|
Информационная Безопасность
Internet Banking относится к системам защищенного электронного документооборота. Для обеспечения информационной безопасности в сервисе Internet Banking используются следующие механизмы:
Электронная цифровая подпись (ЭЦП) под электронными документами – для обеспечения целостности и аутентичности (доказательство авторства) документов в сервисе. ЭЦП клиента используется в качестве аналога собственноручной подписи. Электронный документ с ЭЦП, отправленный Клиентом и полученный Банком, является основанием для совершения Банком финансовых операций.
Для формирования ЭЦП Клиента в сервисе реализованы казахстанские криптографические алгоритмы в соответствии с ГОСТ 28147-89 (шифрование, имитовставка), ГОСТ Р34.11-94 (хеш-функция) и ГОСТ Р34.10-2001 (ЭЦП на эллиптических кривых).
В Банке секретного ключа ЭЦП клиента нет. В Банке есть только открытый ключ ЭЦП клиента, с помощью которого банковский сервер проводит аутентификацию клиента в сервисе и проверяет подпись Клиента под электронными документами. Проверка ЭЦП Клиента осуществляется сервером Приложения Internet Banking в момент подписи Клиентом документов, а также шлюзом при выгрузке документов в АБС банка.
Для реализации данного механизма используются сервисы Удостоверяющего Сервиса КЦМР, который в установленном законодательством порядке выполняет следующие функции:
- первичная регистрация, формирование личных (закрытых) и открытых ключей и регистрационных свидетельств пользователей;
- выдача, хранение регистрационных свидетельств;
- выпуск, приостановление/возобновление действия, отзыв (аннулирование) регистрационных свидетельств;
- публикация списка отозванных регистрационных свидетельств (СОРС) в регистре;
- ведение регистра (каталога) регистрационных свидетельств;
- подтверждение принадлежности, подлинности и действительности регистрационного свидетельства открытого ключа.
Механизм криптографической аутентификации сторон — для обеспечения защищенного взаимодействия через интернет. Обеспечение криптографической аутентификации сторон достигается применением защищенного протокола SSL в процессе установления соединения между web-сервером Банка и Клиентом.
Шифрование данных — для обеспечения конфиденциальности передаваемой через интернет информации. Шифрование информации осуществляется с помощью сессионных ключей, генерируемых на этапе установления соединения между Клиентом и сервером.
В сервисе Internet Banking ведутся контрольные архивы, в которых хранятся все электронные документы с ЭЦП для разрешения конфликтных ситуаций. В сервисе ведется история документов — кем и когда документ был создан, отредактирован, подписан, исполнен или отвергнут.
В сервисе Internet Banking также ведутся журналы учета доступа клиентов по всем сервисам. В журналах хранится информация об IP-адресе Клиента, времени доступа, идентификаторе используемого ключа ЭЦП, проводимых операциях.
|
