

Требования по идентификации и аутентификации клиента и удаленного банка

Проводится взаимная аутентификация клиента и удаленного банка в начале сеанса работы, при его завершении и периодически.

Требования по аутентификации и регистрации операций

Выполнение операций по переводу денежных средств на счета, отличные от счетов владельца рабочего места, подтверждается отдельным одноразовым паролем. Все выполненные операции фиксируются в журнале на стороне банка с указанием результата выполнения операций.

Дополнительно все выполненные операции фиксируются в журнале на стороне клиента.

Требования по защите транзакций

Все транзакции с банком должны быть защищены электронной цифровой подписью. Секретный ключ ЭЦП должен быть выработан клиентом самостоятельно. Весь сеанс связи клиента с банком должен проходить по криптографически защищенному каналу.

Требования к криптографической подсистеме

Криптографические функции должны быть реализованы аппаратно. Криптографический модуль должен быть сертифицирован.

Требования по хранению ключей

Секретные ключи (ключи подписи) должны храниться только внутри аппаратного криптографического модуля.

Требования по безопасности программного окружения

Загрузка операционной среды клиента должна происходить со специального защищенного от записи носителя.

На рабочем месте должно быть установлена система антивирусной защиты и персональный межсетевой экран.

Дополнительно должен проводиться контроль целостности клиентского рабочего места при его запуске. При нарушении целостности работа клиента блокируется. На рабочем месте клиента должна быть организована изолированная программная среда, клиентское рабочее должно использоваться только для связи с банком.

Требования к журналам и аудиту

В журнале (локальном) фиксируются все старты клиентского рабочего места и результаты идентификации и аутентификации клиентов, а также окончание сеанса работы.

Дополнительно фиксируются результаты контроля целостности и выполнение всех транзакций.

Дополнительно по требованиям банка может регистрироваться текущий IP-адрес клиента и другая информация о сеансе.

Технологические требования

При использовании клиентского рабочего места в режиме повышенного уровня защиты должно действовать ограничение на максимальную сумму транзакции, большее, чем для стандартного уровня. Суточный объем транзакций также может быть ограничен.

Для получения одноразовых паролей используется мобильный телефон клиента или одноразовые пароли предоставляются клиенту банком на бумажном носителе. При получении одноразовых паролей на мобильный телефон должна быть использована исходная информация, приходящая от банка.

Все транзакции выполняются только после сверки запросов на стороне клиента и на стороне банка.

Результаты работ могут найти применение при создании, эксплуатации, доработке, повышении доверия и сертификации систем дистанционного банковского обслуживания.

Разработанные требования и модели являются полностью оригинальными не только в отечественной, но и в мировой науке и практике.