06.02.2013

Новая методичка Банка России по безопасности ДБО

Те немногочисленные посетители последней секции вчерашнего Инфофорума, посвященной защите дистанционного банковского обслуживания (ДБО), помнят доклад Андрея Щербакова, советника ДИС Банка России. Он анонсировал методические рекомендации по безопасности ДБО, разработанные ДИСом и Российской Академией Наук. Это было не только ново, но и неожиданно. Раньше ДИС не был замечен в этой области. Да и вопрос компетенции тоже сразу возник; все-таки это скорее тема ГУБиЗИ, чем ДИСа. Но оставим в стороне этот вопрос и посмотрим на сами требования, которые были любезны присланы по моей просьбе.

Разработчики рекомендаций выделяют 9 групп требований:
  1. Требования по идентификации и аутентификации клиентов
  2. Требования по идентификации и аутентификации клиента и удаленного банка
  3. Требования по аутентификации и регистрации операций
  4. Требования по защите транзакций
  5. Требования к криптографической подсистеме
  6. Требования по хранению ключей
  7. Требования по безопасности программного окружения
  8. Требования к журналам и аудиту
  9. Технологические требования. 
При этом, традиционно для ФСТЭК или ФСБ, но необычно для Банка России, выделяются три уровня безопасности – минимальный, стандартный и повышенный, для каждого из которых меняется состав каждой из групп требований.Собственно ничего сверхсложного или непонятного в рекомендациях нет - все предельно понятно и выполнимо. Вопрос может вызвать криптография в мобильных ДБО, но требования по применению сертифицированных СКЗИ возникают только для повышенного уровня. В остальном все вполне на уровне.

 
По заявлениям Щербакова данный документ был направлен в 8-й центр ФСБ и получил положительную оценку. Правда, повторюсь, статус этого документа - рекомендации. Судьба тоже пока неочевидна - оно и понятно - они только анонсированы. Если их примут в ГУБиЗИ и ДРР и вставят либо в состав СТО, либо в обновляемое 382-П, либо в готовящийся документ по защите переводов с помощью электронных средств платежа, то будет неплохо. Хотя определенная конкуренция между департаментами внутри ЦБ всегда существовала и существует и это может помешать принять этот документ на вооружение. Посмотрим...


7 коммент.:

Михаил Емельянников комментирует...

Меня потряс вывод о надежности 1 млн паролей - не менее 6 знаков с мощностью алфавита не менее 10. Послк этого интерес к докладу пропал напрочь.

Алексей Лукацкий комментирует...

Ну с точки зрения практической и при блокировке пароля после трех неудачных попыток...

Сергей Любимцев комментирует...

Здравствуйте!
Не подскажете, есть ли в каких-либо документах по защите систем ДБО информация о том, с какой периодичностью необходимо менять ключи шифрования клиента. Или это полностью на усмотрении Банка?

Алексей Лукацкий комментирует...

Не видел

Алексей Лукацкий комментирует...

По идее, это указывается в эксплуатационной документации на СКЗИ

Сергей Любимцев комментирует...

Спасибо. К такому же выводу пришли, пошерстив по документам.

Roman Chaplygin комментирует...

Алексей, добрый день.
Подскажите где можно ознакомиться с этими рекомендациями?