Новая методичка Банка России по безопасности ДБО

На чтение 2 мин Просмотров 31 Опубликовано 06/02/2013

Те немногочисленные посетители последней секции вчерашнего Инфофорума, посвященной защите дистанционного банковского обслуживания (ДБО), помнят доклад Андрея Щербакова, советника ДИС Банка России. Он анонсировал методические рекомендации по безопасности ДБО, разработанные ДИСом и Российской Академией Наук. Это было не только ново, но и неожиданно. Раньше ДИС не был замечен в этой области. Да и вопрос компетенции тоже сразу возник; все-таки это скорее тема ГУБиЗИ, чем ДИСа. Но оставим в стороне этот вопрос и посмотрим на сами требования, которые были любезны присланы по моей просьбе.

Разработчики рекомендаций выделяют 9 групп требований:

Требования по идентификации и аутентификации клиентов
Требования по идентификации и аутентификации клиента и удаленного банка
Требования по аутентификации и регистрации операций
Требования по защите транзакций
Требования к криптографической подсистеме
Требования по хранению ключей
Требования по безопасности программного окружения
Требования к журналам и аудиту
Технологические требования.

При этом, традиционно для ФСТЭК или ФСБ, но необычно для Банка России, выделяются три уровня безопасности –
минимальный, стандартный и повышенный, для каждого из которых меняется состав каждой из групп требований.Собственно ничего сверхсложного или непонятного в рекомендациях нет — все предельно понятно и выполнимо. Вопрос может вызвать криптография в мобильных ДБО, но требования по применению сертифицированных СКЗИ возникают только для повышенного уровня. В остальном все вполне на уровне.

По заявлениям Щербакова данный документ был направлен в 8-й центр ФСБ и получил положительную оценку. Правда, повторюсь, статус этого документа — рекомендации. Судьба тоже пока неочевидна — оно и понятно — они только анонсированы. Если их примут в ГУБиЗИ и ДРР и вставят либо в состав СТО, либо в обновляемое 382-П, либо в готовящийся документ по защите переводов с помощью электронных средств платежа, то будет неплохо. Хотя определенная конкуренция между департаментами внутри ЦБ всегда существовала и существует и это может помешать принять этот документ на вооружение. Посмотрим…

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Михаил Юрьевич Емельянников 06/02/2013 в 06:28

Меня потряс вывод о надежности 1 млн паролей — не менее 6 знаков с мощностью алфавита не менее 10. Послк этого интерес к докладу пропал напрочь.

Ответить
Алексей Лукацкий 06/02/2013 в 07:34

Ну с точки зрения практической и при блокировке пароля после трех неудачных попыток…

Ответить
Unknown 14/02/2013 в 04:55

Здравствуйте!
Не подскажете, есть ли в каких-либо документах по защите систем ДБО информация о том, с какой периодичностью необходимо менять ключи шифрования клиента. Или это полностью на усмотрении Банка?

Ответить
Алексей Лукацкий 14/02/2013 в 06:20

Не видел

Ответить
Алексей Лукацкий 14/02/2013 в 06:20

По идее, это указывается в эксплуатационной документации на СКЗИ

Ответить
Unknown 14/02/2013 в 06:27

Спасибо. К такому же выводу пришли, пошерстив по документам.

Ответить
Unknown 09/08/2013 в 11:23

Алексей, добрый день.
Подскажите где можно ознакомиться с этими рекомендациями?

Ответить