Те немногочисленные посетители последней секции вчерашнего Инфофорума, посвященной защите дистанционного банковского обслуживания (ДБО), помнят доклад Андрея Щербакова, советника ДИС Банка России. Он анонсировал методические рекомендации по безопасности ДБО, разработанные ДИСом и Российской Академией Наук. Это было не только ново, но и неожиданно. Раньше ДИС не был замечен в этой области. Да и вопрос компетенции тоже сразу возник; все-таки это скорее тема ГУБиЗИ, чем ДИСа. Но оставим в стороне этот вопрос и посмотрим на сами требования, которые были любезны присланы по моей просьбе.
Разработчики рекомендаций выделяют 9 групп требований:
По заявлениям Щербакова данный документ был направлен в 8-й центр ФСБ и получил положительную оценку. Правда, повторюсь, статус этого документа - рекомендации. Судьба тоже пока неочевидна - оно и понятно - они только анонсированы. Если их примут в ГУБиЗИ и ДРР и вставят либо в состав СТО, либо в обновляемое 382-П, либо в готовящийся документ по защите переводов с помощью электронных средств платежа, то будет неплохо. Хотя определенная конкуренция между департаментами внутри ЦБ всегда существовала и существует и это может помешать принять этот документ на вооружение. Посмотрим...
Разработчики рекомендаций выделяют 9 групп требований:
- Требования по идентификации и аутентификации клиентов
- Требования по идентификации и аутентификации клиента и удаленного банка
- Требования по аутентификации и регистрации операций
- Требования по защите транзакций
- Требования к криптографической подсистеме
- Требования по хранению ключей
- Требования по безопасности программного окружения
- Требования к журналам и аудиту
- Технологические требования.
По заявлениям Щербакова данный документ был направлен в 8-й центр ФСБ и получил положительную оценку. Правда, повторюсь, статус этого документа - рекомендации. Судьба тоже пока неочевидна - оно и понятно - они только анонсированы. Если их примут в ГУБиЗИ и ДРР и вставят либо в состав СТО, либо в обновляемое 382-П, либо в готовящийся документ по защите переводов с помощью электронных средств платежа, то будет неплохо. Хотя определенная конкуренция между департаментами внутри ЦБ всегда существовала и существует и это может помешать принять этот документ на вооружение. Посмотрим...