» » » О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга

О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга

Обновлено: 1 января 2016 года
Российская Федерация
Письмо ЦБ РФ от 30 января 2009 года № 11-Т
О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга
Принято
Центральным банком Российской Федерации
  1. В целях снижения рисков, возникающих при осуществлении кредитными организациями дистанционного банковского обслуживания, в том числе с применением интернет-технологий, Банком России были подготовлены и направлены в территориальные учреждения: Указание оперативного характера от 03.04.2004 N 16-Т "О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет", Письмо от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании" и Письмо от 31.03.2008 N 36-Т "Рекомендации по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга".
  2. Вместе с тем, анализ конкретных обстоятельств попыток хищения денежных средств при использовании систем интернет-банкинга показывает, что для реализации преступных посягательств все чаще применяются технические средства, позволяющие удаленно, путем хакерских, вирусных или иных атак, осуществлять хищение ключей электронной цифровой подписи клиентов банков - юридических и физических лиц, которые, как правило, об этом не знают. А затем использовать эти ключи для проведения незаконных операций по счетам. Момент хищения при этом маскируется путем организации массированных DDOS-атак на Web-сайт кредитной организации, существенно затрудняющих клиентам возможность проверки состояния счета в реальном времени.
  3. Территориальным учреждениям Банка России в целях обеспечения противодействия преступным посягательствам следует довести до кредитных организаций, использующих систему интернет-банкинга, информацию о необходимости принятия дополнительных мер безопасности и контроля при использовании ими для работы с клиентами указанной системы. В качестве таких мер предлагается следующее:
  4. - для доступа клиентов к операционному Web-сайту кредитной организации (ее филиала) рекомендуется предлагать клиентам осуществлять информационное взаимодействие с банком в рамках интернет-банкинга с применением технических средств, имеющих заранее оговоренные индивидуальные дистанционно распознаваемые идентификационные признаки (IP- и MAC-адреса, названия и версии интернет-браузеров и т.п.);
  5. - рекомендовать клиенту кредитной организации (ее филиала) в случае отсутствия возможности подключения к Web-сайту кредитной организации сообщать об этом в кредитную организацию по альтернативным, заранее оговоренным, каналам связи;
  6. - кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS-атаки, принятие мер по нейтрализации DDOS-атак и т.п.);
  7. - обратить особое внимание клиентов на необходимость строгого сохранения в тайне закрытого (секретного) ключа электронной цифровой подписи;
  8. - обратить внимание клиентов на необходимость немедленной замены ключей электронной цифровой подписи в случаях их компрометации или подозрения на компрометацию, а также по истечении срока действия ключа с периодичностью, установленной документацией на средство криптографической защиты информации и правилами работы в системе. Кроме того, юридическим лицам рекомендуется заменять ключи электронной цифровой подписи во всех случаях увольнения или смены лиц, допущенных к этим ключам, а также руководителей юридического лица, которые подписывали решения (доверенности) о допуске пользователей к ключам электронной цифровой подписи;
  9. - обратить внимание клиентов на увеличение риска хищения и дальнейшего неправомерного использования ключа электронной цифровой подписи и другой аутентификационной информации при доступе к системе интернет-банкинга с гостевых рабочих мест (интернет-кафе и т.д.);
  10. - обращать внимание клиентов на необходимость обязательного постоянного использования клиентами системы интернет-банкинга антивирусного программного обеспечения и своевременной установки обновлений, выпускаемых разработчиками программного обеспечения систем Банк-клиент, операционной системы, web-броузеров (Microsoft Internet Explorer, Mozilla FireFox, Opera и т.д.).
  11. Г.Г.МЕЛИКЬЯН

Предыдущая новость - Письмо ФНС от 21 января 2009 года № МН-22-6

Следующая новость - Письмо ЦБ РФ и ФАС от 28 января 2009 года №№ 10-Т, АК