Дипломная работа: Организация и перспективы дистанционного банковского обслуживания юридических лиц (на примере российского банка)

Пакет электронных документов - один или более ЭПД и / или ЭСИД, подписанных ЭЦП, при этом каждый ЭПД и / или ЭСИД в составе пакета не подписывается ЭЦП.

дистанционное банковское обслуживание россия

Подлинность ЭД (пакета ЭД) - положительный результат проверки ЭЦП зарегистрированного владельца, позволяющий установить факт неизменности содержания ЭД (пакета ЭД), включая все его реквизиты.

Центр сертификации или Удостоверяющий центр (англ.  Certification authority, CA) - это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Центр сертификации - это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

·  серийный номер сертификата;

·  объектный идентификатор алгоритма электронной подписи;

·  имя удостоверяющего центра;

·  срок годности;

·  имя владельца сертификата (имя пользователя, которому принадлежит сертификат;

·  открытые ключи владельца сертификата (ключей может быть несколько);

·  объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;

·  электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).

Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Таким образом, корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом аккредитованный центр получает "техническое право" работы и наследует "доверие" от организации выполнившей аккредитацию.

Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией проводящей аккредитацию в своих интересах и в соответствии со своими правилами.

Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации выполняющей аккредитацию.

Центр сертификации ключей имеет право:

·  предоставлять услуги по удостоверению сертификатов электронной цифровой подписи;

·  обслуживать сертификаты открытых ключей;

·  получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.

В настоящее время существует большое количество российских удостоверяющих центров, вот некоторые из них:

·  Удостоверяющий Центр ФГУП НИИ "Восход"

·  Удостоверяющий Центр ЗАО "ПФ "СКБ Контур"

·  Удостоверяющий Центр ЗАО "Орбита" (Краснодар)

·  Удостоверяющий Центр DIP

·  ООО Межрегиональный Удостоверяющий Центр

·  НП "Национальный Удостоверяющий центр"

·  ЗАО "АНК"

·  ООО ПНК

·  ЗАО Удостоверяющий Центр Ekey.ru (Москва)

·  ЗАО Удостоверяющий Центр (Санкт-Петербург)

·  Удостоверяющий центр Информационно-аналитического центра Санкт-Петербурга (Санкт-Петербург)

За рубежом также существует масса таких учреждений, ниже перечислены самые популярные и имеющие рейтинг "4 stars" и более

·  DigiCert,

·  SwissSign,

·  StartCom,

·  Entrust,

·  Trustwave.

В соответствии с письмом от 30.08.2006 №115-Т "Об исполнении ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая Интернет-банкинг)" Банк России обязал финансовые институты при оказании таких услуг идентифицировать не только владельца счета, но и других лиц, которые будут пользоваться этим счетом.

При этом ответственность банка по данным вопросам регламентирована крайне жестко. Нарушение требований закона может повлечь применение к Банку ответственности, предусмотренной ФЗ от 10.07.2002 года №86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (рекомендуемые меры воздействия предусмотрены Письмом Банка России от 13.07.2005 года №98-Т "О методических рекомендациях по применению Инструкции Банка России от 31.03.1997 № 59 "О применении к кредитным организациям мер воздействия при нарушениях кредитными организациями нормативных правовых актов в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").

В условиях кризиса обостряется битва за клиента в любой сфере бизнеса. И кредитно-финансовые организации здесь не исключение. Жесткая конкуренция приводит к необходимости улучшать обслуживание клиентов путём ввода новых видов услуг. Одним из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание, осуществляемое через сеть Интернет. Возможность полного управления своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало и будет привлекать клиентов.

Однако наряду с удобствами, которые получает клиент, осуществление ДБО через Интернет становится причиной возникновения угроз нового типа. С одной стороны это связано с тем, что существенно возрастает доля рисков (угроз), контролировать которые силами финансовой организации практически невозможно, с другой стороны не меньшую долю рисков (угроз) приносят вопросы организации ДБО.

Основными направлениями распределения рисков в области безопасности для систем ДБО являются:

вопросы организации эксплуатации систем ДБО;

клиенты, обслуживаемые через Интернет;

каналы связи, используемые для транзакций;

глобальная сеть Интернет.

Внедрение систем ДБО подразумевает вовлечение в процесс специалистов различных областей знаний финансовых специалистов, специалистов информатизации, информационной безопасности, юристов и др. Отсутствие четко организованного и регламентированного взаимодействия между различными подразделениями кредитной организации может привести к возникновению уязвимостей, которыми не преминут воспользоваться нарушители. Практика показывает, что реализация угроз с использованием имеющихся "слабых мест" в системах ДБО приводит к весьма существенным финансовым потерям и (или) ослаблению конкурентных преимуществ со стороны кредитной организации.

Анализ инцидентов, происходящих в системах ДБО, позволяет разделить потенциальных нарушителей на внешних по отношению к системе ДБО - то есть клиентов (как авторизованных, так и нет, то есть хакеров или преступников) и внутренних - из числа сотрудников банка.

Важно понимать, что информация, циркулирующая внутри систем ДБО, фактически эквивалента реальным деньгам, а значит создать условия, при которых угроза несанкционированного использования этой информации будет полностью исключена невозможно. Иными словами, всегда найдётся тот, кто захочет завладеть этой информацией. А значит, её нужно защищать.

Правила работы в системах ДБО не являются конфиденциальной информацией и любой желающий может получить к ним доступ. Единственной защитой клиента от злонамеренных действий является его идентификационная информация (логин, пароли, криптоключи). Именно за этой информацией идёт охота. В большинстве случаев нарушителю достаточно украсть идентификационную информацию клиента системы, чтобы получить полный доступ к его счёту. Возможностей совершить такую кражу более чем достаточно. Например, с помощью "хакерских" инструментов, свободно распространяемых в Интернет.

На сегодняшний день, в сети предлагается широкий ассортимент всевозможных программ для перехвата пароля с помощью троянов, keylogger’ов (программ, считывающих вводимую с клавиатуры информацию) - "шпионов", которые незаметно для клиента "подсаживаются" на его компьютер и "ждут" указаний от своего создателя (или мастер - машины) для выполнения какой-либо "полезной нагрузки". Причем хозяин компьютера может в течение весьма длительного срока не подозревать о наличии вредоносного кода на своём ПК ведь даже "активация" такого "шпиона" не всегда приводит к его обнаружению. Это связано с тем, что вместе со "шпионом" "в комплекте" идёт также руткит-технология, позволяющая скрыть следы активности вредоносного кода на ПК жертвы.

Бороться с вредоносными программами и "шпионами" на их нынешнем уровне развития с помощью устаревших технологий сигнатурного анализа, используя для этого мощности компьютера конечного пользователя (что, естественно, связано с замедлением его работы), весьма неэффективно, да и уже практически невозможно. Объясняется это тем, что код "шпионов" и им подобных, как правило, вовсе не является вредоносным для операционной системы компьютера, а их быстрая мутация ставит под сомнение возможность сигнатурного анализа. Наиболее адекватным решением на сегодняшний день видится совместное использование технологий контентной фильтрации и сигнатурного анализа при помощи комплексного шлюзового решения, установленного "на входе" в корпоративную сеть или же, что еще более правильно, используемого в сети провайдера, предоставляющего доступ в Интернет. Такое решение позволяет блокировать любой неразрешенный трафик, генерируемый "шпионом" с персональных компьютеров сети организации, предоставляет средства антивирусной защиты, web-фильтрации и защиты от спама, предотвращает утечку конфиденциальных сведений, и, наконец, позволяет регулировать время пребывания пользователей в сети Интернет и блокировать их доступ к неразрешенным ресурсам.

Сегодня кража паролей и криптоключей с незащищённых носителей являются обыденным явлением. Но, к сожалению, столь же обыденным можно назвать стремление некоторых банков экономить на системах безопасности. А ведь такая экономия зачастую приводит к многомиллионным потерям и далеко не всегда это потери исключительно клиента. Применение устаревших технологий, таких как организация доступа по "логину" и паролю, использование ключевых носителей не способных защитить от кражи хранящуюся на них информацию, рост "фишинговых" атак в значительной степени повышают риск несанкционированного доступа к системам ДБО.

С другой стороны, часто используемые механизмы защиты не могут обеспечить юридическую значимость совершаемых клиентом действий в системе. А этот вопрос в последнее время приобретает всё более важное значение. Как показывает судебная практика, доказать факт кражи у клиента его идентификационной информации не всегда представляется возможным, а вот то, что пароль был известен сотрудникам банка, доказывается легко. Суды зачастую встают на сторону клиента, даже если в договорных обязательствах предъявляются очень высокие требования по обеспечению ими сохранности своей идентификационной информации. Объясняется это весьма просто, клиент мог не обладать необходимыми знаниями или условиями, указанными в договоре, а вот банк должен был предусмотреть адекватные меры защиты.

Этот факт уже взят на вооружение злоумышленниками. Маскируясь под добросовестных клиентов, они всё чаще начинают пользоваться недоработками кредитных организаций в технологических и юридических вопросах связанных с эксплуатацией систем ДБО для отстаивания своей "правоты" в судах. И надо отметить, что, при квалифицированном подходе, попытки эти бывают весьма успешны.

Основными областями концентрации рисков, на которые кредитным организациям следует обращать внимание, являются следующие:

1) Нормативно распорядительная документация (договоры, регламенты, инструкции по использованию технологий ДБО и др.). Концентрация рисков в данной зоне связана с тем, что при внедрении и эксплуатации систем ДБО нормативно распорядительная документация должна обеспечить взаимодействие достаточно большого числа разносторонних сотрудников и внешних клиентов. Учитывая различные области производственной деятельности вовлечённых в процесс специалистов, вполне вероятно наличие нестыковок и недостаточная проработанность некоторых вопросов;

2) Отсутствие в кредитных организациях чёткой регламентации процессов, связанных с эксплуатацией систем ДБО, а также механизмов мониторинга адекватности действующей нормативной документации приводят к расширению состава негативных факторов, которые могут сказаться как на интересах клиентов, так и на финансовом состоянии организации;

3) Доступ пользователей к информационным ресурсам через не доверенную среду сети Интернет. Концентрация рисков в данной зоне связана, прежде всего, с ошибками или злоупотреблениями по предоставлению прав доступа и управлению идентификационными данными (паролями, криптоключами) клиентов. Кроме того, существенное влияние оказывают уязвимости программных, аппаратных средств и существующих технологий, а также рост попыток получения неправомерного доступа к информации, циркулирующей в системах ДБО;

4) Использование устаревших технологий создаёт дополнительные риски, вероятность реализации которых с течением времени увеличивается.

Основными направлениями в клиентской части системы, на которые следует обращать пристальное внимание, являются:

недостаточная проработанность документов, регламентирующих права и обязанности клиентов при получении услуг;

недостатки в обеспечении информационной безопасности;

недостатки, присущие конкретной банковской технологии ДБО;

недостатки и уязвимости, присущие операционным системам и другим прикладным программам, эксплуатируемым клиентами;

последствия, обусловленные ошибочными действиями персонала кредитной организации или безграмотностью клиентов.

Для кредитной организации направления, нуждающиеся в тщательной проработке, следующие:

недостаточная проработанность документов, призванных осуществить адаптацию довольно большого количества внутренних процессов и процедур к новым условиям деятельности;

недостатки в вопросах технического обеспечения информационной безопасности системы ДБО;

недостаточный анализ при внедрении новой банковской технологии, ориентированной на ДБО через Интернет, анализ тех "неприятностей" (организационных, юридических), которые клиент может доставить кредитной организации;

значительная зависимость кредитной организации от других вовлеченных в процесс сторон (провайдеров, поставщиков программно-аппаратных средств и др.).

Анализ существующих факторов риска поможет выявить процессы, влияющие на их уровень. Этот анализ должен включать:

разработку и поддержание в актуальном состоянии нормативно распорядительных документов;

поддержание требуемого уровня информационной безопасности, включая управление жизненным циклом автоматизированных систем (от разработки до окончания эксплуатации);

администрирование вычислительной сети и телекоммуникационного оборудования;

управление идентификацией и доступом пользователей к информационным ресурсам;

внедрение новых технологий повышающих безопасность эксплуатации систем ДБО;

мониторинг сетевого трафика с целью обнаружения вредоносного кода и вторжений.

Для своевременного реагирования на существующие риски кредитным организациям необходимо обеспечить выполнение комплекса организационных и технических мероприятий, направленных на обеспечение безопасного функционирования системы ДБО. Обеспечение удобства работы клиентов в системе, при выполнении такого комплекса, может явиться дополнительным конкурентным преимуществом.

Существует мнение, что усиление безопасности всегда негативно сказывается на удобстве работы клиента. Это не верно. Если безопасность не является "параноидальной", а используемые технологии современны и адекватны наличествующим угрозам, обеспечить одновременно удобную и безопасную работу для клиента вполне возможно.

Не менее распространённым является мнение о том, что необходимость дополнительных расходов за обеспечение безопасности всегда негативно воспринимается клиентами и ведёт к снижению их числа. Как показывает опыт передовых банков, если клиентам правильно и доходчиво объясняются существующие риски и возможные последствия, то, при наличии выбора механизма защиты, практически всегда выбор делается в пользу более высокого уровня безопасности. Поэтому внедрение новых безопасных аппаратных средств защиты идентификационной информации является насущной необходимостью.

Безусловно, стоимость и эффективность внедряемых технологий должна соответствовать тем объёмам финансовых операций, которые совершает клиент. Так, в случае небольших объёмов, для физических лиц чаще используются технологии одноразовых паролей, которые наряду с применением "запоминаемого" пароля, дают существенное увеличение безопасности совершаемых операций, при относительно небольшой стоимости. Использование инфраструктуры открытых ключей наряду с ключевыми носителями, способными надёжно сохранять идентификационную информацию о клиенте, по-прежнему остаётся практически безальтернативным вариантом для юридических лиц.

В последнее время появились довольно интересные решения в области повышения безопасности. Так, для технологии ЭЦП на рынке предлагаются смарт-карты на базе платформы Java, которые способны выполнить ЭЦП по алгоритму ГОСТ 34-10 2001 г., без использования криптопровайдера. При этом все криптографические операции с секретным ключом выполняются внутри смарт-карты, секретный ключ её никогда не покидает. Эта технология сводит к нулю вероятность кражи секретного ключа пользователя. Доступ к самой смарт-карте защищается PIN-кодом и, если она попадёт в посторонние руки, злоумышленнику не удастся ей воспользоваться. Кроме того, данная технология не требует установки, какого либо клиентского программного обеспечения на рабочем месте клиента. Совокупность всех этих факторов предоставляет клиентам высокую степень безопасности, удобство в работе и, главное, мобильность (клиент может получить доступ к системе практически с любого компьютера).

Ещё одной новинкой является технология, расширяющая возможности применения средств аутентификации для обеспечения защищенного удаленного доступа к информационным ресурсам. Она основана на жесткой фиксации адреса сервера ДБО внутри смарт-карты. При этом сама смарт-карта имеет "загрузчик" который позволяет в доверенном режиме скачать с сервера необходимое для работы в системе ДБО программное обеспечение. Клиент, использующий данную технологию, не может быть перенаправлен на какой либо другой сервер, при этом доступ к информационным ресурсам организуется с использованием SSL-протокола (Secure Sockets Layer - слой защищенных соединений), но без установки клиентского программного обеспечения. Эта технология делает практически невозможными "фишинг - атаки" и перехват критически важной информации.

Своевременный учёт и анализ реально существующих факторов риска позволяет разработать, а затем реализовать комплекс организационных и технических мероприятий, значительно снижающих вероятность реализации угроз информационной безопасности. Недооценка важности технических или организационных составляющих (равно, как и "перекос" в сторону одной из них) одинаково негативно отражается на безопасности систем ДБО.

Затраты на развитие и модернизацию технологий защиты систем ДБО, оправдывают себя, поскольку с одной стороны позволяют избежать значительных финансовых потерь, а с другой способствуют улучшению условий работы клиента. Кроме того, если смотреть на вопрос с позиции экономики: эти затраты, по сути, являются инвестициями в развитие конкурентных преимуществ банковских технологий.

Лидирующее место по разработке и поставке программного обеспечения ДБО на рынке на данный момент занимает компания BSS.

Основные системы, которые предлагает Компания своим Клиентам:

"ДБО BS-Client" - комплексное интегрированное решение, включающее в себя весь спектр банковских услуг, предоставляемых за пределами офиса банка юридическим лицам;

"ДБО BS-Client. Частный Клиент" - полнофункциональное тиражируемое решение, обеспечивающее удобное и надежное электронное обслуживание розничных клиентов банка с помощью Интернет, КПК, киосков самообслуживания, сотовых и обычных телефонов;

"Расчетный Центр Корпорации" (РЦК) - полнофункциональное решение в сфере автоматизации централизованного управления в режиме реального времени корпоративными финансами предприятий с территориальной и организационной структурой любой сложности;

"CORREQTS"  - решение для автоматизации фронт-офиса банка (финансовой компании), всей сферы контакта с конечным потребителем банковских и финансовых услуг.

Спектр продуктов и услуг Компании постоянно расширяется. Сегодня Компания успешно развивает следующие бизнес-направления:

Системная интеграция - проектные работы по обеспечению комплексного взаимодействия различных автоматизированных систем - АБС, программного обеспечения процессингового центра, систем дистанционного банковского обслуживания, внешних платежных и других информационных систем;

CRM-решения - проектные работы по выработке и реализации полноценной методологии управления взаимоотношениями с клиентами на базе продукта Terrasoft CRM Bank;

Учебный центр - профессиональная подготовка IT персонала в сфере ДБО и ИТ.

Более 50% крупнейших банков России используют системы, разработанные Компанией. В частности, по данным аналитических исследований CNews Analytics за 2009 год, 24 из 50 ведущих банков РФ используют подсистему "Интернет-Клиент" системы "ДБО BS-Client", а 28 из 50 - подсистему "Банк-Клиент". В целом, решения Компании эксплуатируются более чем в 1500 кредитных организациях России и стран СНГ.

В число клиентов Компании входят Банк ВТБ (ОАО), ГПБ (ОАО), ОАО "Россельхозбанк", ОАО "УРАЛСИБ", ЗАО ЮниКредит Банк, "НОМОС-БАНК" ОАО, ОАО Банк "Петрокоммерц", ОАО "АК БАРС" БАНК, ОАО АКБ "Связь-Банк", ОАО "ТрансКредитБанк", Банк "Возрождение" (ОАО), "ТУСАР банк" ЗАО и др.

По данным рейтингов РА "Эксперт" и Интернет-издания CNews.ru, BSS входит в сотню крупнейших и наиболее активно развивающихся IT-компаний России. Система менеджмента качества BSS сертифицирована по международному стандарту ISO 9001: 2000 (первой среди специализирующихся на решениях в сфере ДБО).

Страницы: 1, 2, 3, 4, 5