Новая методичка Банка России по безопасности ДБО

Новая методичка Банка России по безопасности ДБО
Те немногочисленные посетители последней секции вчерашнего Инфофорума, посвященной защите дистанционного банковского обслуживания (ДБО), помнят доклад Андрея Щербакова, советника ДИС Банка России. Он анонсировал методические рекомендации по безопасности ДБО, разработанные ДИСом и Российской Академией Наук. Это было не только ново, но и неожиданно. Раньше ДИС не был замечен в этой области. Да и вопрос компетенции тоже сразу возник; все-таки это скорее тема ГУБиЗИ, чем ДИСа. Но оставим в стороне этот вопрос и посмотрим на сами требования, которые были любезны присланы по моей просьбе.

Разработчики рекомендаций выделяют 9 групп требований:
  1. Требования по идентификации и аутентификации клиентов
  2. Требования по идентификации и аутентификации клиента и удаленного банка
  3. Требования по аутентификации и регистрации операций
  4. Требования по защите транзакций
  5. Требования к криптографической подсистеме
  6. Требования по хранению ключей
  7. Требования по безопасности программного окружения
  8. Требования к журналам и аудиту
  9. Технологические требования. 
При этом, традиционно для ФСТЭК или ФСБ, но необычно для Банка России, выделяются три уровня безопасности – минимальный, стандартный и повышенный, для каждого из которых меняется состав каждой из групп требований.Собственно ничего сверхсложного или непонятного в рекомендациях нет - все предельно понятно и выполнимо. Вопрос может вызвать криптография в мобильных ДБО, но требования по применению сертифицированных СКЗИ возникают только для повышенного уровня. В остальном все вполне на уровне.

 
По заявлениям Щербакова данный документ был направлен в 8-й центр ФСБ и получил положительную оценку. Правда, повторюсь, статус этого документа - рекомендации. Судьба тоже пока неочевидна - оно и понятно - они только анонсированы. Если их примут в ГУБиЗИ и ДРР и вставят либо в состав СТО, либо в обновляемое 382-П, либо в готовящийся документ по защите переводов с помощью электронных средств платежа, то будет неплохо. Хотя определенная конкуренция между департаментами внутри ЦБ всегда существовала и существует и это может помешать принять этот документ на вооружение. Посмотрим...


законодательство ДБО Банк России
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.