<Письмо> Банка России от 30.01.2009 N 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
от 30 января 2009 г. N 11-Т
ДЛЯ КРЕДИТНЫХ ОРГАНИЗАЦИЙ ПО ДОПОЛНИТЕЛЬНЫМ МЕРАМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ
СИСТЕМ ИНТЕРНЕТ-БАНКИНГА
В целях снижения рисков, возникающих при осуществлении кредитными организациями дистанционного банковского обслуживания, в том числе с применением интернет-технологий, Банком России были подготовлены и направлены в территориальные учреждения: Указание оперативного характера от 03.04.2004 N 16-Т "О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет", Письмо от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании" и Письмо от 31.03.2008 N 36-Т "Рекомендации по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга".
Вместе с тем, анализ конкретных обстоятельств попыток хищения денежных средств при использовании систем интернет-банкинга показывает, что для реализации преступных посягательств все чаще применяются технические средства, позволяющие удаленно, путем хакерских, вирусных или иных атак, осуществлять хищение ключей электронной цифровой подписи клиентов банков - юридических и физических лиц, которые, как правило, об этом не знают. А затем использовать эти ключи для проведения незаконных операций по счетам. Момент хищения при этом маскируется путем организации массированных DDOS-атак на Web-сайт кредитной организации, существенно затрудняющих клиентам возможность проверки состояния счета в реальном времени.
Территориальным учреждениям Банка России в целях обеспечения противодействия преступным посягательствам следует довести до кредитных организаций, использующих систему интернет-банкинга, информацию о необходимости принятия дополнительных мер безопасности и контроля при использовании ими для работы с клиентами указанной системы. В качестве таких мер предлагается следующее:
- для доступа клиентов к операционному Web-сайту кредитной организации (ее филиала) рекомендуется предлагать клиентам осуществлять информационное взаимодействие с банком в рамках интернет-банкинга с применением технических средств, имеющих заранее оговоренные индивидуальные дистанционно распознаваемые идентификационные признаки (IP- и MAC-адреса, названия и версии интернет-браузеров и т.п.);
- рекомендовать клиенту кредитной организации (ее филиала) в случае отсутствия возможности подключения к Web-сайту кредитной организации сообщать об этом в кредитную организацию по альтернативным, заранее оговоренным, каналам связи;
- кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS-атаки, принятие мер по нейтрализации DDOS-атак и т.п.);
- обратить особое внимание клиентов на необходимость строгого сохранения в тайне закрытого (секретного) ключа электронной цифровой подписи;
- обратить внимание клиентов на необходимость немедленной замены ключей электронной цифровой подписи в случаях их компрометации или подозрения на компрометацию, а также по истечении срока действия ключа с периодичностью, установленной документацией на средство криптографической защиты информации и правилами работы в системе. Кроме того, юридическим лицам рекомендуется заменять ключи электронной цифровой подписи во всех случаях увольнения или смены лиц, допущенных к этим ключам, а также руководителей юридического лица, которые подписывали решения (доверенности) о допуске пользователей к ключам электронной цифровой подписи;
- обратить внимание клиентов на увеличение риска хищения и дальнейшего неправомерного использования ключа электронной цифровой подписи и другой аутентификационной информации при доступе к системе интернет-банкинга с гостевых рабочих мест (интернет-кафе и т.д.);
- обращать внимание клиентов на необходимость обязательного постоянного использования клиентами системы интернет-банкинга антивирусного программного обеспечения и своевременной установки обновлений, выпускаемых разработчиками программного обеспечения систем Банк-клиент, операционной системы, web-броузеров (Microsoft Internet Explorer, Mozilla FireFox, Opera и т.д.).
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления