Рекомендации по информационной безопасности

Современная действительность диктует свои правила информационной безопасности (ИБ). Соблюдение этих правил призвано обеспечить защищенность интересов кредитной организации и её клиентов в условиях угроз в информационной сфере при оказании услуг дистанционного банковского обслуживания.

Задачи ИБ сводятся к минимизации ущерба, а также к прогнозированию и предотвращению случайных или злонамеренных воздействий. Для обеспечения надлежащей степени защищенности необходимо использование комплексного подхода, когда вопросам ИБ уделяется достаточно внимания как на стороне банка, так и на стороне клиента.

Для минимизации рисков при дистанционном банковском обслуживании Компания BSS рекомендует Банкам и их Клиентам:

Использовать в работе только лицензионные версии операционных систем и прикладного программного обеспечения;
Применять сертифицированные средства криптографической защиты информации (СКЗИ);
Применять и своевременно обновлять средства антивирусной защиты;
Своевременно устанавливать обновления безопасности для используемого ПО;
Разработать, постоянно совершенствовать и, безусловно, соблюдать:

- Политику ИБ в вопросах дистанционного банковского обслуживания, которая в обязательном порядке должна содержать:

▪ требования к аппаратным и программным средствам, обеспечивающим информационную безопасность каналов связи в вопросах взаимодействия в рамках дистанционного банковского обслуживания;

▪ требования к обязательности предоставления провайдерами Интернет-услуг механизмов защиты (в т.ч. и от DDOS-атак);

▪ требование по разделению функции администраторов системы, СУБД и администраторов безопасности;

▪ последовательность необходимых действий, осуществляемых при возникновении внештатной ситуации или при подозрении на неё.

- Регламент доступа к компьютерам и секретным ключам, который в обязательном порядке должен содержать:

▪ перечень событий, наступление которых должно повлечь за собой немедленную замену/изъятие ключей электронной цифровой подписи;

▪ предупреждающую информацию об увеличении риска хищения и дальнейшего неправомерного использования электронной цифровой подписи при доступе к системе интернет-банкинга с гостевых рабочих мест.

Разработанные Политику и Регламент доводить до сведения всех своих сотрудников, работа которых связана с системой ДБО, вести регулярный внутренний мониторинг;
Регулярно проводить обучение и аттестацию сотрудников с целью повышения их грамотности в области защиты информации. (В этом может помочь Учебный центр Компании BSS);
Разработать и регулярно обновлять, доводя в обязательном порядке до сведения своих клиентов, Памятку по обеспечению ИБ при использовании системы;
Применять современные технические средства:

- для снижения риска неправомерного доступа и использования услуг ДБО в результате похищения злоумышленниками идентификаторов клиента (логина, пароля и криптографических ключей) такие, как:

▪ отторгаемые ключевые носители (токены, смарт-карты) с неизвлекаемым ключом;

▪ генераторы одноразовых паролей или скретч-карты;

▪ генераторы MAC-кодов (криптокалькуляторы);

- для защиты от сетевых атак такие, как:

▪ сетевые брандмауэры (FireWall) для фильтрации и разграничения доступа;

▪ системы обнаружения (IDS) и противодействия вторжениям (IPS);

Использовать весь доступный функционал используемого программного обеспечения системы ДБО:

- расширенные функции парольной защиты, включающие в себя ограничения на:

▪ использование «простых» паролей;

▪ минимальную длину паролей;

▪ период запрета на повторное использование;

▪ период действия паролей;

▪ возможность задавать дату окончания срока действия пароля;

▪ требование принудительной смены пароля при входе в систему;

- механизмы защиты от подбора учетных записей и паролей пользователей, в т.ч. с помощью программ-роботов;

- ограничение разрешенных IP- и MAC-адресов компьютеров клиентов, с которых допускается работа в системе;

Для повышения эффективности выявления случаев мошенничества и несанкционированного доступа к услугам ДБО использовать такие средства, как:

- уведомление как Клиентов, так и администраторов Банка по любым каналам связи о событиях, затрагивающих аспекты ИБ (например, с помощью продукта BSS «Сервер Нотификации»);

- использование механизмов регистрации событий в Системе, в т.ч. событий, связанных с ИБ;

- специализированные средства анализа операций на предмет выявления мошеннических операций (например, при помощи системы «FRAUD-Анализ» Компании BSS);

Регулярно проводить аудит системы обеспечения безопасности (в т.ч. и тесты на проникновение).

Весь этот комплекс мер – как организационных, так и технических, – позволит Банкам и их Клиентам обеспечить высочайший из доступных в настоящее время уровень защиты услуг дистанционного банковского обслуживания от внешних угроз.

Противодействие инсайдерам

Наибольшими возможностями для нанесения ущерба Банку и его Клиентам при осуществлении дистанционного банковского обслуживания обладает их собственный персонал (инсайдеры), а также ненадлежащим образом защищенная (с точки зрения ИБ) территория размещения банковской части систем ДБО и АРМ Клиента.

При необходимости обеспечения защиты от атак с участием инсайдеров Компания BSS рекомендует предусмотреть:

использование средств строгой аутентификации сотрудников на АРМ (с помощью отторгаемых носителей с неизвлекаемыми ключами);
разработку и внедрение строгой политики разграничения ролей и прав сотрудников и разграничения доступа к информационным ресурсам на базе этой политики с помощью специализированного программного обеспечения:

- сетевых брандмауэров (FireWall) для фильтрации и разграничения доступа сотрудников как к внешним, так и к внутренним ресурсам;

- SQL-брандмауэров (SQL-FireWall) для фильтрации SQL-запросов к СУБД;

- систем централизованного управления регистрационными данными сотрудников;

организацию разграничения физического доступа в помещения, в которых функционирует банковская часть системы ДБО.

Печать

Закрыть окно