Pages - Menu

Страницы

6.2.13

Новая методичка Банка России по безопасности ДБО

Те немногочисленные посетители последней секции вчерашнего Инфофорума, посвященной защите дистанционного банковского обслуживания (ДБО), помнят доклад Андрея Щербакова, советника ДИС Банка России. Он анонсировал методические рекомендации по безопасности ДБО, разработанные ДИСом и Российской Академией Наук. Это было не только ново, но и неожиданно. Раньше ДИС не был замечен в этой области. Да и вопрос компетенции тоже сразу возник; все-таки это скорее тема ГУБиЗИ, чем ДИСа. Но оставим в стороне этот вопрос и посмотрим на сами требования, которые были любезны присланы по моей просьбе.

Разработчики рекомендаций выделяют 9 групп требований:
  1. Требования по идентификации и аутентификации клиентов
  2. Требования по идентификации и аутентификации клиента и удаленного банка
  3. Требования по аутентификации и регистрации операций
  4. Требования по защите транзакций
  5. Требования к криптографической подсистеме
  6. Требования по хранению ключей
  7. Требования по безопасности программного окружения
  8. Требования к журналам и аудиту
  9. Технологические требования. 
При этом, традиционно для ФСТЭК или ФСБ, но необычно для Банка России, выделяются три уровня безопасности – минимальный, стандартный и повышенный, для каждого из которых меняется состав каждой из групп требований.Собственно ничего сверхсложного или непонятного в рекомендациях нет - все предельно понятно и выполнимо. Вопрос может вызвать криптография в мобильных ДБО, но требования по применению сертифицированных СКЗИ возникают только для повышенного уровня. В остальном все вполне на уровне.

 
По заявлениям Щербакова данный документ был направлен в 8-й центр ФСБ и получил положительную оценку. Правда, повторюсь, статус этого документа - рекомендации. Судьба тоже пока неочевидна - оно и понятно - они только анонсированы. Если их примут в ГУБиЗИ и ДРР и вставят либо в состав СТО, либо в обновляемое 382-П, либо в готовящийся документ по защите переводов с помощью электронных средств платежа, то будет неплохо. Хотя определенная конкуренция между департаментами внутри ЦБ всегда существовала и существует и это может помешать принять этот документ на вооружение. Посмотрим...


7 комментариев:

  1. Михаил Юрьевич Емельянников6 февраля 2013 г. в 10:28

    Меня потряс вывод о надежности 1 млн паролей - не менее 6 знаков с мощностью алфавита не менее 10. Послк этого интерес к докладу пропал напрочь.

    ОтветитьУдалить
  2. Алексей Лукацкий6 февраля 2013 г. в 11:34

    Ну с точки зрения практической и при блокировке пароля после трех неудачных попыток...

    ОтветитьУдалить
  3. Unknown14 февраля 2013 г. в 08:55

    Здравствуйте!
    Не подскажете, есть ли в каких-либо документах по защите систем ДБО информация о том, с какой периодичностью необходимо менять ключи шифрования клиента. Или это полностью на усмотрении Банка?

    ОтветитьУдалить
  4. Алексей Лукацкий14 февраля 2013 г. в 10:20

    Не видел

    ОтветитьУдалить
  5. Алексей Лукацкий14 февраля 2013 г. в 10:20

    По идее, это указывается в эксплуатационной документации на СКЗИ

    ОтветитьУдалить
  6. Unknown14 февраля 2013 г. в 10:27

    Спасибо. К такому же выводу пришли, пошерстив по документам.

    ОтветитьУдалить
  7. Unknown9 августа 2013 г. в 15:23

    Алексей, добрый день.
    Подскажите где можно ознакомиться с этими рекомендациями?

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.