Практический опыт защиты финансовых транзакций клиентов Банка
1. Служба информационной безопасности / Юрий Шульга, начальник отдела
Как снизить риски в
системе ДБО. Опыт банка
по использованию
устройств SafeTouch
23 мая 2017 года / PHDays 2017
2. 2
Концептуальная схема проблем в системах ДБО
ЦБ РФ ФСБ РФ ФСТЭК РФ
БАНКИ
Поставщики
решений
ДБО
Поставщики
СЗИ
КЛИЕНТЫ
ЮЛ + ФЛ
ЗЛОУМЫШЛЕННИКИ
Минкомсвязь РФ
3. 3
Комплекс решений безопасности системы ДБО
Правовой
риск
Операционный
риск
«Регуляторный»
риск
Риск потери
деловой репутации
Банковские
риски систем
ДБО
4. 4
Как снизить риски в системе ДБО. Правовой риск
Правовой риск
Письмом от 30 июня 2005 г. № 92-Т «Об организации управления
правовым риском и риском потери деловой репутации в
кредитных организациях и банковских группах» Банк России
определяет правовой риск как риск возникновения у кредитной
организации убытков вследствие влияния двух типов факторов -
внутренних и внешних. К внутренним факторам Банк России
относит (выписка):
• несоблюдение кредитной организацией законодательства
Российской Федерации;
• неспособность кредитной организации своевременно
приводить свою деятельность и внутренние документы в
соответствие с изменениями законодательства.
5. 5
Как снизить риски в системе ДБО. Правовой риск
Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной
подписи». Ст. 12, ч. 2, п. 1)
в предыдущей редакции:
2. При создании электронной подписи средства электронной
подписи должны:
1) показывать лицу, подписывающему электронный документ,
содержание информации, которую он подписывает;
в действующей ред. Федерального закона от 30.12.2015 № 445-
ФЗ :
1) показывать самостоятельно или с использованием
программных, программно-аппаратных и технических средств,
необходимых для отображения информации, подписываемой
с и с п о л ь з о в а н и е м у к а з а н н ы х с р е д с т в , л и ц у ,
осуществляющему создание электронной подписи, содержание
информации, подписание которой производится;
6. 6
Как снизить риски в системе ДБО. Правовой риск
Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной
подписи». Ст. 12, ч. 3, п. 1)
в предыдущей редакции:
3. При проверке электронной подписи средства электронной
подписи должны:
1) показывать содержание электронного документа, подписанного
электронной подписью;
;
в действующей ред. Федерального закона от 30.12.2015 № 445-
ФЗ :
1) показывать самостоятельно или с использованием
программных, программно-аппаратных и технических средств,
необходимых для отображения информации, подписанной с
использованием указанных средств, содержание электронного
документа, подписанного электронной подписью;
7. 7
Как снизить риски в системе ДБО. Правовой риск
Положение Банка России от 09.06.2012 № 382-П «О требованиях к
обеспечению защиты информации при осуществлении переводов
денежных средств… » в новой редакции, вступающей в силу 1
июля 2019 года.
Пункт 2.10 дополнить подпунктами 2.10.5 – 2.10.7 следующего
содержания:
2.10.5. При осуществлении переводов денежных средств с
использованием … «Интернет», оператор по переводу денежных
средств обеспечивает реализацию технологических мер по
разделению контуров подготовки и подтверждения клиентом
электронных сообщений (далее – разделение контуров) и (или)
реализует ограничения на параметры операций по осуществлению
переводов денежных средств…
8. 8
Как снизить риски в системе ДБО. Правовой риск
2.10.6. Реализуемые оператором по переводу денежных средств
технологические меры разделения контуров обеспечивают:
возможность использования клиентом независимых
программных сред для подготовки и подтверждения электронных
сообщений;
возможность контроля клиентом реквизитов распоряжений о
переводе денежных средств при подготовке электронных
сообщений (пакета электронных сообщений) и их подтверждении;
В зависимости от параметров и статистики выполняемых
операций, … оператор по переводу денежных средств
обеспечивает:
возможность выполнения подтверждения клиентом
электронных сообщений вне операционной системы,
используемой для подготовки электронных сообщений;
9. 9
Как снизить риски в системе ДБО. «Регуляторный» риск
Ответственность Банка за неисполнение Положения Банка России
от 09.06.2012 № 382-П «О требованиях к обеспечению защиты
информации при осуществлении переводов денежных средств… »
Сначала проверка, потом предписание, ну а потом, например:
[КоАП] [Глава 15]
Статья 15.36. Неисполнение предписания Банка России,
направленного им при осуществлении надзора в национальной
платежной системе
Повторное в течение года неисполнение оператором платежной
системы, … предписания Банка России, направленного им при
осуществлении надзора в национальной платежной системе, –
влечет наложение административного штрафа на должностных
лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на
юридических лиц – от ста тысяч до пятисот тысяч рублей.
10. 10
Как снизить риски в системе ДБО. Операционный риск
Экономит на персоналеКлиент среднего и
малого бизнеса
(СМБ) –
самый значимый
Клиент для
розничного банка Экономит на компьютере
Экономит на лицензионной ОС
Экономит на антивирусах и МСЭ
Клиент среднего и малого бизнеса –
«слабое» звено системы ДБО
11. 11
Как снизить риски в системе ДБО. Операционный риск
Как получить квалифицированную электронную
подпись Клиента, если:
1. Клиент работает в недоверенной среде?
2. Клиент на всем экономит?
Проблемы недоверенной среды
12. 12
Как снизить риски в системе ДБО. Операционный риск
2. Изменение условий договора с Клиентом – Правил ДБО. Переход от
«Рекомендаций…» к «Требованиям к Клиенту по обеспечению безопасности
информации…»
3. Регулярное доведение обновленных Требований до каждого Клиента путем
рассылки писем, анкетирования и т.п. Доведение Требований
непосредственно до сотрудников Клиента, работающих с системой ДБО
1. Разработка и регулярное уточнение специалистами Банка с привлечением
экспертов по безопасности минимально необходимого набора требований,
обеспечивающих безопасную эксплуатацию АРМ Клиента
4. Разработка других информационных материалов, направленных на
повышение осведомленности Клиента всеми возможными способами
Повышение осведомленности Клиента
13. 13
Как снизить риски в системе ДБО. Операционный риск
Вход в систему
через запрос/
получение SMS
SMS-
подтверждение
при подписи
платежа
Сервер
нотификации –
регулируемое
SMS-
уведомление
Клиента о
движении
средств
Средство
визуализации
подписываемых
данных
SafeTouch
Система «FRAUD-
Анализа» –
автоматизирован-
ная обработка
критериев
поведенческой
модели Клиентов
Дополнительные сервисы безопасности
14. 14
Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch
1. Внедрение СКЗИ КриптоПро ФКН CSP в форм-факторе смарт-карты
2. Внедрение средства визуализации подписываемых данных SafeTouch
Вместе СКЗИ КриптоПро ФКН CSP + средство визуализации
подписываемых данных SafeTouch образуют подсистему «Token
security» в составе системы ДБО BS-Client
Проект Перевод BSS Банк-Клиент на новую версию включает:
15. 15
Как снизить риски в системе ДБО. Опыт банка по использованию устройств SafeTouch
СПАСИБО ЗА ВНИМАНИЕ!
8 800 755 00 05
www.vbank.ru