Обеспечение безопасности информации при эксплуатации системы «Интернет-банк»

Безопасность использования системы «Интернет-Банк» обеспечивается использованием системы ограничения доступа к Банковскому оборудованию, ограничения доступа к АРМ Клиента и системы защиты информации, передаваемой по каналам связи.

Системы ограничения доступа и защиты информации:

• Система ограничения доступа к Банковскому оборудованию состоит из:
  — Ограничения физического доступа в специализированное защищенное помещение (серверная) по списку лиц, утвержденного приказом Председателя Правления Банка.
  — Системы парольной защиты входа в операционную систему сервера, на котором установлено программное обеспечение системы «Интернет-Банк».
  — Системы парольной защиты входа в программное обеспечение системы «Интернет-Банк».
  — Системы привязки программного обеспечения системы «Интернет-Банк» к серверному оборудованию.
• Система защиты информации, передаваемой по каналам связи, включает в себя подсистему обеспечения конфиденциальности информации и подсистему обеспечения ее подлинности и авторства.
• Конфиденциальность информации обеспечивается шифрованием всей передаваемой информации.
• Подлинность и авторство информации обеспечивается применением ЭЦП лиц, имеющих право «первой» подписи расчетных документов Клиента. ЭЦП Клиента подписывается каждый документ, передаваемый по Системе «Интернет-Банк» от Клиента Банку, а ЭЦП Банка — передаваемый от Банка Клиенту.
• Каждая из Сторон имеет на носителях свой комплект Ключей, в который входят:
  — закрытые ключи шифрования и ЭЦП;
  — открытые ключи шифрования и ЭЦП противоположной Стороны.
• Носители с Ключами хранятся в местах, исключающих доступ посторонних лиц (рекомендуемое место хранения — сейф). Каждая из Сторон несет полную ответственность за сохранность, конфиденциальность и подлинность своего комплекта Ключей.
• Все работы по генерации и смене Ключей производятся в соответствии с порядком формирования криптографических ключей и сертификата клиента, организация обслуживания клиента.
• Внеочередная смена Ключей может быть проведена:
  — при смене ответственного лица, обладающего правом первой подписи;
  — по окончании срока действия сертификата;
  — по желанию Клиента;
  — по указанию Банка при проведении работ по обновлению программного обеспечения Системы.

Процедура приема/передачи информации между Банком и Клиентом:

Для обеспечения безопасности и конфиденциальности расчетных и иных операций по Счету(ам), обмена информацией с использованием Системы «Интернет-Банк» используются специальные процедуры, включающие:

• Формирование ЭЦП, предназначенной для обеспечения подтверждения подлинности и авторства Электронных документов. ЭЦП жестко увязывает в одно целое содержание документа и закрытый ключ подписывающего и делает невозможным изменение Электронного документа без нарушения подлинности данной ЭЦП.
• Шифрование Электронных документов, обеспечивающее конфиденциальность информации, передаваемой по открытым каналам связи.
• Использование паролей для ограничения доступа к банковскому коммуникационному оборудованию.
• Процесс обмена информацией между Сторонами по Системе «Интернет-Банк» происходит в следующем порядке:
  — Сторона-отправитель формирует документы и ставит под ними свои ЭЦП;
  — Документы шифруются и передаются по каналу связи Стороне-получателю;
  — Сторона-получатель расшифрует принятые Электронные документы и проверяет их ЭЦП. Если проверка ЭЦП Электронных документов подтверждает их авторство и подлинность, то такие Электронные документы поступают на дальнейшую обработку. В противном случае Электронные документы игнорируются, а Сторона- отправитель информируется о таком факте.

Электронные цифровые подписи под Электронными документами:

• Все Электронные документы, передаваемые Клиентом Банку по Системе «Интернет-Банк», должны иметь ЭЦП уполномоченных должностных лиц, имеющих право «первой» подписи расчетных документов Клиента:
• Все Электронные документы, передаваемые Банком Клиенту по Системе «Интернет-Банк», должны иметь не менее одной ЭЦП Банка.
• Для подписи и шифрования документа, передаваемого с использованием Системы «Интернет-Банк», уполномоченные лица Стороны-отправителя используют свои личные закрытые ключи шифрования и ЭЦП, хранящиеся на носителе. Такие лица Стороны- отправителя несут полную ответственность за подлинность и конфиденциальность своих закрытых ключей шифрования и ЭЦП. В частности, если Электронные документы, подписанные ЭЦП, при проверке такой ЭЦП на подлинность и авторство Стороной-получателем с использованием открытых ключей шифрования и ЭЦП получен положительный результат, считаются подписанными уполномоченными должностными лицами Стороны-отправителя, даже если ЭЦП была поставлена другим (неуполномоченным) лицом, получившим каким-либо образом доступ к закрытому ключу шифрования и ЭЦП принадлежащему уполномоченному лицу Стороны-отправителя.
• Открытые ключи дешифрования и проверки ЭЦП используются для дешифрования и проверки ЭЦП Электронных документов, полученных по Системе «Интернет-Банк» от противоположной Стороны. ЭЦП под Электронным документом считается правильной, если ее проверка с помощью действовавших на момент ее простановки открытых ключей дешифрования и проверки ЭЦП дает положительный результат.
• В случае утраты закрытого ключа шифрования и ЭЦП или его компрометации, соответствующая Сторона обязуется незамедлительно передать другой Стороне заявление о отказе Ключа в соответствии с требованиями п. 3.2.1. Договора и подписать протокол о признании недействительным соответствующего открытого ключа дешифрования и проверки ЭЦП, который с момента его подписания становится неотъемлемой частью Договора.

Вернуться к списку документов