О системе дистанционного банковского обслуживания "iBank2"

Общая информация


В системе предусмотрена возможность обмена между клиентами и Банком информационными сообщениями. iBank2
содержит справочники корреспондентов и бенефициаров. Для корпоративных клиентов встроены функции обмена документами с бухгалтерскими программами клиентов.
 
Технологии обеспечения информационной безопасности

Для обеспечения аутентичности (доказательство авторства) и целостности документа в системе «iBank2» используется механизм электронной подписи (ЭП) под электронными документами.
Именно электронный документ с ЭП является основанием для совершения финансовых операций и доказательной базой при разрешении конфликтной ситуации. В системе реализованы алгоритмы в соответствии с ГОСТ Р34.10-94, ГОСТ Р34.10-2001 и ГОСТ Р34.11-94.

Для обеспечения конфиденциальности в системе «iBank2» используется механизм шифрования данных. При взаимодействии клиента с Банком через Интернет осуществляется шифрование и контроль целостности передаваемой информации, проводится криптографическая аутентификация сторон. Программные алгоритмы шифрования реализованы в соответствии с ГОСТ 28147-89.

Система обеспечивает юридическую обоснованность электронного документооборота, в котором  проработана процедура разрешения конфликтных ситуаций. Клиенту предоставляется пакет юридической документации, регламентирующей вопросы аутентичности электронных платежных документов.

Для осуществления деятельности по дистанционному банковскому обслуживанию клиентов  Банком получена лицензия УФСБ РФ по СПб и Ленинградской области ЛСЗ № 0000565 Рег. № 791Н от 21.06.2013 на работы, предусмотренные пунктами 12, 13, 15, 20, 21, 22, 23, 24, 25, 26, 28 перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, являющегося приложением к Положению, утвержденному постановлением Правительства Российской Федерации от 16 апреля 2012 г. №313.

Для обеспечения криптографической защиты информации в систему «iBank2» встроены и поставляются в составе системы две взаимно совместимые сертифицированные ФСБ РФ многоплатформенные криптобиблиотеки.

Криптобиблиотеки представлены в виде динамических библиотек (DLL для Win32, SO для UNIX) и встроены в клиентские Java-апплеты, в клиентские и серверные Java-приложения.

Для повышения безопасности расчетов по системе "Банк-Клиент" предусмотрено обязательное использование ТОКЕНА: компактного устройства, повышающего уровень информационной безопасности секретного ключа ЭП, и исключающего возможность его копирования или изменения.

Действенным средством повышения уровня безопасности операций в системе электронного документооборота "iBank2" является ограничение списка IP-адресов, с которых осуществляется доступ в систему.

Также в системе "iBank2" используется механизм дополнительного подтверждения платежных поручений корпоративных клиентов одноразовыми паролями, получаемыми посредством SMS-сообщений, а также подтверждение входа в систему (многофакторная аутентификация). Это позволяет отслеживать исходящие платежные документы, а также обнаруживать и своевременно пресекать попытки несанкционированной отправки платежей вирусами и троянскими программами, так как платежное поручение не будет проведено без подтверждения одноразовым паролем, полученным в SMS-сообщении.

Законодательные акты, регламентирующие использование защитных технологий

Действия Банка по осуществлению электронного документооборота с клиентом регламентируются следующими документами:

Законы Российской Федерации:
 
"Об электронной подписи" № 63-ФЗ от 06.04.2011 г.
"Гражданский Кодекс РФ" часть первая, ст.160, 434.
 
"Гражданский Кодекс РФ" часть вторая, ст.847.
 

Документы ЦБ РФ:

 

Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014

 

Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в России N 382-П от 09.06.2012 г.


Правила доступа клиентов к системе и меры информационной безопасности

Клиент заключает договор с Банком на расчетное обслуживание и предпринимает следующие действия для обеспечения информационной безопасности документооборота.

Клиент, используя ТОКЕН, самостоятельно создаёт пару ключей ЭП (секретный и открытый) и регистрирует открытый ключ в Банке, получая от Банка сертификат ЭП. Сертификат является документом, удостоверяющим подлинность открытого ключа ЭП клиента. Вопросы создания, регистрации, замены ключей, блокировки и разблокировки, удаления и отмены их действия регламентируются договором с Банком, предусматривающим детальную проработку указанных процедур. Обязанность сохранения в тайне собственной секретной ключевой информации, дисциплины использования ключей и доступа к системе возлагается на клиента. 
После проверки и регистрации ключа клиента в системе, при условии соблюдения условий договора,  клиент получает доступ к операциям по расчетному счету. В случае компрометации секретной информации или нарушении санкционированного доступа к системе клиент имеет возможность оперативно заблокировать операции по своему расчетному счету во избежание злоупотреблений третьих лиц.
Для аутентификации клиента служит его идентификатор (логин) и пароль.
Система Банк-Клиент «iBank2» использует для первоначальной загрузки программного обеспечения (Java-апплета) с сервера Банка интернет-соединение, защищенное от вмешательства и раскрытия информации при помощи технологии SSL.

Стандарты информационной безопасности

АО «СЕВЗАПИНВEСТПРОМБАНК» регулярно проверяется органами банковского надзора  Северо-Западного ГУ Банка России на соответствие требованиям стандартов обеспечения информационной безопасности.

В целом, уровень организации информационной безопасности Банка может быть признан соответствующим требованиям стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2014"