ВОСТОЧНО-АЗИАТСКОЕ БАНКОВСКОЕ СОТРУДНИЧЕСТВО2

Главная > Статьи >ВОСТОЧНО-АЗИАТСКОЕ БАНКОВСКОЕ СОТРУДНИЧЕСТВО2
Статьи

Безопасный Интернет-банкинг

В соответствии с положениями Стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» общеметодические требования к удаленному и Интернет-банкингу изложены в разделе 7.6 “Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет”. Это следующие базовые положения:

Решение об использовании сети Интернет для производственной и(или) собственной хозяйственной деятельности должно документально приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены, например, сеть Интернет в организации БС РФ может использоваться для:

– ведения дистанционного банковского обслуживания;

– получения и распространения информации, связанной с банковской деятельностью (например, путем создания информационных web-сайтов организации БС РФ);

– информационно-аналитической работы в интересах организации;

– обмена электронными сообщениями, например почтовыми.

Использование сети Интернет в неустановленных целях должно быть запрещено.

С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности в соответствии с назначенными ему ролями.

В организации БС РФ должен быть документально определен порядок подключения и использования ресурсов сети Интернет, включающий в том числе положение о контроле со стороны подразделения (лиц) в организации, ответственных за обеспечение ИБ.

В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.

Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line.

При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться регламентированным образом.

Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур.

Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.

Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер. Перечень указанных защитных мер и порядок их использования должны быть определены документально.

Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (Интернет-киоски).

Электронная почта должна архивироваться. Архив должен быть доступен подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Порядок доступа к информации архива должен быть документально определен.

Рекомендуется не применять практику хранения и обработки банковской информации (в т.ч. открытой) на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line. Наличие банковской информации на таких ЭВМ должно определяться бизнес-целями организации БС РФ и документально санкционироваться ее руководством.

При взаимодействии с сетью Интернет должны быть документально определены и использоваться защитные меры противодействия атакам хакеров и распространению спама.

Для конкретизации общих положений и требований предлагается выделить три уровня безопасности – минимальный, стандартный и повышенный, а также ввести следующие группы требований:

1. Требования по идентификации и аутентификации клиентов.

2. Требования по идентификации и аутентификации клиента и удаленного банка.

3. Требования по аутентификации и регистрации операций.

4. Требования по защите транзакций.

5. Требования к криптографической подсистеме.

6. Требования по хранению ключей.

7. Требования по безопасности программного окружения.

8. Требования к журналам и аудиту.

9. Технологические требования.

Структура требований представлена по аналогии с Руководящими документами ФСТЭК, следующей таблицей:

новости Тумбала.

Обозначения: «-» – требования не предъявляются, «+» – требования предъявлены или усиливаются, «=» – требования совпадают с требованиями предыдущего класса.

В документе используются следующие термины:

Клиент – физическое или юридическое лицо, взаимодействующее с организацией банковской системы РФ и владеющее (на правах собственности, лизинга или аренды) клиентским программным обеспечением (далее - клиентское ПО) и клиентским рабочим местом, на котором установлено клиентское программное обеспечение.

Изолированная программная среда – такой порядок использования клиентского рабочего места, при котором производится запуск только явно разрешенных программ.

Требования к минимальному уровню защищенности клиентских рабочих мест удаленного и Интернет-банкинга.

Требования по идентификации и аутентификации клиентов: При входе клиент в систему (старте клиентского ПО) должна проводиться его идентификация и аутентификация по имени и паролю диной не менее 6 символов при мощности алфавита не менее 10.

Требования по идентификации и аутентификации клиента и удаленного банка: Не предъявляются.

Требования по защите транзакций: Все транзакции с банком должны быть защищены электронной цифровой подписью. Секретный ключ ЭЦП должен быть выработан клиентом самостоятельно.

Требования к криптографической подсистеме: Криптографические функции могут быть реализованы программно.

Требования по хранению ключей: Секретные ключи (ключи подписи) должны храниться на отчуждаемых носителях, либо на общем диске клиентского места в зашифрованном виде. Для расшифровки используется производный ключ от пароля идентификации и аутентификации. При смене пароля ключи должны быть перешифрованы.

Требования по безопасности программного окружения: На рабочем месте должно быть установлена система антивирусной защиты и персональный межсетевой экран.

Требования к журналам и аудиту: В журнале фиксируются все старты клиентского рабочего места и результаты идентификации и аутентификации клиентов, а также окончание сеанса работы.

Технологические требования: При использовании клиентского рабочего места в режиме минимального уровня защиты должно действовать ограничение на максимальную сумму транзакции, а ряд транзакций могут быть запрещены банком. Суточный объем транзакций также может быть ограничен.

Требования к стандартному уровню защищенности клиентских рабочих мест удаленного и Интернет-банкинга.

Требования по идентификации и аутентификации клиентов: При входе клиента в систему (старте клиентского ПО) должна проводиться его идентификация и аутентификация по имени и паролю диной не менее 6 символов при мощности алфавита не менее 10. Дополнительно проводится аутентификация по факту предъявления клиентом внешнего носителя ключевой информации. Дополнительно может быть проведена аутентификация по одноразовому паролю.

Требования по идентификации и аутентификации клиента и удаленного банка: Проводится взаимная аутентификация клиента и удаленного банка в начале сеанса работы, при его завершении и периодически.

Требования по аутентификации и регистрации операций: Выполнение операций по переводу денежных средств на счета, отличные от счетов владельца рабочего места, подтверждается отдельным одноразовым паролем. Все выполненные операции фиксируются в журнале на стороне банка с указанием результата выполнения операций. Дополнительно все выполненные операции фиксируются в журнале на стороне клиента.

Требования по защите транзакций: Все транзакции с банком должны быть защищены электронной цифровой подписью. Секретный ключ ЭЦП должен быть выработан клиентом самостоятельно.

Требования к криптографической подсистеме:Криптографические функции могут быть реализованы программно. Криптографический модуль должен быть сертифицирован.

Требования по хранению ключей: Секретные ключи (ключи подписи) должны храниться только на отчуждаемых носителях. При завершении сеанса носитель должен быть извлечен.

Требования по безопасности программного окружения: На рабочем месте должно быть установлена система антивирусной защиты и персональный межсетевой экран. Дополнительно должен проводиться контроль целостности клиентского ПО при его запуске. При нарушении целостности работа клиента блокируется. На клиентском рабочем месте должна быть организована изолированная программная среда.

Требования к журналам и аудиту: В журнале фиксируются все старты клиентского ПО, результаты идентификации и аутентификации пользователей, а также окончание сеанса работы. Дополнительно фиксируются результаты контроля целостности и выполнение всех транзакций.

Технологические требования: При использовании клиентского рабочего места в режиме стандартного уровня защиты должно действовать ограничение на максимальную сумму транзакции, большее, чем для минимального уровня. Суточный объем транзакций также может быть ограничен.

Для получения одноразовых паролей используется мобильный телефон клиента или одноразовые пароли предоставляются клиенту банком на бумажном носителе.

Требования к повышенному уровню защищенности клиентских рабочих мест удаленного и Интернет-банкинга.

Требования по идентификации и аутентификации клиентов: При входе клиента в систему (старте клиентского рабочего места, старте клиентского ПО) должна проводиться его идентификация и аутентификация на основе аппаратного носителя, а также дополнительно по имени и паролю диной не менее 6 символов при мощности алфавита не менее 10. Дополнительно может быть проведена аутентификация по одноразовому паролю.

Требования по идентификации и аутентификации клиента и удаленного банка: Проводится взаимная аутентификация клиента и удаленного банка в начале сеанса работы, при его завершении и периодически.

Требования по аутентификации и регистрации операций: Выполнение операций по переводу денежных средств на счета, отличные от счетов владельца рабочего места, подтверждается отдельным одноразовым паролем. Все выполненные операции фиксируются в журнале на стороне банка с указанием результата выполнения операций. Дополнительно все выполненные операции фиксируются в журнале на стороне клиента.

Требования по защите транзакций: Все транзакции с банком должны быть защищены электронной цифровой подписью. Секретный ключ ЭЦП должен быть выработан клиентом самостоятельно. Весь сеанс связи клиента с банком должен проходить по криптографически защищенному каналу.

Требования к криптографической подсистеме: Криптографические функции должны быть реализованы аппаратно. Криптографический модуль должен быть сертифицирован.

Требования по хранению ключей: Секретные ключи (ключи подписи) должны храниться только внутри аппаратного криптографического модуля.

Требования по безопасности программного окружения: Загрузка операционной среды клиента должна происходить со специального защищенного от записи носителя. На рабочем месте должно быть установлена система антивирусной защиты и персональный межсетевой экран. Дополнительно должен проводиться контроль целостности клиентского рабочего места при его запуске. При нарушении целостности работа клиента блокируется. На рабочем месте клиента должна быть организована изолированная программная среда, клиентское рабочее должно использоваться только для связи с банком.

Требования к журналам и аудиту: В журнале (локальном) фиксируются все старты клиентского рабочего места и результаты идентификации и аутентификации клиентов, а также окончание сеанса работы. Дополнительно фиксируются результаты контроля целостности и выполнение всех транзакций. Дополнительно по требованиям банка может регистрироваться текущий IP-адрес клиента и другая информация о сеансе.

Технологические требования: При использовании клиентского рабочего места в режиме повышенного уровня защиты должно действовать ограничение на максимальную сумму транзакции, большее, чем для стандартного уровня. Суточный объем транзакций также может быть ограничен. Для получения одноразовых паролей используется мобильный телефон клиента или одноразовые пароли предоставляются клиенту банком на бумажном носителе. При получении одноразовых паролей на мобильный телефон должна быть использована исходная информация, приходящая от банка. Все транзакции выполняются только после сверки запросов на стороне клиента и на стороне банка.

ЗАКЛЮЧЕНИЕ

Результаты работ могут найти применение при создании, эксплуатации, доработке, повышении доверия и сертификации систем дистанционного банковского обслуживания.

Разработанные требования и модели являются полностью оригинальными не только в отечественной, но и в мировой науке и практике.

Щербаков А.Ю.