Методические указания по контролю за рисками, связанными с Интернет-банкингом

При обслуживания Банком клиентов с помощью интернет-банкинга (далее система ИБ), могут возникать следующие риски:

  1. Риск несанкционированного доступа к системе ИБ со стороны клиентской части.
  2. Риск неавторизованных действий.
  3. Риски программных ошибок.
  4. Риски несанкционированного доступа к системе ИБ со стороны Банка.

При составлении мер по минимизации рисков при:

  • несанкционированном доступе со стороны клиента, необходимо рассмотреть действия при следующих случаях:
    • потеря клиентом носителя с ЭЦП – ежемесячная сверка платежей клиентом и Банком через перечень документов, прошедших через систему Клиент-Банк, пункт договора о срочной приостановлении операций клиента по кодовому слову;
    • обнаружение попыток подбора пароля доступа – ежемесячный анализ протоколов работы программного обеспечения в рамках проверки безопасности информационной инфраструктуры Банка;
    • обнаружение попыток или факта перехвата ключа ЭЦП, пароля - ежемесячный анализ протоколов работы программного обеспечения в рамках проверки безопасности информационной инфраструктуры Банка.
  • неавторизованных действиях клиента:
    • необходимо оценить возможность предоставления возможности воспользоваться функциональными возможностями ПО при неавторизованном доступе в систему ИБ для нанесения различного ущерба - риска нет, т.к. набор функций в системах Клиент-Банка фиксирован и един для всех Клиентов.
  • выявлении программных ошибках системы ИБ:
    • необходимо знать общие характеристики систем (рекомендации, репутация на рынке ПО) – используется только ПО зарекомендовавшее себя, давние связи с фирмами-разработчиками;
    • наличие у Банка поддержки системы ИБ фирмой-разработчиком, и своевременное обновление системы – по обоим системам имеется оплаченная поддержка, производится регулярное обновление ПО;
    • наличие протоколирование работы системы ИБ, для снижения рисков возникновения конфликтных ситуаций между контрагентами – в наличии.
  • При несанкционированном доступе к системе со стороны Банка:
    • исключение Банка из процесса выработки ключей ЭЦП, регистрации клиентов в системе ИБ – специалисты Банка не могут участвовать в процессе регистрации клиента в системе, и выработке открытых и закрытых частей ЭЦП, процесс доступен только из клиентской части ПО;
    • исключение возможности несанкционированной установки на компьютеры внутренней сети Банка программного обеспечения, которое может «прослушивать» сетевой трафик (права пользователей на клиентские рабочие станции, пароли в локальную сеть Банка и т.п.) – введены ограничения на права пользователей по установке программного обеспечения на компьютеры клиентов, проводятся мероприятия в рамках проверки безопасности информационной инфраструктуры Банка.
Только авторизованные участники могут оставлять комментарии.