- Главная>
- Услуги>
- Сопровождение клиентов>
- Рекомендации по информационной безопасности
Рекомендации по информационной безопасности
Современная действительность диктует свои правила информационной безопасности (ИБ). Соблюдение этих правил призвано обеспечить защищенность интересов кредитной организации и её клиентов в условиях угроз в информационной сфере при оказании услуг дистанционного банковского обслуживания.
Задачи ИБ сводятся к минимизации ущерба, а также к прогнозированию и предотвращению случайных или злонамеренных воздействий. Для обеспечения надлежащей степени защищенности необходимо использование комплексного подхода, когда вопросам ИБ уделяется достаточно внимания как на стороне банка, так и на стороне клиента.
Для минимизации рисков при дистанционном банковском обслуживании Компания BSS рекомендует Банкам и их Клиентам:
- Использовать в работе только лицензионные версии операционных систем и прикладного программного обеспечения;
- Применять сертифицированные средства криптографической защиты информации (СКЗИ);
- Применять и своевременно обновлять средства антивирусной защиты;
- Своевременно устанавливать обновления безопасности для используемого ПО;
- Разработать, постоянно совершенствовать и, безусловно, соблюдать:
— Политику ИБ в вопросах дистанционного банковского обслуживания, которая в обязательном порядке должна содержать:
- требования к аппаратным и программным средствам, обеспечивающим информационную безопасность каналов связи в вопросах взаимодействия в рамках дистанционного банковского обслуживания;
- требования к обязательности предоставления провайдерами Интернет-услуг механизмов защиты (в т. ч. и от DDOS-атак);
- требование по разделению функции администраторов системы, СУБД и администраторов безопасности;
- последовательность необходимых действий, осуществляемых при возникновении внештатной ситуации или при подозрении на неё.
— Регламент доступа к компьютерам и секретным ключам, который в обязательном порядке должен содержать:
- перечень событий, наступление которых должно повлечь за собой немедленную замену/изъятие ключей электронной цифровой подписи;
- предупреждающую информацию об увеличении риска хищения и дальнейшего неправомерного использования электронной цифровой подписи при доступе к системе интернет-банкинга с гостевых рабочих мест.
- Разработанные Политику и Регламент доводить до сведения всех своих сотрудников, работа которых связана с системой ДБО, вести регулярный внутренний мониторинг;
- Регулярно проводить обучение и аттестацию сотрудников с целью повышения их грамотности в области защиты информации. (В этом может помочь Учебный центр Компании BSS);
- Разработать и регулярно обновлять, доводя в обязательном порядке до сведения своих клиентов, Памятку по обеспечению ИБ при использовании системы;
- Применять современные технические средства:
— для снижения риска неправомерного доступа и использования услуг ДБО в результате похищения злоумышленниками идентификаторов клиента (логина, пароля и криптографических ключей) такие, как:
- отторгаемые ключевые носители (токены, смарт-карты) с неизвлекаемым ключом;
- генераторы одноразовых паролей или скретч-карты;
- генераторы MAC-кодов (криптокалькуляторы);
— для защиты от сетевых атак такие, как:
- сетевые брандмауэры (FireWall) для фильтрации и разграничения доступа;
- системы обнаружения (IDS) и противодействия вторжениям (IPS);
Использовать весь доступный функционал используемого программного обеспечения системы ДБО:
— расширенные функции парольной защиты, включающие в себя ограничения на:
- использование «простых» паролей;
- минимальную длину паролей;
- период запрета на повторное использование;
- период действия паролей;
- возможность задавать дату окончания срока действия пароля;
- требование принудительной смены пароля при входе в систему;
— механизмы защиты от подбора учетных записей и паролей пользователей, в т. ч. с помощью программ-роботов;
— ограничение разрешенных IP- и MAC-адресов компьютеров клиентов, с которых допускается работа в системе;
- Для повышения эффективности выявления случаев мошенничества и несанкционированного доступа к услугам ДБО использовать такие средства, как:
— уведомление как Клиентов, так и администраторов Банка по любым каналам связи о событиях, затрагивающих аспекты ИБ (например, с помощью продукта BSS «Сервер Нотификации»);
— использование механизмов регистрации событий в Системе, в т. ч. событий, связанных с ИБ;
— специализированные средства анализа операций на предмет выявления мошеннических операций (например, при помощи системы «FRAUD-Анализ» Компании BSS);
- Регулярно проводить аудит системы обеспечения безопасности (в т. ч. и тесты на проникновение).
Весь этот комплекс мер — как организационных, так и технических, — позволит Банкам и их Клиентам обеспечить высочайший из доступных в настоящее время уровень защиты услуг дистанционного банковского обслуживания от внешних угроз.
Противодействие инсайдерам
Наибольшими возможностями для нанесения ущерба Банку и его Клиентам при осуществлении дистанционного банковского обслуживания обладает их собственный персонал (инсайдеры), а также ненадлежащим образом защищенная (с точки зрения ИБ) территория размещения банковской части систем ДБО и АРМ Клиента.
При необходимости обеспечения защиты от атак с участием инсайдеров Компания BSS рекомендует предусмотреть:
- использование средств строгой аутентификации сотрудников на АРМ (с помощью отторгаемых носителей с неизвлекаемыми ключами);
- разработку и внедрение строгой политики разграничения ролей и прав сотрудников и разграничения доступа к информационным ресурсам на базе этой политики с помощью специализированного программного обеспечения:
— сетевых брандмауэров (FireWall) для фильтрации и разграничения доступа сотрудников как к внешним, так и к внутренним ресурсам;
— SQL-брандмауэров (SQL-FireWall) для фильтрации SQL-запросов к СУБД;
— систем централизованного управления регистрационными данными сотрудников;
- организацию разграничения физического доступа в помещения, в которых функционирует банковская часть системы ДБО.