При обслуживания Банком клиентов с помощью интернет-банкинга (далее система ИБ), могут возникать следующие риски:
- 1. Риск несанкционированного доступа к системе ИБ со стороны клиентской части.
- 2. Риск неавторизованных действий.
- 3. Риски программных ошибок.
- 4. Риски несанкционированного доступа к системе ИБ со стороны Банка.
При составлении мер по минимизации рисков при:
- несанкционированном доступе со стороны клиента, необходимо рассмотреть действия при следующих случаях:
- потеря клиентом носителя с ЭЦП – ежемесячная сверка платежей клиентом и Банком через перечень документов, прошедших через систему Клиент-Банк, пункт договора о срочной приостановлении операций клиента по кодовому слову;
- обнаружение попыток подбора пароля доступа – ежемесячный анализ протоколов работы программного обеспечения в рамках проверки безопасности информационной инфраструктуры Банка;
- обнаружение попыток или факта перехвата ключа ЭЦП, пароля - ежемесячный анализ протоколов работы программного обеспечения в рамках проверки безопасности информационной инфраструктуры Банка.
- неавторизованных действиях клиента:
- необходимо оценить возможность предоставления возможности воспользоваться функциональными возможностями ПО при неавторизованном доступе в систему ИБ для нанесения различного ущерба - риска нет, т.к. набор функций в системах Клиент-Банка фиксирован и един для всех Клиентов.
- выявлении программных ошибках системы ИБ:
- необходимо знать общие характеристики систем (рекомендации, репутация на рынке ПО) – используется только ПО зарекомендовавшее себя, давние связи с фирмами-разработчиками;
- наличие у Банка поддержки системы ИБ фирмой-разработчиком, и своевременное обновление системы – по обоим системам имеется оплаченная поддержка, производится регулярное обновление ПО;
- наличие протоколирование работы системы ИБ, для снижения рисков возникновения конфликтных ситуаций между контрагентами – в наличии.
- При несанкционированном доступе к системе со стороны Банка:
- исключение Банка из процесса выработки ключей ЭЦП, регистрации клиентов в системе ИБ – специалисты Банка не могут участвовать в процессе регистрации клиента в системе, и выработке открытых и закрытых частей ЭЦП, процесс доступен только из клиентской части ПО;
- исключение возможности несанкционированной установки на компьютеры внутренней сети Банка программного обеспечения, которое может "прослушивать" сетевой трафик (права пользователей на клиентские рабочие станции, пароли в локальную сеть Банка и т.п.) – введены ограничения на права пользователей по установке программного обеспечения на компьютеры клиентов, проводятся мероприятия в рамках проверки безопасности информационной инфраструктуры Банка.
