Безопасность систем ДБО

Дистанционное банковское обслуживание в целом и системы ДБО в частности являются важнейшими элементами современного рынка банковских услуг. Они позволяют существенно улучшить качество и оперативность банковского обслуживания, снизить его цену, увеличить его доступность (как по временному, так и по географическому признаку) и т.д. Однако с функционированием ДБО связана существенная проблема, которая не позволяет воспользоваться преимуществами ДБО в полной мере. Речь идет о проблеме безопасности систем ДБО, обусловленной ростом преступлений в сфере незаконного доступа к персональной информации клиентов банка (включая ключи и коды идентификации и аутентификации клиентов), хищения указанной информации, а также использования персональной информации для хищения денежных средств клиентов.

В настоящее время ситуация с уровнем преступности в сфере ДБО характеризуется следующими отличительными признаками1:

1 Назипов Д., Сумманен К., Абдуллаев А. Банкинг дистанционный и/или безопасный: «и» или «или» ? // Аналитический банковский журнал. 2011. № 8 (192).

  • • все чаще преступные действия производятся хорошо организованными высокопрофессиональными группами с четким разделением ролей;
  • • хищения тщательно подготавливаются технически — создаются средства для кражи данных, фишинговые сайты, bot-сети[1], программы для организации DDoS-атак (Distributed Denial of Service);
  • • осуществляется планирование и координация действий участников;
  • • развивается в сторону усложнения преступный инструментарий, растет доля технически продвинутых способов взлома, таких как перехват управления;
  • • тщательно продумываются технологии вывода украденных средств и мероприятия прикрытия;
  • • вывод средств производится, как правило, сразу после хищения, причем для замедления обнаружения организовываются DDoS-атаки на веб-сайт банка.

Банк России достаточно рано отреагировал на проблему безопасности ДБО. Уже в первом письме Банка России, касающемся вопросов ДБО, от 3 февраля 2004 г. № 16-Т «О рекомендациях по информационному содержанию и организации веб-сайтов кредитных организаций в сети Интернет» Банк России рекомендовал кредитным организациям:

  • 1) рассматривать адрес операционного веб-сайта кредитной организации как конфиденциальную информацию и сообщать его только зарегистрированным пользователям систем ДБО в порядке, определяемом кредитными организациями;
  • 2) не использовать прямые ссылки с информационных вебсайтов на операционные веб-сайты и не приводить на информационных веб-сайтах адреса операционных веб-сайтов;
  • 3) не назначать URL-адреса операционным веб-сайтам кредитных организаций и не регистрировать их на серверах доменных имен;
  • 4) осуществлять доступ к операционным веб-сайтам с использованием IP-адресации;

  • 5) осуществлять вход зарегистрированных пользователей на операционные веб-сайты с применением процедур идентификации или аутентификации пользователей;
  • 6) во всех режимах работы веб-сайта информационный обмен кредитной организации с клиентом осуществлять с использованием средств шифрования;
  • 7) осуществлять электронный документооборот между кредитной организацией и клиентами через операционный веб-сайт с использованием средств аутентификации электронных сообщений (в том числе средств электронной цифровой подписи);
  • 8) уделять особое внимание организации межсетевого информационного взаимодействия веб-сервера и банковской автоматизированной системы кредитной организации с обязательным применением межсетевых экранов (брандмауэров).

В дальнейшем Банк России неоднократно обращался к этому вопросу. В частности, в своем письме от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании» Банк России рекомендовал кредитным организациям включать в договоры, заключаемые с провайдерами Интернета, обязательства сторон по принятию мер, направленных на оперативное восстановление функционирования ресурсов Интернета при возникновении нештатных ситуаций, а также положения об ответственности за несвоевременное исполнение таких обязательств. Кроме того, Банк России обратил внимание кредитных организаций на необходимость распространения среди клиентов информации о возможных случаях неправомерного получения персональной информации пользователей систем ДБО, включая описание приемов неправомерного получения кодов персональной идентификации клиентов, информации о банковских картах и мер предосторожности, которые необходимо соблюдать клиентам, пользующимся системами ДБО.

В 2008 году Банк России выпустил письмо от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга», в котором он описал банковские риски, возникающие при осуществлении кредитными организациями операций с применением систем интернет-банкинга (операционный, правовой и стратегический риски, а также риск потери деловой репутации и риск ликвидности); выразил свой подход к принципам управления рисками интернет-банкинга; привел рекомендации по подготовке внутренних документов кредитной организации, устанавливающих порядок управления рисками интернет-банкинга; привел рекомендации по информационному обеспечению управления рисками интернет-банкинга.

Позднее Банк России подготовил письмо от 30 января 2009 г. № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга», в котором повторно рассмотрел вопрос о мерах безопасности в целях предотвращения хищения ключей электронной цифровой подписи клиентов банка и исключения негативных последствий массированных DDoS-атак на веб-сайты кредитных организаций. Наконец, в письме от 23 октября 2009 г. № 128-Т «О рекомендациях по информационному содержанию и организации веб-сайтов кредитных организаций в сети Интернет» Банк России еще раз вернулся к организации работы веб-сайтов кредитных организаций, рекомендовав организовать обеспечение информационной безопасности в соответствии со стандартом Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

В июне 2012 г. в соответствии с требованиями Закона о НПС Банк России опубликовал Положение № 382-П.

Положение устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты и субагенты, операторы ПС, операторы услуг платежной инфраструктуры должны обеспечивать защиту информации при осуществлении переводов денежных средств, а также устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в НПС.

Требования Положения № 382-П к обеспечению защиты информации применяются для обеспечения защиты следующей информации:

  • 1) об остатках денежных средств на банковских счетах;
  • 2) остатках электронных денежных средств;
  • 3) о совершенных переводах денежных средств;
  • 4) содержащейся в оформленных в рамках применяемых форм безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств, распоряжениях участников ПС и распоряжениях платежных клиринговых центров;
  • 5) платежных клиринговых позициях;
  • 6) необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;
  • 7) ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
  • 8) конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
  • 9) конфигурации, определяющей параметры работы технических средств по защите информации;
  • 10) информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ, обрабатываемой при осуществлении переводов денежных средств.

Положение № 382-П устанавливает перечень требований к обеспечению защиты информации при осуществлении переводов денежных средств, который включает в себя требования, применяемые:

  • 1) для защиты информации при назначении и распределении функциональных прав и обязанностей (ролей) лиц, связанных с осуществлением переводов денежных средств;
  • 2) защиты информации на стадиях создания, эксплуатации, модернизации, снятия с эксплуатации объектов информационной инфраструктуры;
  • 3) защиты информации при осуществлении доступа к объектам информационной инфраструктуры, в том числе применяемые для защиты информации от несанкционированного доступа;
  • 4) защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники;
  • 5) защиты информации при использовании информационнотелекоммуникационной сети Интернет.

В рамках каждого требования к обеспечению защиты информации при осуществлении переводов денежных средств Положение № 382-П устанавливает требования к порядку его выполнения. В частности, к ним относятся: а) требование о регистрации лиц, обладающих правами по осуществлению доступа к защищаемой информации, по управлению криптографическими ключами и по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств;

  • б) требование о контроле и регистрации действий лиц, которым назначены перечисленные выше роли;
  • в) требование о запрете выполнения одним лицом в один момент времени ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры; а также ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта.

  • [1] Bot-сеть представляет собой сеть компьютеров, на которых установлены автономно работающие программы — боты, причем бот может скрытно устанавливаться на компьютер жертвы с целью несанкционированного использования ресурсов зараженного компьютера. 2 URL (Uniform Resource Locator) — унифицированный указатель расположения ресурса.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >