Реферати українською » Банковское дело » Організація і перспективи дистанційного банківського обслуговування юридичних осіб (на прикладі російського банку)


Реферат Організація і перспективи дистанційного банківського обслуговування юридичних осіб (на прикладі російського банку)

заходам інформаційну безпеку під час використання системинтернет-банкинга"

У законодавстві прописуються такі поняття:

власник сертифіката ключа підписи - фізична особа, з ім'ям якого котрі засвідчують центром видано сертифікат ключа підпис яке володіє відповідним закритим ключем електронного цифрового підпису, що дозволяє з допомогою засобів електронної цифрового електронного підпису створювати власну електронний цифровий підпис в електронних документах (підписувати електронні документи);

сертифікат засобів електронної цифрового електронного підпису - документ на паперовому носії, виданий відповідно до правилами системи сертифікації на утвердження відповідності засобів електронної цифрового електронного підпису установленим вимогам для;

закритий ключ електронного цифрового підпису - унікальна послідовність символів, відома власнику сертифіката ключа підпис призначена до створення в електронних документах електронного цифрового підпису з засобів електронного цифрового підпису;

відкритий ключ електронного цифрового підпису - унікальна послідовність символів, відповідна закритому ключу електронного цифрового підпису, доступна кожному користувачеві інформаційної системи та призначена на утвердження з засобів електронного цифрового підпису дійсності електронного цифрового підпису в електронний документ;

кошти електронного цифрового підпису - апаратні і (чи) програмні кошти, щоб забезпечити реалізацію хоча б одній з наступних функцій - створення електронного цифрового підпису в електронний документ з допомогою закритого ключа електронного цифрового підпису, підтвердження з допомогою відкритого ключа електронного цифрового підпису дійсності електронного цифрового підпису в електронний документ, створення закритих і чотири відкритих ключів електронних цифрових підписів;

сертифікат ключа підписи - документ на паперовому носії чи електронний документ з електронною цифровий підписом уповноваженого особи який засвідчує центру, куди входять у собі відкритий ключ електронного цифрового підпису і який видаються котрі засвідчують центром учаснику інформаційної системи на утвердження дійсності електронного цифрового підпису та ідентифікації власника сертифіката ключа підписи;

підтвердження дійсності електронного цифрового підпису в електронний документ - позитивного результату перевірки відповідним сертифікованим засобом електронного цифрового підпису з допомогою сертифіката ключа підписи приналежності електронного цифрового підпису в електронний документ власнику сертифіката ключа підпис відсутності спотворень у підписаному даної електронного цифрового підписом електронний документ;

користувач сертифіката ключа підписи - фізична особа, що використовує отримані в що засвідчував центрі інформацію про сертифікаті ключа підписи для перевірки приналежності електронного цифрового підпису власнику сертифіката ключа підписи;

інформаційна система коштує загального користування - інформаційна система коштує, що відкрита від використання усіма фізичними і юридичних осіб й у послугах якої цих осіб може бути відмовлено;

корпоративна інформаційна система коштує - інформаційна система коштує, учасниками якій у змозі бути обмежене коло осіб, певний її власником чи угодою учасників цьому інформаційному системи.

Електронна цифрова підпис (>ЭЦП) - вид аналога власноручного підписи, є засобом захисту, які забезпечують можливість контролю цілісності і підтвердження дійсності електронних документів (далі -ЭД).ЭЦП дозволяє підтвердити її приналежність зареєстрованому власнику.ЭЦП є невід'ємною частиноюЭД (пакетаЭД).

ТакожЭЦП можна з'ясувати, як реквізит електронного документа, готовий до захисту даного електронного документа від підробки, отриманий у результаті криптографічного перетворення інформації з допомогою закритого ключа електронного цифрового підпису і дозволяє ідентифікувати власника сертифіката ключа підписи, і навіть встановити відсутність спотворення інформацією електронний документ;

ВласникЭЦП - УБР, ПЦ, кредитна організація (філія) або інший клієнт Банку Росії,ЭЦП якого зареєстрована порядку, встановленому договором між Банком же Росії та його клієнтом.

Електронний платіжний документ (>ЭПД) - документ, є основою скоєння операцій із рахунках кредитних організацій (філій) та інших клієнтів Банку Росії, відкритим у державних установах Банку Росії, підписаний (захищений)ЭЦП і має рівну юридичної чинності з розрахунковими документами на паперових носіях, підписаними власноручними підписами уповноважених осіб і завіреними відбитком друку.

Електроннийслужебно-информационний документ (>ЭСИД) - документ, підписаний (захищений)ЭЦП і забезпечує обміну інформацією під час проведення розрахунків й проведенні операцій із рахунках, відкритим у державних установах Банку Росії (запити, звіти, виписки із рахунків, документи, пов'язані з наданням кредитів Банку Росії, тощо.).

Пакет електронних документів - чи більшЭПД і / чиЭСИД, підписанихЭЦП, у своїй коженЭПД і / чиЭСИД у складі пакета не підписуєтьсяЭЦП.

дистанційне банківське обслуговування росія

СправжністьЭД (пакетаЭД) - позитивного результату перевіркиЭЦП зареєстрованого власника, дозволяє встановити факт незмінності змістуЭД (пакетаЭД), зокрема всі його реквізити.

Центр сертифікації чиУдостоверяющий центр (анг.  >Certification >authority, >CA) - це організація чи підрозділ організації, що випускає сертифікати ключів електронного цифрового підпису, це компонент глобальної служби каталогів, відповідальний за управління криптографічними ключами користувачів. Відкриті ключі й інша інформацію про користувачів зберігаєтьсяудостоверяющими центрами як цифрових сертифікатів.

Центр сертифікації - це компонент глобальної служби каталогів, відповідальний за управління криптографічними ключами користувачів.

Відкриті ключі й інша інформацію про користувачів зберігається центрами сертифікації як цифрових сертифікатів, мають таку структуру:

· серійний номер сертифіката;

· об'єктний ідентифікатор алгоритму електронного підпису;

· ім'я який засвідчує центру;

· термін придатності;

· ім'я власника сертифіката (ім'я користувача, якому належить сертифікат;

· відкриті ключі власника сертифіката (ключів може бути кілька);

· об'єктні ідентифікатори алгоритмів, асоційованих з відкритими ключами власника сертифіката;

· електронна підпис,сгенерированная з допомогою секретного ключа який засвідчує центру (підписується результатхеширования всієї необхідної інформації, що зберігається у сертифікаті).

Відмінністю акредитованого центру і те, що він перебуває у договірних засадах з вищим котрі засвідчують центром не є першим власникомсамоподписанного сертифіката у списку засвідчених кореневих сертифікатів. Отже, кореневої сертифікат акредитованого центру засвідчено вищим котрі засвідчують центром в ієрархії системи посвідчення. Отже акредитований центр отримує "технічне право" праці та успадковує "довіру" від організації виконала акредитацію.

>Аккредитованний центр сертифікації ключів зобов'язаний виконувати всіх зобов'язань й підвищити вимоги, встановлені законодавством країни перебування чи організацією проводить акредитацію у свої інтереси і згідно відносини із своїми правилами.

Порядок акредитації й підвищити вимоги, яким має відповідати акредитований центр сертифікації ключів, встановлюються відповідним уповноваженим органом держави або організації яка виконує акредитацію.

Центр сертифікації ключів проти неї:

· надавати послуги з засвідченню сертифікатів електронного цифрового підпису;

· обслуговувати сертифікати відкритих ключів;

· отримувати перевіряти інформацію, необхідну створення відповідності інформації яка вказана у сертифікаті ключа і висунутими документами.

Нині є велика кількість російських що засвідчують центрів, деякі їх:

·Удостоверяющий Центр ФГУП НДІ "Схід"

·Удостоверяющий Центр ЗАТ "ПФ "СКБ Контур"

·Удостоверяющий Центр ЗАТ "Орбіта" (Краснодар)

·Удостоверяющий ЦентрDIP

· ТОВ МіжрегіональнийУдостоверяющий Центр

· НП "НаціональнийУдостоверяющий центр"

· ЗАТ "АНК"

· ТОВПНК

· ЗАТУдостоверяющий ЦентрEkey (Москва)

· ЗАТУдостоверяющий Центр (Санкт-Петербург)

·Удостоверяющий центрИнформационно-аналитического центру Санкт-Петербурга (Санкт-Петербург)

У світі теж є маса таких установ, нижче перераховані найпопулярніші і мають рейтинг "4 stars" і більше

·DigiCert,

·SwissSign,

·StartCom,

·Entrust,

·Trustwave.

Відповідно до листом від 30.08.2006 №>115-Т "Про виконання ФЗ "Про протидію легалізації (відмиванню) доходів, отриманих злочинним шляхом, і фінансування тероризму" у частині ідентифікації клієнтів, обслуговуваних з допомогою технологій дистанційного банківського обслуговування (включаючиИнтернет-банкинг)" Банк Росії зобов'язав фінансові інститути в наданні таких послуг ідентифікувати як власника рахунки, а й інших, які користуватимуться цим рахунком.

У цьому відповідальність банку з даним питанням регламентована вкрай жорстко. Порушення вимог закону може викликати застосування до Банку відповідальності, передбаченої ФЗ від 10.07.2002 року №>86-ФЗ "Про Центральному банку Російської Федерації (Банку Росії)" (рекомендовані заходи впливу передбачені Листом Банку Росії від 13.07.2005 року №>98-Т "Про методичних рекомендаціях щодо застосування Інструкції Банку Росії від 31.03.1997 № 59 "Про застосування до кредитним організаціям заходів впливу при порушеннях кредитними організаціями нормативних правових актів у галузі протидії легалізації (відмиванню) доходів, отриманих злочинним шляхом, і фінансування тероризму").

У разі кризи загострюється битва за клієнти на будь-якій сфері бізнесу. І кредитно-фінансові організації не виняток. Жорстка конкуренція призводить до необхідності покращувати обслуговування клієнтів шляхом введення нових видів послуг. Однією з напрямів, сприяють надання клієнтам максимального зручності у процесі роботи, є дистанційне банківське обслуговування, здійснюване через мережу Інтернет. Можливість повного управління своїм особистим відліком за умови простоти операцій, комфорту і мобільності завжди приваблювало і вабитиме клієнтів.

Проте із зручностями, які людина отримує клієнт, здійсненняДБО через Інтернет стає причиною виникнення загроз нових типів. З одного боку це пов'язано з тим, що дуже зростає частка ризиків (загроз), контролювати які силами фінансової організації практично неможливо, з іншого боку не меншу частку ризиків (загроз) приносять питанняДБО.

Основних напрямів розподілу ризиків сфері безпеки для системДБО є:

питання експлуатації системДБО;

клієнти, що обслуговуються через Інтернет;

канали зв'язку, використовувані для транзакцій;

глобальна мережу Інтернет.

Впровадження системДБО передбачає залучення у процес фахівців різноманітних галузей знань фінансових фахівців, фахівців інформатизації, інформаційну безпеку, юристів й ін. Відсутність чітко організованого і регламентованого взаємодії між різними підрозділами кредитної організації можуть призвести до виникненняуязвимостей, якими скористаються порушники. Практика показує, що реалізація загроз з допомогою наявних "слабких місць" в системахДБО призводить до дуже серйозним фінансових втрат і (чи) ослаблення конкурентних переваг із боку кредитної організації.

Аналіз інцидентів, які у системахДБО, дає змогу розподілити потенційних порушників на зовнішніх стосовно системіДБО - тобто клієнтів (як авторизованих, і немає, тобто хакерів чи злочинців) та міністр внутрішніх - у складі співробітників банку.

Важливо розуміти, що, циркулююча всередині системДБО, фактично еквівалента реальним грошам, отже створити умови для, у яких загроза несанкціонованого використання цієї інформації буде цілком виключена неможливо. Інакше кажучи, завжди знайдеться той, хто бажає заволодіти цієї інформацією. Отже, її потрібно захищати.

Правила роботи у системахДБО є конфіденційної інформацією і кожен охочий може мати простий до них доступ. Єдиною захистом клієнта від зловмисних дій є його ідентифікаційна інформація (логін, паролі,криптоключи). Саме у передчутті цієї інформацією йде полювання. Найчастіше порушнику досить вкрасти ідентифікаційну інформацію клієнта системи, щоб здобути цілковитий доступом до йогосчету. Можливостей зробити таку крадіжку дуже багато. Наприклад, з допомогою "хакерських" інструментів, розповсюдження до Інтернету.

Сьогодні, у мережі пропонується різноманітний асортимент різноманітних програм для перехоплення пароля з допомогоютроянов,keylogger’ов (програм,считивающихвводимую з клавіатури інформацію) - "шпигунів", які непомітно клієнтові "підсаджуються" з його комп'ютер та "чекають" вказівок від своєї творця (чи майстер - машини) до виконання будь-якої "корисною навантаження". Причому господар комп'ютера може протягом цілого дуже тривалого терміну не підозрювати про наявність шкідливого коду на своєму ПК навіть "активація" такого "шпигуна" який завжди призводить до його виявлення. Це з тим, що зі "шпигуном" "в комплекті" йде такожруткит-технология, що дозволяє приховати сліди активності шкідливого коду на ПК жертви.

Боротися із шкідливими програмами і "шпигунами" з їхньої нинішніх рівні розвитку з допомогою застарілих технологійсигнатурного аналізу, використовуючи при цьому потужності комп'ютера кінцевого користувача (що, природно, пов'язані з уповільненням його роботи), дуже неефективно, та й практично неможливо. Пояснюється це тим, що код "шпигунів" та інших, зазвичай, не є шкідливим для ОС комп'ютера, які швидка мутація ставить під можливістьсигнатурного аналізу. Найадекватнішим рішенням нині бачиться спільного використання технологійконтентной фільтрації ісигнатурного аналізу з допомогою комплексного шлюзового рішення, встановленого "на вході" в корпоративну мережу або ж, що ще більше правильно, що у мережі провайдера, надає доступ до Інтернету. Таке рішення дозволяє блокувати будь-який недозволений трафік, генерований "шпигуном" з персональних комп'ютерів мережі організації, надає кошти антивірусної захисту,web-фильтрации та від спаму, запобігає відплив конфіденційних відомостей, і, нарешті, дозволяє регулювати час перебування користувачів у мережі Інтернет, і блокувати їх доступом до недозволеним ресурсів.

Сьогодні викрадення паролів ікриптоключей з незахищеніших носіїв є повсякденним явищем. Але, на жаль, так само повсякденним може бути прагнення деяких банків заощаджувати на системах безпеки. Адже така економія часто призводить до багатомільйонним втрат і який завжди це втрати виключно клієнта. Застосування застарілих технологій, як-от організація доступу по ">логину" і паролю, використання ключових носіїв нездатних захистити від крадіжки що зберігається ними інформацію, зростання ">фишингових" атак значною мірою підвищують ризик несанкціонованого доступу до системДБО.

З іншого боку, часто використовувані механізми захисту що неспроможні забезпечити юридичну значимість скоєних клієнтом дій у системі. А це питання останнім часом набуває дедалі більше важливого значення. Як свідчить судова практика, довести факт крадіжки у клієнта його ідентифікаційної інформації який завжди можна, тоді як те, що пароль був відомий співробітникам банку, доводиться легко. Суди найчастіше стають набік клієнта, навіть тоді як договірних зобов'язання пред'являються дуже високі вимогами з забезпечення ними схоронності своєї ідентифікаційної інформації. Пояснюється це дуже просто, клієнт міг мати необхідними знаннями чи умовами, зазначеними у договорі, тоді як банк мав передбачити адекватні захисту.

Це взято на озброєння зловмисниками.Маскируясь під сумлінних клієнтів, вони дедалі частіше починають користуватися недоробками кредитних організацій технологічних і юридичиних питаннях що з експлуатацією системДБО для відстоювання своєї "правоти" до судів. І слід зазначити, що, при кваліфікованого підході, спроби ці бувають дуже успішні.

1.3 Аналіз тенденцій розвитку банківських послуг CSFB по дистанційному обслуговування у Росії

Основними областями концентрації ризиків, куди кредитним організаціям слід звернути увагу, є такі:

1)Нормативнораспорядительная документація (договори, регламенти, інструкції з використання технологійДБО та інших.). Концентрація ризиків даної зоні пов'язана з тим, що з впровадженні і експлуатації системДБО нормативнораспорядительная документація має забезпечити взаємодія досить великої числа різнобічних співробітників і зовнішніх клієнтів. З огляду на різні ділянки виробничої діяльностівовлеченних у процес фахівців, цілком можливо наявність нестикувань і недостатня пропрацьованість окремих питань;

2) Відсутність в кредитних організаціях чіткої регламентації процесів, що з експлуатацією системДБО, і навіть механізмів моніторингу адекватності діючою нормативною документації призводять до розширенню складу негативних факторів,

Схожі реферати:

Нові надходження

Замовлення реферату

Реклама

Навігація