Обеспечение безопасности в системе ДБО Сбербанк Бизнес Онлайн

На сегодняшний день Сбербанк является самым крупным и активно развивающимся банком в России. Уровень доверия к банку достаточно высокий, большинство юридических и физических лиц предпочитают Сбербанк другим банкам.

Развитие информационных технологий неразрывно связаны с совершенствованием банковской системы. Каждый банк стремится удовлетворить потребности всех своих клиентов в кратчайший срок, что несомненно повышает его престиж.

Сбербанк стремится стать ИТ – корпорацией, в которой все процессы будут автоматизированы и максимально безопасны.

Широкий спектр финансовых услуг Сбербанка, а также современные технологии позволяют добиться большого прогресса в этой области.

Для управления большинством финансовых процессов Сбербанк ввел автоматизированную банковскую систему - АБС. АБС необходима для автоматизации банковских процессов, снижения времени проведения операций, централизации и снижении затрат. Представляет собой комплекс программного и технического обеспечения.

Главный программный продукт Сбербанка для управления финансами Юридических лиц и Индивидуальных Предпринимателей - система дистанционного банковского обслуживания Сбербанк Бизнес Онлайн (СББОЛ). Именно с помощью этой системы происходит отправка документов в АБС банка.

Система СББОЛ представляет собой «тонкий» клиент, работающий в браузере. В настоящий момент Сбербанк подключает всех своих клиентов на данный программный продукт в обязательном порядке, для упрощения проведения операций.

Главным критерием для подобного программного обеспечения является безопасность продукта от взломов и мошеннических действий. В системе предусмотрены максимально эффективные механизмы для защиты системы. Ниже представлены основные из них.

Функциональные роли пользователей клиентов

Работу в СББОЛ осуществляют пользователи с различными функциональными обязанностями. Пользовательские роли предназначены для разграничения доступа пользователей к функционалу системы. С помощью назначения ролей пользователям определяются права их доступа к определенным разделам интерфейса системы (пунктам меню).

Вход в систему

При входе в систему осуществляется идентификация пользователя по назначенному ему системному имени и аутентификация по паролю. Порядок входа в систему также зависит от того, какой тип защиты клиент использует при подписании документов: токен Инфокрипт или одноразовые СМС-пароли.

При входе в систему осуществляется проверка на наличие действующих для пользователя ограничений на работу в системе. В случае неуспешной проверки вход в систему будет невозможен.

Смена пароля пользователя на вход в систему

Пароль первого входа в систему доставляется пользоователю в виде СМС-сообщения.

При первоначальном входе необходимо изменить пароль, выданный банком, на свой. Пароль должен соответствовать международной политике стойкости паролей. Каждые 90 дней пароль необходимо обновлять в обязательном порядке. При блокировке пароля необходимо обратится в отделение банка для его смены или самостоятельно изменить.

Обеспечение использования электронной подписи (ЭП)

Чтобы пользователь мог подписывать документы при помощи ЭП необходимо, чтобы к автоматизированному рабочему месту, был подключен носитель криптографической информации ( токен ) с ключами ЭП и зарегистрированным в УЦ банка действующим сертификатом.

Для корректной работы с несколькими подписями на одном токене необходимо входить в систему под отдельным PIN для каждой подписи. Получение сертификата и ключей ЭП выполняется в порядке, определяемом банком.

Подпись документов

Некоторые пользовательские документы нуждаются в дополнительной защите от злоумышленных действий или от непреднамеренного искажения в процессе обработки и передачи в банк. Для документов на бумажном носителе в качестве такой защиты обычно используется собственноручная подпись ответственного лица. Для соответствующих электронных документов подобную защитную роль играет Электронно-цифровая подпись (ЭЦП). Этот блок данных формируется с использованием средств криптографической защиты.

Типы подписей

Подписи бывают разных типов: первая подпись (обычно выдается генеральным директорам), вторая подпись (обычно выдается бухгалтерам или заместителям генеральных директоров), единственная подпись (обычно при совмещении функций генерального директора и главного бухгалтера). В принципе, в системе может работать и пользователь (например, помощник главного бухгалтера), не имеющий права подписи: он сможет формировать содержание документов и отправлять в банк неподписываемые документы.

В системе существуют описания используемых в ней наборов прав пользователей на выполнение криптографических операций – криптографические профили (криптопрофили). Они выдаются чтобы система знала, каковы права подписи данного пользователя.

Средства подписи

Для того, чтобы пользователь мог применять сертифицированную ЭП, ему выдается ключевая информация: ключи ЭП. Кроме ключей, для применения ЭП необходим также издаваемый удостоверяющим центром сертификат ключей ЭП, удостоверяющий подлинность этих ключей и их принадлежность именно данному пользователю. Сертификат ключей ЭП издается на определенный период времени, вне этого периода просроченный сертификат недействителен, пользователю необходимо своевременно заказать новый.

При использовании аналога собственноручной подписи пользователю при каждой попытке постановки подписи документа по СМС высылаются одноразовые пароли, которые он вводит в ответ на запрос системы. Пароль действителен только для данного документа и только ограниченное время (не более 15 минут).

Прежде чем выслать СМС-пароль осуществляется проверка IMSI-номера SIM-карты на соответствие номеру, зафиксированному в базе данных. Если происходит замена SIM-карты, то необходимо подтверждать данный факт с помощью письменного заявления.

Носители ключевой информации

В качестве физического устройства для хранения пользователем ключевой информации ЭП используются USB-токены фирмы Инфокрипт.

Токен выдается при заключении договора на обслуживание. При необходимости на токене Инфокрипт возможно хранить ключевую информацию для нескольких различных подписей.

Справочники

При первом создании платежного поручения система сообщает о том, что контрагент, которому отправляется документ, не добавлен в справочник и не подписан. Необходимо каждого нового контрагента вносить в справочник и подписать с помощью СМС сообщения. Это касается токен-клиентов. СМС клиенты могут подключить данную услугу в качестве дополнительного средства защиты.

Проверка платежных поручений на стороне банка

Независимо от вида платежа или клиента, периодически платежные поручения подвергаются ФРОД мониторингу. Система выборочно приостанавливает подозрительные платежи и сообщает об этом клиенту. В течении определенного времени специалист банка связывается с клиентом для подтверждения платежа. Клиент не может самостоятельно связаться с банком. Если клиент не может назвать необходимую информацию специалисту или специалист не дозвонился до клиента, то документ будет отвергнут. Повторная отправка документа подразумевает в автоматическом режиме проверку платежного поручения.