Безопасность и защита информации

Информационная безопасность — краеугольный камень архитектуры системы «ДБО BS-Client x64». И для обеспечения защиты информации в системе реализован действительно впечатляющий набор функциональных возможностей.


Подпись передаваемых данных

Основа гарантии аутентичности информации, передаваемой между клиентами и банком — электронная подпись документов. Все финансово значимые документы подписываются электронной подписью с использованием сертифицированных и одобренных законодательством асимметричных криптографических алгоритмов.


Поддержка современных сертифицированных СКЗИ

Электронная подпись документов и шифрование информационного трафика обеспечиваются за счет использования современных сертифицированных систем криптографической защиты информации (СКЗИ). Кредитная организация имеет возможность использовать ту СКЗИ, которая в наибольшей степени отвечает ее критериям.


Поддержка современных носителей криптографической информации

В настоящее время для обеспечения сохранности данных повсеместно используются персональные носители криптографической информации. Система «ДБО BS-Client x64» в полной мере обеспечивает поддержку данных устройств, включая наиболее передовые модели USB-токенов с неизвлекаемым ключом производства компаний «Актив» и «Аладдин Р.Д.» и устройства SafeTouch производства компании SafeTouch, обеспечивающие визуальную проверку подписываемых данных перед формированием электронной подписи.


Защита данных в Интернет

Важным аспектом информационной безопасности является защита данных, передаваемых в сети Интернет. Система «ДБО BS-Client x64» использует набор эффективных механизмов для защиты интернет-трафика:


Шифрование данных. Данные, передаваемые посредством подсистемы «Интернет-Клиент», зашифровываются с использованием Интернет-протоколов SSL или TLS, передаваемые посредством подсистемы «Банк-Клиент» — с использованием любой из поддерживаемых систем криптографической защиты информации.

Различные уровни аутентификации пользователей. Для предотвращения проникновения в систему злоумышленника могут использоваться любые из уровней аутентификации пользователей, в том числе в любой комбинации: парольная, криптографическая, аутентификация по сеансовому ключу.

 

Защита от XSS-атак. Интернет-подсистемы разработаны таким образом, чтобы исключить возможность взлома сайтов с помощью межсайтового скриптинга.

Фильтрация пользователей по IP и MAC-адресам. В распоряжении администратора имеется возможность налагать фильтры на адреса пользователей, закрывая доступ для выявленных нарушителей.

Политики безопасности. Администратор имеет возможность установить параметры защиты от подбора паролей и защиты от подбора сеансовых ключей (количество попыток ввода, задержки между попытками ввода, история изменения паролей и т.д.).


В совокупности данные механизмы обеспечивают высокий уровень информационной безопасности интернет-взаимодействия в ходе использования системы «ДБО BS-Client x64».


Механизмы дополнительной авторизации

Механизм авторизации, встроенный в систему «ДБО BS-Client x64», обеспечивает дополнительный уровень защиты денежных средств на случай, если злоумышленник каким-либо образом смог получить удаленный доступ к рабочему месту сотрудника клиентской организации, USB-портам с подключенным ключевым носителем и пытается несанкционированно отправить документы от имени клиента. Для предотвращения хищения денежных средств реализованы авторизация документов и авторизация пользователей подсистемы «Интернет-Клиент». Дополнительная авторизация может производиться с помощью комплектов сеансовых ключей, устройств eToken Pass и смс-сообщений.


Возможность разбора конфликтных ситуаций

В случае возникновения конфликтных ситуаций между клиентом и банком относительно проведенных платежей возможен детальный разбор переданной клиентом в банк информации с проверкой аутентичности данных. Электронная подпись клиента под документами и транспортными пакетами юридически значима и является доказательством в суде.


Гибкое разграничение доступа пользователей к данным и операциям

Различные механизмы разграничения доступа позволяют гибко настроить доступ как банковских сотрудников, так и сотрудников организаций клиентов к системе «ДБО BS-Client x64» в соответствии с их полномочиями. Механизм системных ролей и привилегий позволяет разграничить доступ к данным и операциям на базовом уровне, механизм криптографических профилей позволяет настроить права на выполнение криптографических операций, механизм кураторов — поставить в соответствие отдельным группам клиентов выделенных ответственных сотрудников кредитной организации. В подсистемах «Интернет-Клиент», «Web-администратор» и «Web-оператор», предоставляющих доступ к системе посредством интернет-браузера, доступ разграничивается преимущественно за счет назначения требуемым пользователям соответствующих деревьев навигации.


Аудит действий пользователей

Все значимые действия пользователей в системе протоколируются. Администратор имеет возможность в любой момент просмотреть перечень произведенных пользователями действий в системе, таким образом уменьшая вероятность инсайдерских угроз со стороны сотрудников банка.


Обеспечение безопасности внутренней сети банка

Архитектура системы «ДБО BS-Client x64» продумана таким образом, чтобы макисмально обезопасить внутреннюю сеть банка. Все серверы, обращающиеся к СУБД системы «ДБО BS-Client x64», размещены во внутренней сети банка. Веб-серверы, почтовые и прочие серверы, расположенные в ДМЗ, не инициируют соединений — все соединения инициируются вовне исключительно из внутренней сети. Это позволяет максимально защитить внутреннюю сеть банка посредством брандмауэров.


Проверка временем

Перечисленные механизмы информационной безопасности обеспечивают высокий уровень сохранности данных и выдержали проверку временем еще в системе «ДБО BS-Client v.3», предшествовавшей появлению системы «ДБО BS-Client x64».