Вопросы безопасности систем дистанционного банковского обслуживания
Автор: Власенко Александра Владимировна, Корх Ирина Анатольевна
Журнал: НБИ технологии @nbi-technologies
Рубрика: Инновации в информатике, вычислительной технике и управлении
Статья в выпуске: 2 т.12, 2018 года.
Бесплатный доступ
Наиболее востребованным направлением в современной банковской системе является внедрение и развитие систем дистанционного обслуживания. Цель работы - проанализировать систему дистанционного банковского обслуживания, определить нормативно-методические документы, регламентирующие вопросы информационной безопасности и варианты выполнения требований регуляторов. Результатом исследования следует считать подтверждение или опровержение актуальности проблемы.
Банк, дистанционное банковское обслуживание, информационная безопасность, криптографическая защита, система дбо
Короткий адрес: https://sciup.org/149129758
IDR: 149129758 | DOI: 10.15688/NBIT.jvolsu.2018.2.1
Текст научной статьи Вопросы безопасности систем дистанционного банковского обслуживания
DOI:
Банковская система Российской Федерации в своей деятельности опирается на федеральное законодательство, а также от-
раслевые и межотраслевые стандарты, разрабатываемые Международным сообществом и Центральным Банков Российской
Федерации. Под термином дистанционного банковского обслуживания (ДБО) понимаются технологии по оказанию кредитными организациями услуг по удаленной передаче распоряжений клиентов (без визита в офис банка) с использованием различных каналов связи [1, с. 187; 4].
Информационная безопасность в системах «банк – клиент» осуществляется несколькими видами защиты. Подтверждение подлинности клиента производится путем применения электронной подписи. Канал передачи данных и сами данные шифруются. Для осуществления вышеописанных функций системы «банк – клиент» при любой про- граммной реализации клиент предварительно должен сгенерировать и зарегистрировать в банке криптографические ключи, а также получить электронные цифровые сертификаты.
Кроме защиты передаваемых данных, персональные данные, попавшие в систему дистанционного банковского обслуживания, также нуждаются в защите [2, c. 231; 3].
В Российской Федерации вопросами информационной безопасности вообще и банковской сферы в частности занимаются несколько ведомств. Разделение нормативно-правового регулирования вопросов ДБО представлено в таблице.
Нормативно-правовые документы, регулирующие вопросы ДБО
|
Законодательный уровень |
Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ (в ред. от 03.07.2016) |
|
Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ (в ред. от 08.07.2016) |
|
|
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (в ред. от 29.07.2017) |
|
|
«Кодекс Российской Федерации об административных правонарушениях» от 30.11.2001 № 195-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 30.06.2003 № 86-ФЗ) |
|
|
Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в КоАП»; Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»; изменения ст. 13.11. «Нарушение законодательства Российской Федерации в области персональных данных» вступают в силу с 01.07.2017 |
|
|
Указ Президента РФ № 351 от 17.03.2008 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационнотелекоммуникационных сетей международного информационного обмена» |
|
|
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» |
|
|
Постановление Правительства РФ от 16.04.2012 № 313 «О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем» |
|
|
Постановление Правительства РФ от 13.06.2012 № 584 г. Москва «Об утверждении Положения о защите информации в платежной системе» |
|
|
Нормативный уровень |
Положение Банка России «О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России», утв. Банком России 23.06.1998 № 36-П (в ред. от 13.12.2001) |
|
Положение Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», утв. Банком России 09.06.2012 № 382-П (с изменениями от 14.08.2014) (вместе с «Порядком проведения оценки соответствия и документирования ее результатов» зарегистрировано в Минюсте РФ 14.06.2012 № 24575) |
|
|
Руководящие документы ФСТЭК России |
|
|
Руководящие документы ФСБ России |
Окончание таблицы
|
Методический уровень |
Письмо Банка России «О средствах защиты информации, применяемых при обработке персональных данных» от 17.11.2011 № 015-16-9/4713 |
|
Письмо Банка России «Об исполнении Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)» от 30.08.2006 № 115-Т |
|
|
Письмо Банка России «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)» от 27.04.2007 № 60-Т (в ред. от 13.04.2016) |
|
|
Письмо Банка России «О Рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационнотелекоммуникационной сети Интернет (включая интернет-банкинг)» от 05.08.2003 № 60-Т (в ред. от 13.04.2016) |
|
|
Письмо Банка России «О рисках при дистанционном банковском обслуживании» от 07.12.2007 № 197-Т |
|
|
Письмо Банка России «О средствах защиты информации, применяемых при обработке персональных данных» от 17.11.2011 № 015-16-9/4713 |
В соответствии с требованиями регуляторов разработчики программного обеспечения и банки имеют два направления к реализации системы защиты дистанционного обслуживания. Первое – использование сертифицированного программного средства криптографической защиты информации отечественного производства, второе – использование зарубежного программного обеспечения, не требующего сертификации.
В настоящее время при столь разнообразном российском рынке продуктов существует тенденция к использованию зарубежной криптографии, что обусловлено отсутствием сертификации данных модулей и отсутствием технических регламентов работы с СДБО. Из письма Центрального Банка РФ: «...до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включенных в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами-участниками таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами» [5].
Динамика развития банковской отрасли показывает, что системы ДБО актуальны и востребованы бизнес-сообществом. Использовать зарубежную криптографию удобно, но работа с ней не попадает под Российское законодательство по защите информации, следовательно, все требования банков носят рекомендательный характер и повышается риск компрометации ключей. Российская криптография описана, но требует обязательной сертификации и потому встраивание ее в системы дистанционного обслуживания достаточно дорого. Кроме того, необходимо приобретение дополнительных средств криптографической защиты для установки на каждое клиентское место [6]. Не все вопросы защиты информации в СДБО нормативно определены. Есть некоторая двойственность в понимании требований регуляторов по информационной безопасности банковских систем и систем обработки персональных данных в ДБО. Проблема актуальна и требует решения.
Список литературы Вопросы безопасности систем дистанционного банковского обслуживания
- Валенцева, Н. И. Банковская система в современной экономике: учеб. пособие / Н. И. Валенцева [и др.]; под ред. О. И. Лаврушина. - М.: Юрайт, 2012. - 360 с.
- Власенко, А. В. Защита конфиденциальной информации, передаваемой по открытым каналам связи / А. В. Власенко, В. Г. Смирнов // Известия ЮФУ. Технические науки. - 2003. - № 4 (33). - С. 230-232.
- Власенко, А. В. Защита персональных данных при авторизации пользователя в распределенных информационных системах, построенных на основе web-технологий / А. В. Власенко, П. И. Дзьобан, Р. В. Жук // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. - 2017. - № 2 (201). - С. 120-128.
- Жуков, Е. Ф. Банковское дело: учебник / Е. Ф. Жуков [и др.]; под ред. Е. Ф. Жукова, Н. Д. Эриашвили. - 4-е изд., перераб. и доп. - М.: ЮНИТИ-ДАНА, 2014. - 687 с.
- Письмо ЦБР от 17 ноября 2011 г. № 015-16-9/4713 «О средствах защиты информации, применяемых при обработке персональных данных». - Доступ из информ.-правового портала «Гарант.ру».
- Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» - Доступ из информ.-правового портала «Гарант.ру».
