Рекомендации по информационной безопасности

Современная действительность диктует свои правила информационной безопасности (ИБ). Соблюдение этих правил призвано обеспечить защищенность интересов кредитной организации и её клиентов в условиях угроз в информационной сфере при оказании услуг дистанционного банковского обслуживания.

Задачи ИБ сводятся к минимизации ущерба, а также к прогнозированию и предотвращению случайных или злонамеренных воздействий. Для обеспечения надлежащей степени защищенности необходимо использование комплексного подхода, когда вопросам ИБ уделяется достаточно внимания как на стороне банка, так и на стороне клиента.

Для минимизации рисков при дистанционном банковском обслуживании Компания BSS рекомендует Банкам и их Клиентам:

  • Использовать в работе только лицензионные версии операционных систем и прикладного программного обеспечения;
  • Применять сертифицированные средства криптографической защиты информации (СКЗИ);
  • Применять и своевременно обновлять средства антивирусной защиты;
  • Своевременно устанавливать обновления безопасности для используемого ПО;
  • Разработать, постоянно совершенствовать и, безусловно, соблюдать:

— Политику ИБ в вопросах дистанционного банковского обслуживания, которая в обязательном порядке должна содержать:

  • требования к аппаратным и программным средствам, обеспечивающим информационную безопасность каналов связи в вопросах взаимодействия в рамках дистанционного банковского обслуживания;
  • требования к обязательности предоставления провайдерами Интернет-услуг механизмов защиты (в т. ч. и от DDOS-атак);
  • требование по разделению функции администраторов системы, СУБД и администраторов безопасности;
  • последовательность необходимых действий, осуществляемых при возникновении внештатной ситуации или при подозрении на неё.

— Регламент доступа к компьютерам и секретным ключам, который в обязательном порядке должен содержать:

  • перечень событий, наступление которых должно повлечь за собой немедленную замену/изъятие ключей электронной цифровой подписи;
  • предупреждающую информацию об увеличении риска хищения и дальнейшего неправомерного использования электронной цифровой подписи при доступе к системе интернет-банкинга с гостевых рабочих мест.

  • Разработанные Политику и Регламент доводить до сведения всех своих сотрудников, работа которых связана с системой ДБО, вести регулярный внутренний мониторинг;
  • Регулярно проводить обучение и аттестацию сотрудников с целью повышения их грамотности в области защиты информации. (В этом может помочь Учебный центр Компании BSS);
  • Разработать и регулярно обновлять, доводя в обязательном порядке до сведения своих клиентов, Памятку по обеспечению ИБ при использовании системы;
  • Применять современные технические средства:

— для снижения риска неправомерного доступа и использования услуг ДБО в результате похищения злоумышленниками идентификаторов клиента (логина, пароля и криптографических ключей) такие, как:

  • отторгаемые ключевые носители (токены, смарт-карты) с неизвлекаемым ключом;
  • генераторы одноразовых паролей или скретч-карты;
  • генераторы MAC-кодов (криптокалькуляторы);

— для защиты от сетевых атак такие, как:

  • сетевые брандмауэры (FireWall) для фильтрации и разграничения доступа;
  • системы обнаружения (IDS) и противодействия вторжениям (IPS);

Использовать весь доступный функционал используемого программного обеспечения системы ДБО:

— расширенные функции парольной защиты, включающие в себя ограничения на:

  • использование «простых» паролей;
  • минимальную длину паролей;
  • период запрета на повторное использование;
  • период действия паролей;
  • возможность задавать дату окончания срока действия пароля;
  • требование принудительной смены пароля при входе в систему;

— механизмы защиты от подбора учетных записей и паролей пользователей, в т. ч. с помощью программ-роботов;

— ограничение разрешенных IP- и MAC-адресов компьютеров клиентов, с которых допускается работа в системе;

  • Для повышения эффективности выявления случаев мошенничества и несанкционированного доступа к услугам ДБО использовать такие средства, как:

— уведомление как Клиентов, так и администраторов Банка по любым каналам связи о событиях, затрагивающих аспекты ИБ (например, с помощью продукта BSS «Сервер Нотификации»);

— использование механизмов регистрации событий в Системе, в т. ч. событий, связанных с ИБ;

— специализированные средства анализа операций на предмет выявления мошеннических операций (например, при помощи системы «FRAUD-Анализ» Компании BSS);

  • Регулярно проводить аудит системы обеспечения безопасности (в т. ч. и тесты на проникновение).

Весь этот комплекс мер — как организационных, так и технических, — позволит Банкам и их Клиентам обеспечить высочайший из доступных в настоящее время уровень защиты услуг дистанционного банковского обслуживания от внешних угроз.

Противодействие инсайдерам

Наибольшими возможностями для нанесения ущерба Банку и его Клиентам при осуществлении дистанционного банковского обслуживания обладает их собственный персонал (инсайдеры), а также ненадлежащим образом защищенная (с точки зрения ИБ) территория размещения банковской части систем ДБО и АРМ Клиента.

При необходимости обеспечения защиты от атак с участием инсайдеров Компания BSS рекомендует предусмотреть:

  • использование средств строгой аутентификации сотрудников на АРМ (с помощью отторгаемых носителей с неизвлекаемыми ключами);
  • разработку и внедрение строгой политики разграничения ролей и прав сотрудников и разграничения доступа к информационным ресурсам на базе этой политики с помощью специализированного программного обеспечения:

— сетевых брандмауэров (FireWall) для фильтрации и разграничения доступа сотрудников как к внешним, так и к внутренним ресурсам;

— SQL-брандмауэров (SQL-FireWall) для фильтрации SQL-запросов к СУБД;

— систем централизованного управления регистрационными данными сотрудников;

  • организацию разграничения физического доступа в помещения, в которых функционирует банковская часть системы ДБО.