====== Методические указания по контролю за рисками, связанными с Интернет-банкингом ====== При обслуживания Банком клиентов с помощью интернет-банкинга (далее система ИБ), могут возникать следующие риски: - Риск несанкционированного доступа к системе ИБ со стороны клиентской части. - Риск неавторизованных действий. - Риски программных ошибок. - Риски несанкционированного доступа к системе ИБ со стороны Банка. При составлении мер по минимизации рисков при: * несанкционированном доступе со стороны клиента, необходимо рассмотреть действия при следующих случаях: * потеря клиентом носителя с ЭЦП – ежемесячная сверка платежей клиентом и Банком через перечень документов, прошедших через систему Клиент-Банк, пункт договора о срочной приостановлении операций клиента по кодовому слову; * обнаружение попыток подбора пароля доступа – ежемесячный анализ протоколов работы программного обеспечения в рамках проверки безопасности информационной инфраструктуры Банка; * обнаружение попыток или факта перехвата ключа ЭЦП, пароля - ежемесячный анализ протоколов работы программного обеспечения в рамках проверки безопасности информационной инфраструктуры Банка. * неавторизованных действиях клиента: * необходимо оценить возможность предоставления возможности воспользоваться функциональными возможностями ПО при неавторизованном доступе в систему ИБ для нанесения различного ущерба - риска нет, т.к. набор функций в системах Клиент-Банка фиксирован и един для всех Клиентов. * выявлении программных ошибках системы ИБ: * необходимо знать общие характеристики систем (рекомендации, репутация на рынке ПО) – используется только ПО зарекомендовавшее себя, давние связи с фирмами-разработчиками; * наличие у Банка поддержки системы ИБ фирмой-разработчиком, и своевременное обновление системы – по обоим системам имеется оплаченная поддержка, производится регулярное обновление ПО; * наличие протоколирование работы системы ИБ, для снижения рисков возникновения конфликтных ситуаций между контрагентами – в наличии. * При несанкционированном доступе к системе со стороны Банка: * исключение Банка из процесса выработки ключей ЭЦП, регистрации клиентов в системе ИБ – специалисты Банка не могут участвовать в процессе регистрации клиента в системе, и выработке открытых и закрытых частей ЭЦП, процесс доступен только из клиентской части ПО; * исключение возможности несанкционированной установки на компьютеры внутренней сети Банка программного обеспечения, которое может "прослушивать" сетевой трафик (права пользователей на клиентские рабочие станции, пароли в локальную сеть Банка и т.п.) – введены ограничения на права пользователей по установке программного обеспечения на компьютеры клиентов, проводятся мероприятия в рамках проверки безопасности информационной инфраструктуры Банка.