Интернет-Банк
для бизнеса

Требования по обеспечению безопасности в процессе эксплуатации Клиентской части Системы

Применяемые средства защиты информации согласно Сертификатам соответствия формуляр № ЖТЯИ.00050-02 30 01 ФО соответствуют ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10.-2001, ГОСТ Р 34.10.-2012 и требованиям ФСБ России, удовлетворяет требованиям к стойкости СКЗИ класса КС1.

Эксплуатация клиентской части Системы и обеспечение ее безопасности организационными и техническими мерами должны осуществляться в соответствии с «Руководством пользователя»
Клиент должен взаимодействовать с профильными службами ООО КБ «Калуга».

В случае необходимости Клиент письменно назначает доверенное лицо, ответственное за использование и хранение ключей электронной подписи (далее ЭП).

При генерации ключей ЭП формат идентификатора ключа должен соответствовать рекомендациям, изложенным в Правилах изготовления и сертификации ключей ЭП Клиента.

При организации доступа в Банк по сети Интернет использование носителей ключей должно производиться в соответствии с «Руководством пользователя». Хранение ключей ЭП должно осуществляться способом, исключающим несанкционированный доступ к ним. Хранение ключей ЭП на жестком диске ПК не допустимо. В качестве носителя ключа ЭП рекомендуем использовать USB – ключ-токен, базирующийся на высокозащищенной платформе и разработанной для безопасного хранения информации.

При использовании ключей ЭП подключение носителя ключа к системному блоку клиентской части Системы производить только на период доступа к Системе.

Эксплуатация клиентской части Системы и обеспечение её безопасности должна осуществляться в соответствии с «Руководством пользователя».

Рекомендуется для работы с Банком выделить отдельный компьютер, размещенный в помещении ограниченного доступа. Вход в компьютер должен осуществляться по принципу «пользователь-пароль» (при подключении к системным ресурсам у каждого пользователя должна быть своя учетная запись и собственный пароль). Пароль должен состоять не менее чем из 8-ми цифробуквенных символов и периодически меняться. Включены журналы аудита. Настроена политика безопасности, исключающая удаленный доступ и удаленное управление компьютером. Включен и настроен встроенный в операционную систему брандмауэр, установлено антивирусное ПО.

Для повышения уровня защищенности компьютера Клиента и защиты от несанкционированного подключения к Системе от имени Клиента, Банк рекомендует Клиенту письменно (в произвольной форме на имя Председателя Правления Банка) сообщить MAC – адрес компьютера (компьютеров) с которых Клиент осуществляет работу в Системе для регистрации на сервере Банка.

Не рекомендуется использовать беспроводные технологии для подключения и установления связи вашего компьютера с Системой.

При возникновении нештатных ситуаций при входе в систему Интернет-Банк (зависание компьютера, не плановое отключение от Системы, выпадающие сообщения с просьбой выполнить не стандартные для входа в систему действия и т.д.) незамедлительно остановить процесс входа в систему, изъять из системного блока ключ ЭП и связаться с банком.

При работе в сети Интернет не давать разрешения неизвестным программам выходить в интернет и не давать согласия на установку каких-либо дополнительных программ и приложений.

Сведения о применяемых средствах обеспечения безопасности

Система ДБО "Интернет-Банк", используемая в ООО КБ «Калуга» обеспечивает безопасность и конфиденциальность документооборота с банком, используя Средства Криптографической Защиты Информации Рутокен ЭЦП 2.0 и Крипто-Про CSP, сертифицированные ФСБ:

Криптопровайдер КриптоПро CSP предназначен для авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ.

Алгоритмы формирования и проверки ЭЦП Средства криптозащиты информации Крипто-Про CSP реализованы в соответствии с требованиями:

• ГОСТ Р 34.10 94 "Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма";
• ГОСТ Р 34.10 94 и ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".
• ГОСТ Р 34.11-2012  и ГОСТ Р 34.10-2012  "Информационная технология. Криптографическая защита информации. Функция хэширования"

При работе с системой ДБО "Интернет-Банк" весь трафик проходит через механизмы обеспечения безопасности соединения с Банком - протоколы TLS, позволяющие повысить надежность и безопасность связи.

Для входа в систему ДБО "Интернет-Банк" помимо аутентификации по логину/паролю применяется метод дополнительной аутентификации с помощью ключей ЭЦП.

В качестве носителей ключей и сертификатов электронно-цифровой подписи клиентов используются электронные ключи Рутокен ЭЦП 2.0 - персональное средство аутентификации и защищенного хранения пользовательских данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП).

Электронные ключи Рутокен ЭЦП 2.0 имеют сертификат ФСТЭК России:

В системе ДБО "Интернет-Банк" реализован механизм ограничения доступа клиентов по заданным IP и MAC-адресам рабочих станций, с которых осуществляется доступ в систему. Данный механизм ограничения доступа является индивидуальным и реализуется банком по письменному требованию клиента.

Для восстановления действий клиентов и событий, происходивших в ходе работы системы ДБО "Интернет-Банк", используется механизм журнализации и протоколирования. Журналы событий содержат подробную информацию по аутентификации клиентов, истории создания документов и измения их статусов, о времени, дате событий, объектах и субъектах действий.

Серверы системы ДБО "Интернет-Банк" размещаются в отдельном сетевом сегменте с контролируемом на межсетевом экране доступом из сети Интернет и внутренней сетью банка. В операционных системах серверов системы и сетевого оборудования проведена тщательная настройка, исключающая поддержку неиспользуемых протоколов, сетевых сервисов и служб. Используются встроенные в операционную систему механизмы аудита.

Лицензия, выданная Управлением ФСБ РФ по Калужской области Обществу с ограниченной ответственностью коммерческому банку «Калуга» Рег. № 1084Н от 30 ноября 2012 г.

Порядок проведения технической экспертизы

Процедура проведения технической экспертизы спорных ситуаций, связанных с принятием/непринятием, исполнением/неисполнением Банком электронного документа Клиента

1. При возникновении разногласий между Клиентом и Банком, которые связанны с подлинностью электронных документов, обмен документами в электронном виде между Сторонами немедленно прекращается. Разрешение спорных ситуаций осуществляется на основании результатов проверки электронной подписи Клиента под электронным Документом. Электронный документ считается подлинным, если он был одной Стороной надлежащим образом оформлен, подписан, зашифрован и оправлен, а с другой - получен, расшифрован, проверен и принят к исполнению.

2. Для рассмотрения спорных ситуаций по письменному заявлению Клиента не позднее 5 дней с даты его подачи создается согласительная экспертная комиссия (далее — Комиссия). Результатом деятельности Комиссии является установление Стороны, несущей ответственность по электронным документам, вызвавшим спорную ситуацию. Заявление подается Клиентом на имя Председателя Правления Банка и должно содержать ФИО и должности уполномоченных представителей Клиента, направляемых для участия в работе Комиссии.

3. Членами Комиссии являются в равном числе представители Банка и Клиента в количестве, оговоренном Банком и Клиентом. Персональный состав комиссии и распорядок её работы оформляется Приказом по Банку. Копия Приказа о создании Комиссии направляется Клиенту. При необходимости в Комиссию в качестве консультантов могут привлекаться независимые эксперты. Состав фиксируется в акте, который является итоговым документом, отражающим результаты работы комиссии. Срок работы комиссии не может превышать одного месяца.

4. Стороны обязаны представить комиссии необходимые документы и возможность ознакомиться с условиями и порядком работы Системы.

5. При возникновении у Клиента претензий к Банку по поводу корректности действий и неисполнения направленных электронных документов, совершенных в рамках выполнения обязательств по п.п. 8.5.2.9 и 8.5.2.11 «Правил комплексного обслуживания ЮЛ, ИП и ФЛ, занимающихся в установленном законодательством РФ порядке частной практикой в ООО КБ «Калуга», комиссия должна:
• проверить авторство предъявляемого Банком полученного им от Клиента электронного документа, в соответствии с которым совершены действия;
• проверить авторство предъявляемого Клиентом полученного им от Банка электронного документа, подтверждающего прием или проводку ЭД, по которому не совершены необходимые действия;
• проверить, что совершенные Банком действия соответствуют содержанию электронного документа.

6. Для проверки авторства электронного документа выполняются следующие действия:

6.1. В первую очередь решается вопрос об актуальности используемых ключей электронной подписи (далее ЭП). Открытый ключ считается актуальным и принадлежащим абоненту, если он был зарегистрирован в базе открытых ключей системы «Интернет - Банк» и действовал в момент, когда возник источник спорной ситуации.

6.2. Проводится сверка открытого ключа ЭП в базе открытых ключей системы «Интернет - Банк» с представленным Сторонами сертификатом открытого ключа клиента на бумажных носителях, заверенных подписью и печатью.

6.3. Производится выгрузка документа в файл для проверки подписи средствами системы "Интернет - Банк"

6.4. Проверяется корректность электронной подписи Клиента под электронным документом, предоставленным Банком.

7. Если открытый ключ в базе открытых ключей "Интернет - Банк" признан не актуальным или не соответствует сертификату ключа, содержащемуся на бумажном носителе, то комиссия признает, что претензии Клиента являются не обоснованными.

8. Если в результате проведенной проверки корректности ЭП электронного документа признана корректной, а также содержание и авторство оспариваемого электронного документа признается комиссией установленными, то претензии Клиента признаются необоснованными.

9. Если Сторона, являющаяся инициатором спора, представила ложный электронный документ, то претензии данной Стороны к другой Стороне признаются необоснованными.

10. Претензии инициатора спора к противоположной Стороне признаются необоснованными, если инициатор спора в соответствии с п. 6 настоящей Процедуры не предъявил комиссии полученный им электронный документ, или не предъявил открытый ключ подписи.

11. С целью выяснения причин и обстоятельств возникновения спорной ситуации комиссией при необходимости проводится проверка системных журналов технических средств и выполнение Клиентом Требований к системе и обеспечению безопасности клиентского места.

12. Отсутствие на клиентском рабочем месте Системы признаков отправки электронного документа, принятого Банком с корректной ЭП данного Клиента, не является основанием для отказа Клиента от авторства данного документа.

13. По итогам работы комиссии составляется акт, в котором в обязательном порядке отражаются:
• состав комиссии;
• действия членов комиссии;
• установленные обстоятельства;
• основания, которые послужили для формирования выводов;
• выводы, влияющие на возможность установления подлинности оспариваемого документа.
В этом случае акт признается Сторонами надлежащим.

14. В случае, если предложение о создании комиссии оставлено другой Стороной без ответа, либо Сторона отказывается от участия в комиссии или препятствует работе комиссии, а также отказывается от подписания акта, заинтересованная Сторона самостоятельно составляет акт, в котором указываются сведения о причинах его составления в одностороннем порядке. В данном акте фиксируются обстоятельства, позволяющие сделать вывод о том, что оспариваемый электронный документ является корректным, либо формулируется вывод об обратном. Указанный акт направляется другой Стороне для сведения. При рассмотрении в суде споров о наличии документа, исполненного с помощью системы "Интернет - Банк" или подписанного электронной подписью, заинтересованная Сторона обязана предоставить суду акт, составленный в соответствии с настоящей Процедурой.

15. Составленный комиссией акт является основанием для выработки Сторонами окончательного решения комиссии. Данное решение должно быть подписано Сторонами не позднее 10 дней с момента окончания работы комиссии. В случае, если решение не будет подписано в указанный срок, заинтересованная Сторона вправе обратиться в Арбитражный суд и без выработанного Сторонами решения, а в качестве доказательства представить акт, составленный в соответствии с настоящей Процедурой.

Памятка по безопасности клиентского места ДБО системы

"Памятка по безопасности клиентского места ДБО системы "Интернет - Банк"