Вопросы безопасности систем дистанционного банковского обслуживания
Автор: Власенко Александра Владимировна, Корх Ирина Анатольевна
Журнал: НБИ технологии @nbi-technologies
Рубрика: Инновации в информатике, вычислительной технике и управлении
Статья в выпуске: 2 т.12, 2018 года.
Бесплатный доступ
Наиболее востребованным направлением в современной банковской системе является внедрение и развитие систем дистанционного обслуживания. Цель работы - проанализировать систему дистанционного банковского обслуживания, определить нормативно-методические документы, регламентирующие вопросы информационной безопасности и варианты выполнения требований регуляторов. Результатом исследования следует считать подтверждение или опровержение актуальности проблемы.
Банк, дистанционное банковское обслуживание, информационная безопасность, криптографическая защита, система дбо
Короткий адрес: https://sciup.org/149129758
IDR: 149129758 | УДК: 332(075.8) | DOI: 10.15688/NBIT.jvolsu.2018.2.1
Issues of security of remote banking systems
The banking system of the Russian Federation is based on Federal legislation, as well as industry and inter-industry standards developed by the International community and the Central Bank of the Russian Federation. The introduction and development of remote banking services is the most popular direction in the modern banking system. The term ‘remote banking service’ refers to the technology of providing services for the remote transmission of orders by credit institutions (without clients’ presence in bank office), using different communication channels.Information security in bank-client systems is carried out by several types of protection. Client authentication is confirmed by the use of an electronic signature. The data channel and the data itself are encrypted. In order to implement the above-described functions of the bank-client system in any software, the client must first generate and register cryptographic keys with the bank and obtain electronic digital certificates.In addition to the protection of the transferred data, personal data that have entered the system of remote banking services also need protection.The research purpose is to analyze the system of remote banking services, to identify regulatory and methodological documents regulating information security issues, options for meeting the requirements of regulators. Confirmation or refutation of the issue’s urgency should be considered as research results.
Текст научной статьи Вопросы безопасности систем дистанционного банковского обслуживания
DOI:
Банковская система Российской Федерации в своей деятельности опирается на федеральное законодательство, а также от-
раслевые и межотраслевые стандарты, разрабатываемые Международным сообществом и Центральным Банков Российской
Федерации. Под термином дистанционного банковского обслуживания (ДБО) понимаются технологии по оказанию кредитными организациями услуг по удаленной передаче распоряжений клиентов (без визита в офис банка) с использованием различных каналов связи [1, с. 187; 4].
Информационная безопасность в системах «банк – клиент» осуществляется несколькими видами защиты. Подтверждение подлинности клиента производится путем применения электронной подписи. Канал передачи данных и сами данные шифруются. Для осуществления вышеописанных функций системы «банк – клиент» при любой про- граммной реализации клиент предварительно должен сгенерировать и зарегистрировать в банке криптографические ключи, а также получить электронные цифровые сертификаты.
Кроме защиты передаваемых данных, персональные данные, попавшие в систему дистанционного банковского обслуживания, также нуждаются в защите [2, c. 231; 3].
В Российской Федерации вопросами информационной безопасности вообще и банковской сферы в частности занимаются несколько ведомств. Разделение нормативно-правового регулирования вопросов ДБО представлено в таблице.
Нормативно-правовые документы, регулирующие вопросы ДБО
|
Законодательный уровень |
Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ (в ред. от 03.07.2016) |
|
Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ (в ред. от 08.07.2016) |
|
|
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (в ред. от 29.07.2017) |
|
|
«Кодекс Российской Федерации об административных правонарушениях» от 30.11.2001 № 195-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 30.06.2003 № 86-ФЗ) |
|
|
Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в КоАП»; Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»; изменения ст. 13.11. «Нарушение законодательства Российской Федерации в области персональных данных» вступают в силу с 01.07.2017 |
|
|
Указ Президента РФ № 351 от 17.03.2008 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационнотелекоммуникационных сетей международного информационного обмена» |
|
|
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» |
|
|
Постановление Правительства РФ от 16.04.2012 № 313 «О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем» |
|
|
Постановление Правительства РФ от 13.06.2012 № 584 г. Москва «Об утверждении Положения о защите информации в платежной системе» |
|
|
Нормативный уровень |
Положение Банка России «О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России», утв. Банком России 23.06.1998 № 36-П (в ред. от 13.12.2001) |
|
Положение Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», утв. Банком России 09.06.2012 № 382-П (с изменениями от 14.08.2014) (вместе с «Порядком проведения оценки соответствия и документирования ее результатов» зарегистрировано в Минюсте РФ 14.06.2012 № 24575) |
|
|
Руководящие документы ФСТЭК России |
|
|
Руководящие документы ФСБ России |
Окончание таблицы
|
Методический уровень |
Письмо Банка России «О средствах защиты информации, применяемых при обработке персональных данных» от 17.11.2011 № 015-16-9/4713 |
|
Письмо Банка России «Об исполнении Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)» от 30.08.2006 № 115-Т |
|
|
Письмо Банка России «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)» от 27.04.2007 № 60-Т (в ред. от 13.04.2016) |
|
|
Письмо Банка России «О Рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационнотелекоммуникационной сети Интернет (включая интернет-банкинг)» от 05.08.2003 № 60-Т (в ред. от 13.04.2016) |
|
|
Письмо Банка России «О рисках при дистанционном банковском обслуживании» от 07.12.2007 № 197-Т |
|
|
Письмо Банка России «О средствах защиты информации, применяемых при обработке персональных данных» от 17.11.2011 № 015-16-9/4713 |
В соответствии с требованиями регуляторов разработчики программного обеспечения и банки имеют два направления к реализации системы защиты дистанционного обслуживания. Первое – использование сертифицированного программного средства криптографической защиты информации отечественного производства, второе – использование зарубежного программного обеспечения, не требующего сертификации.
В настоящее время при столь разнообразном российском рынке продуктов существует тенденция к использованию зарубежной криптографии, что обусловлено отсутствием сертификации данных модулей и отсутствием технических регламентов работы с СДБО. Из письма Центрального Банка РФ: «...до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включенных в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами-участниками таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами» [5].
Динамика развития банковской отрасли показывает, что системы ДБО актуальны и востребованы бизнес-сообществом. Использовать зарубежную криптографию удобно, но работа с ней не попадает под Российское законодательство по защите информации, следовательно, все требования банков носят рекомендательный характер и повышается риск компрометации ключей. Российская криптография описана, но требует обязательной сертификации и потому встраивание ее в системы дистанционного обслуживания достаточно дорого. Кроме того, необходимо приобретение дополнительных средств криптографической защиты для установки на каждое клиентское место [6]. Не все вопросы защиты информации в СДБО нормативно определены. Есть некоторая двойственность в понимании требований регуляторов по информационной безопасности банковских систем и систем обработки персональных данных в ДБО. Проблема актуальна и требует решения.
Список литературы Вопросы безопасности систем дистанционного банковского обслуживания
- Валенцева, Н. И. Банковская система в современной экономике: учеб. пособие / Н. И. Валенцева [и др.]; под ред. О. И. Лаврушина. - М.: Юрайт, 2012. - 360 с.
- Власенко, А. В. Защита конфиденциальной информации, передаваемой по открытым каналам связи / А. В. Власенко, В. Г. Смирнов // Известия ЮФУ. Технические науки. - 2003. - № 4 (33). - С. 230-232.
- Власенко, А. В. Защита персональных данных при авторизации пользователя в распределенных информационных системах, построенных на основе web-технологий / А. В. Власенко, П. И. Дзьобан, Р. В. Жук // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. - 2017. - № 2 (201). - С. 120-128.
- Жуков, Е. Ф. Банковское дело: учебник / Е. Ф. Жуков [и др.]; под ред. Е. Ф. Жукова, Н. Д. Эриашвили. - 4-е изд., перераб. и доп. - М.: ЮНИТИ-ДАНА, 2014. - 687 с.
- Письмо ЦБР от 17 ноября 2011 г. № 015-16-9/4713 «О средствах защиты информации, применяемых при обработке персональных данных». - Доступ из информ.-правового портала «Гарант.ру».
- Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» - Доступ из информ.-правового портала «Гарант.ру».
