Банк-клиент

Для обеспечения аутентичности (доказательство авторства) и целостности документа в системе «iBank2» используется механизм электронной цифровой подписи (ЭЦП) под электронными документами.

Именно электронный документ с ЭЦП является основанием для совершения финансовых операций и доказательной базой при разрешении конфликтной ситуации. В системе реализованы алгоритмы в соответствии с ГОСТ Р34.10-94, ГОСТ Р34.10-2001 и ГОСТ Р34.11-94.

Для обеспечения конфиденциальности в системе «iBank2» используется механизм шифрования данных. При взаимодействии клиента с Банком через Интернет осуществляется шифрование и контроль целостности передаваемой информации, проводится криптографическая аутентификация сторон. Программные алгоритмы шифрования реализованы в соответствии с ГОСТ 28147-89.

Система обеспечивает юридическую обоснованность электронного документооборота, в котором проработана процедура разрешения конфликтных ситуаций. Клиенту предоставляется пакет юридической документации, регламентирующей вопросы аутентичности электронных платежных документов.

Для осуществления деятельности по дистанционному банковскому обслуживанию клиентов Банком получены следующие лицензии УФСБ РФ по Республике Адыгея:

Лицензия на осуществление распространения шифровальных (криптографических) средств № 23Р от 29 августа 2011 г

Лицензия на осуществление технического обслуживания шифровальных (криптографических) средств № 24Х от 29 августа 2011 г.

Лицензия на осуществление предоставления услуг в области шифрования информации № 25У от 29 августа 2011 г.

Для обеспечения криптографической защиты информации в систему «iBank2» встроены и поставляются в составе системы две взаимно совместимые сертифицированные ФСБ РФ многоплатформенные криптобиблиотеки:

«Агава-С» разработки компании «Р-Альфа», сертификат соответствия ФСБ РФ: рег. № СФ/114-1171 от 01.08.2008 г.;

«Крипто-КОМ 3.2» разработки компании «Сигнал-КОМ», сертификат соответствия ФСБ РФ: рег. № СФ/114-1170 от 15.07.2008 г.

Криптобиблиотеки представлены в виде динамических библиотек (DLL для Win32) и встроены в клиентские Java-апплеты, в клиентские и серверные Java-приложения. Криптобиблиотеки сертифицированы ФСБ РФ для работы на платформах:

Intel x86 x64 — Windows 2000/XP/2003/Vista/7

Для повышения безопасности расчетов по системе "Банк-Клиент" предусмотрено обязательное использование USB-токена (компактного устройства, повышающего уровень информационной безопасности секретного ключа ЭЦП, и исключающего возможность его копирования или изменения) или OTP-токена (компактного устройства, повышающего уровень информационной безопасности требующего подтверждение одноразовым паролем в системе)

Действенным средством повышения уровня безопасности операций в системе электронного документооборота "iBank2" является ограничение списка IP-адресов, с которых осуществляется доступ в систему.

Также в системе "iBank2" используется механизм дополнительного подтверждения платежных поручений корпоративных клиентов одноразовыми паролями, получаемыми посредством OTP-токена, а также подтверждение входа в систему (многофакторная аутентификация). Это позволяет отслеживать исходящие платежные документы, а также обнаруживать и своевременно пресекать попытки несанкционированной отправки платежей вирусами и троянскими программами, так как платежное поручение не будет проведено без подтверждения одноразовым паролем, полученным OTP-токеном.

Действия Банка по осуществлению защиты электронного документооборота с клиентом регламентируются следующими документами:

Законы Российской Федерации:

«Об электронной подписи» № 63-ФЗ от 06.04.2011 г.

«Гражданский Кодекс РФ» часть первая, ст.160, 434.

«Гражданский Кодекс РФ» часть вторая, ст.847.

Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению перевоов денежных средств без согласия клиента»

Положение Банка России от 04.06.2020 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Положение Банка России от 23.12.2020 № 747-П «О требованиях к защите информации в платежной системе Банка России» проводится проверка участка платёжной системы Банка России Коммерческого Банка «Газтрансбанк» (общество с ограниченной ответственностью) (далее — Банк) на соответствие стандартному уровню защиты.

Клиент заключает договор с Банком на расчётное обслуживание и предпринимает следующие действия для обеспечения информационной безопасности документооборота.

Клиент, используя ТОКЕН, самостоятельно создаёт пару ключей ЭЦП. Сертификат является документом, удостоверяющим подлинность открытого ключа ЭЦП клиента. Вопросы создания, регистрации, замены ключей, блокировки и разблокировки, удаления и отмены их действия регламентируются договором с Банком, предусматривающим детальную проработку указанных процедур. Обязанность сохранения в тайне собственной секретной ключевой информации, дисциплины использования ключей и доступа к системе возлагается на клиента.

После проверки и регистрации ключа клиента в системе, при условии соблюдения условий договора, клиент получает доступ к операциям по расчетному счету. В случае компрометации секретной информации или нарушении санкционированного доступа к системе клиент имеет возможность оперативно заблокировать операции по-своему расчетному счету во избежание злоупотреблений.

Для аутентификации клиента служит его идентификатор (логин) и пароль.

Система Банк-Клиент «iBank2» использует для первоначальной загрузки программного обеспечения (Java-апплета) с сервера Банка интернет-соединение, защищенное от вмешательства и раскрытия информации при помощи технологии SSL.

Уровень информационной безопасности Автоматизированной банковской системы в ООО КБ «ГТ банк» по результатам оценки проведенной ООО «Центр КиберБезопасности» в декабре 2022 года на соответствие требованиям ГОСТ Р 57580.1-2017 «Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее — ГОСТ Р 57580.1) имеет числовое значение, округленное до второго знака после запятой — 0,86 и соответствует стандартному уровню защиты информации.

Уровень информационной безопасности системы Дистанционного банковского обслуживания в ООО КБ «ГТ банк» по результатам оценки проведенной ООО «Центр КиберБезопасности» в декабре 2022 года имеет оценку равную 0,90 и, согласно положению Банка России от 04.06.2020 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» соответствует стандартному уровню защиты информации.

В соответствии с ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» итоговая оценка соответствия защиты информации имеет четвертый уровень соответствия и удовлетворяет требованиям Банка России.

Ежегодное тестирование на уязвимости, локальных и клиент-серверных информационных систем, проведено ООО «Центр КиберБезопасности» в декабре 2022 года.