ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 30 января 2009 года N 11-Т
О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга
В целях снижения рисков, возникающих при осуществлении кредитными организациями дистанционного банковского обслуживания, в том числе с применением интернет-технологий, Банком России были подготовлены и направлены в территориальные учреждения: Указание оперативного характера от 03.04.2004 N 16-Т "О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет", Письмо от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании" и Письмо от 31.03.2008 N 36-Т "Рекомендации по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга".
Вместе с тем, анализ конкретных обстоятельств попыток хищения денежных средств при использовании систем интернет-банкинга показывает, что для реализации преступных посягательств все чаще применяются технические средства, позволяющие удаленно, путем хакерских, вирусных или иных атак, осуществлять хищение ключей электронной цифровой подписи клиентов банков - юридических и физических лиц, которые, как правило, об этом не знают. А затем использовать эти ключи для проведения незаконных операций по счетам. Момент хищения при этом маскируется путем организации массированных DDOS-атак на Web-сайт кредитной организации, существенно затрудняющих клиентам возможность проверки состояния счета в реальном времени.
Территориальным учреждениям Банка России в целях обеспечения противодействия преступным посягательствам следует довести до кредитных организаций, использующих систему интернет-банкинга, информацию о необходимости принятия дополнительных мер безопасности и контроля при использовании ими для работы с клиентами указанной системы. В качестве таких мер предлагается следующее:
- для доступа клиентов к операционному Web-сайту кредитной организации (ее филиала) рекомендуется предлагать клиентам осуществлять информационное взаимодействие с банком в рамках интернет-банкинга с применением технических средств, имеющих заранее оговоренные индивидуальные дистанционно распознаваемые идентификационные признаки (IP- и MAC-адреса, названия и версии интернет-браузеров и т.п.);
- рекомендовать клиенту кредитной организации (ее филиала) в случае отсутствия возможности подключения к Web-сайту кредитной организации сообщать об этом в кредитную организацию по альтернативным, заранее оговоренным, каналам связи;
- кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS-атаки, принятие мер по нейтрализации DDOS-атак и т.п.);
- обратить особое внимание клиентов на необходимость строгого сохранения в тайне закрытого (секретного) ключа электронной цифровой подписи;
- обратить внимание клиентов на необходимость немедленной замены ключей электронной цифровой подписи в случаях их компрометации или подозрения на компрометацию, а также по истечении срока действия ключа с периодичностью, установленной документацией на средство криптографической защиты информации и правилами работы в системе. Кроме того, юридическим лицам рекомендуется заменять ключи электронной цифровой подписи во всех случаях увольнения или смены лиц, допущенных к этим ключам, а также руководителей юридического лица, которые подписывали решения (доверенности) о допуске пользователей к ключам электронной цифровой подписи;
- обратить внимание клиентов на увеличение риска хищения и дальнейшего неправомерного использования ключа электронной цифровой подписи и другой аутентификационной информации при доступе к системе интернет-банкинга с гостевых рабочих мест (интернет-кафе и т.д.);
- обращать внимание клиентов на необходимость обязательного постоянного использования клиентами системы интернет-банкинга антивирусного программного обеспечения и своевременной установки обновлений, выпускаемых разработчиками программного обеспечения систем Банк - клиент, операционной системы, web-броузеров (Microsoft Internet Explorer, Mozilla FireFox, Opera и т.д.).
Г.Г.Меликьян
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
файл-рассылка