Новые технологии для работы пользователей в системах класса Интернет-банкинг: проблемы, пути решения, опыт внедрения

Часть 1

Алексей Плешков,
начальник отдела защиты информационных технологий, "Газпромбанк" (Открытое акционерное общество)

ЗА ПОСЛЕДНИЕ несколько лет в банковском сообществе активно и разносторонне ведется обсуждение тенденций развития дистанционного банковского обслуживания клиентов в российском сегменте рынка финансовых услуг. Отечественные банки никогда не претендовали на лидерство в этом направлении бизнеса, однако потребность в наличии данного, без сомнения, удобного клиент-ориентированного сервиса возрастает пропорционально уровню развития технологий и коммуникаций в регионах России. Одним из приоритетных направлений дистанционного банковского обслуживания является технологическая схема, использующая в качестве транспортной среды для передачи платежных поручений технологии, протоколы и сервисы глобальной сети Интернет, или интернет-банкинг.

Предлагается подробнее остановиться на рассмотрении процесса внедрения и сопровождения решений интернет-банкинга с точки зрения специалиста, ответственного за обеспечение информационной безопасности¹.

Первая часть настоящего исследования посвящена рассмотрению подготовительного этапа и процедур, предшествующих промышленной эксплуатации программно-аппаратных комплексов, на которых выстраивается обслуживание клиентов через Интернет.

Классификация решений, реализующих услугу интернет-банкинга

Обсуждение вопросов, с которыми сталкивается любая организация финансовой сферы при внедрении услуги интернет-банкинга для своих клиентов, начнем с общей классификации решений данного класса. Большинство программно-аппаратных комплексов, реализующих услугу интернет-банкинга, представленных в настоящее время на российском рынке, можно дифференцировать по следующим типовым признакам-критериям, вытекающим из перечня задач по обеспечению защиты информации финансовой организации.

Критерий № 1. Назначение/применение систем:

• для обслуживания физических лиц;
• для обслуживания юридических лиц;
• для обслуживания физических и юридических лиц.

Критерий № 2. Тип транспортного протокола доступа клиента к банку:

• использование типовых/стандартных протоколов (HTTP, HTTPS, SMTP/POP3, Telnet и т.д.);
• реализация собственного "закрытого" протокола (TCP:1024, TCP:9443 и т.д.).

Критерий № 3. Использование программного обеспечения на стороне клиента:

• в формате "толстого клиента" (устанавливается дополнительное ПО для формирования проводок);
• в формате "псевдотонкого клиента" (ставятся только модули, ответственные за формирование и установку ЭЦП на платежном документе, а также за защиту контейнера, содержащего этот документ, при транспортировке через небезопасную среду).

Критерий № 4. Способ передачи платежных документов:

• использование Интернета в качестве транспорта для передачи платежных поручений;
• мультиканальные системы (Интернет, модем, выделенные линии для параллельной передачи).

Критерий № 5. Вид совершаемых операций (права):

• системы с правами только на просмотр информации о состоянии и об операциях по счету (read-only);
• системы с правами для просмотра информации по счету и выполнения некоторого набора операций по счету (счетам) или изменения состояния счета (read-write).

Критерий № 6. Архитектура решений:

• многозвенные (транспорт – фронт – база данных – АБС);
• однозвенные (объединенные) решения.

Критерий № 7. Средства криптографической защиты информации (СКЗИ), используемые для подписи и шифрования платежных документов:

• на базе сертифицированных ФСБ РФ СКЗИ;
• на базе не сертифицированных ФСБ РФ СКЗИ.

Критерий № 8. Способ обработки операций (платежей), поступающих от клиентов:

• обработка платежей в режиме реального времени;
• обработка платежей в режиме псевдореального времени (с наличием фактической задержки при обработке платежей в рамках установленных лимитов, определенных внутренними нормативными документами финансовой организации с учетом условий договора с клиентом с целью анализа подозрительных операций).

Критерий № 9. Набор предоставляемых услуг:

• работа с одним видом счетов;
• работа с различными видами счетов (пластиковые карты, брокерское обслуживание и т.д.);
• возможность выполнения межбанковских операций (переводы, платежи по кредитам и т.д.);
• любые другие возможности.

Критерий № 10. Способ аутентификации клиента со стороны банка:

• схема "я знаю": имя учетной записи и пароль;
• схема "я знаю, я имею": двух-факторная аутентификация;
• использование сертификатов клиента.

Критерий № 11. Способ аутентификации банка со стороны клиента:

• с поддержкой двухсторонней аутентификации;
• без поддержки двухсторонней аутентификации.

Критерий № 12. Наличие обратной связи при совершении операций (помимо квитирования, формирования выписок):

• с SMS/SMTP-оповещением клиента о совершении операций по счету;
• без SMS/SMTP-оповещения о совершении операций по счету.

Критерий № 13. Наличие лимитов на совершаемые операции в системе:

• с возможностью установления, изменения и контроля лимитов на совершаемые клиентом операции;
• без возможности установления лимитов.

Критерий № 14. Режим работы/обслуживания клиентов:

• обеспечение работоспособности сервиса в круглосуточном режиме (24х7);
• обеспечение работоспособности по согласованному расписанию.

Критерий № 15. Масштабируемость:

• количество одновременных подключений явным образом "ограничено сверху";
• количество подключений не ограничено.

Формирование требований по защите информации для интернет-банкинга

Общие требования по обеспечению защиты информации, обрабатываемой в системе, предоставляющей услуги дистанционного банковского обслуживания (в контексте данной статьи – интернет-банкинга) клиентам, представлены в разделе 7 Стандарта Банка России СТО БР ИББС-1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения".

"...7.3.6. При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях:

• попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования;
• возможности ошибок авторизованных пользователей систем;
• возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями.

...

7.4.6. Используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации:

• операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
• проводимых транзакций, имеющих финансовые последствия;
• операций, связанных с назначением и распределением прав пользователей.

7.4.7. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например ЭЦП.

Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание.

...

7.4.10. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени.

...

7.6.3. В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.

...

7.6.5. При осуществлении дистанционного банковского обслуживания должны приме- няться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться регламентированным образом.

...

7.6.6. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур.

Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.

...

7.8.9. При проектировании, разработке и эксплуатации систем дистанционного банковского обслуживания должны быть документально определены и выполняться процедуры, реализующие в том числе механизмы:

• снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;
• доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.

Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций..."

В зависимости от того, как классифицируется решение, реализаующее услугу интернет-банкинга, по перечисленным ранее признакам должны формироваться частные требования по обеспечению защиты обрабатываемой информации.

Пример № 1. Рассмотрим абстрактное технологическое решение класса интернет-банкинг, позволяющее физическим лицам в удаленном режиме через интернет-обозреватель совершать операции погашения кредита с "карточного" счета банка-эмитента через Web-интерфейс сайта на сумму не более 100 000 рублей.

На решения такого класса помимо перечисленных выше положений Стандарта ЦБ РФ налагаются как минимум требования по обеспечению защиты информации следующих внешних по отношению к финансовой организации нормативно-правовых актов:

1. Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
2. Федеральный закон РФ от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем";
3. Стандарт межународной платежной системы VISA PA DSS (в контексте требований стандарта PCI DSS для программного обеспечения про-цессингового центра);
4. Рекомендации ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга".

Пример № 2. Просмотр информации по счету юридического лица с АРМ клиента с дополнительно установленной клиентской частью (программным обеспечением).

В примере № 2 в качестве дополнительных требований рассматриваются положения нормативно-правового акта № 4 из списка, приведенного выше.

Таким образом, можно сделать вывод, что при принятии решения о внедрении программно-аппаратного комплекса, реализующего услугу интернет-банкинга для клиентов, необходимо с целью минимизации прямых и косвенных затрат на внедрение и сопровождение такого комплекса, а также для снижения ком-плайнс-рисков для финансовой организации трансформировать составляющие бизнес-и технологических процессов в требования действующих нормативно-правовых актов и выделить общие и частные требования по обеспечению защиты обрабатываемой клиентской информации.

---

¹ Для формирования общего понимания технологических преимуществ как для клиентов, использующих интернет-банкинг, так и для банков, предоставляющих такую услугу, рекомендуется дополнительно ознакомиться со статьей "Чем удобен интернет-банкинг", опубликованной на сайте www.itsec.ru, от 09.11.2007.