Форум ''Интернет и Право''

Приглашаю посмотреть и высказать соображения по любопытному (и свежему) документу: Указание ЦБ РФ "О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет".

Вот полный текст: http://www.internet-law.ru/intlaw/laws/cbank.htm

Пункты 3.2-3.5 на мой взгляд глупость, которая кроме того что затруднит работу клиентов, ничего не даст.
Пункт 3.6 - вообще ерунда какая-то. Идентификация и аутентификация никогда не были равнозначными.
Хорошо еще что этот документ озаглавлен как Рекомендации, а не как требования.

Ну а что тут интересного можно сказать с точки зрения права? внутренние рекомендации организации своим подразделениям  В принципе, во внутреннем документе можно любые термины конструировать, лишь бы исполнителям понятно было.

Виталий К., я понимаю что банки зависимы от ЦБ по самое не хочу, но называть АКБ подразделениями ЦБ это не слишком?

Согласен, неудачно выразился.

Да-ааа!!! Маразм крепчал и Таньки наши быстры.

Вообеще-то последствия от таких документов только отрицательные. Они лишь создают видимость защищенности на том основании, что нельзя набрать dengi.bank.durak.ru, а надо набрать четыре которотких числа. Вот и вся защищенность. А то, что такие ресурсы отсканиваются за 5 минут со всеми их уязвимостями, об этом как-то не принято говорить, как будто эта тема - моветон.
Похоже, что банкиры нам всем новые авизовки готовят. Но только теперь это уже будут деньги не государства, а частных вкладчиков. Я в Российский банк теперь деньги не понесу...

Да! И еще, милиции надо обратить особое внимание на енто дело, как на возможную подготовку (покушение) на преступление...

Дурак - это явление социальное, а не биологическое: жрет и срет исправно, но вот среди людей...

Я согласен с Виталием в том, что с точки зрения права этот документ интереса не представляет(Виталий если я Вас не правильно понял - извините :)).
Urix Вы слишком громкие слова говорите. Лишнее это.
Если вы внимательно прочтете документ, и посмотрите веб-сайты основных российских банков, то увидите что их контент и так уже соотвествует этим рекомендациям. Что до мер по обеспечению безопасности информации при работе с ДБО, то за исключением неудачного пункта 3.6, тут ничего что повлияло бы на безопасность операций ДБО нет. Есть только создание неудобств в обслуживание системы и работы с ней клиентов. А тот факт что это рекомендации, а не требования, позволяет их проигнорировать полностью.

P.S. Urix если Вы со мной не согласны, предлагаю тему не "засорять" - пишите в приват.

Этот документ имеет статус отраслевого стандарта. Для Вас он действительно не имеет юридической силы, но не для работников кредитно-финансовой (банковской) отрасли.
Значит Вы плохо "просчитали" этот документ, если не увидели самого главного.
Вы их можете игнорировать, банковские работники их игнорировать не будут. И заставить банковских работников организовывать работу с клиентами правильно, как того требует клиент и безопасность его средств, и Вам и другим людям будет не под силу. Подействовать может только "голосование рублем" самих клиентов.

   Да! ЦБР предоставил компьютерным мошенникам очередную халяву обогатиться за счёт своих клиентов и клиентов коммерческих банков!

   Что-то подобное уже было в начале 90-х годов прошлого века, когда фальшивые электронные платежные поручения и чеки с грифом "Россия", дезорганизовали всю банковскую систему. После этого, если помните, последовали "чёрные четверги и вторники".

   Ну, что-ж. История повторяется заново, но только на более высоком технологическом уровне!

2 CyberCop и Urix:
Господа, раз уж Вы едины в мнении что данный документ имеет опасные для клиентов банка "дыры", укажите конкретные пункты документа.
Текст у вас есть. Может у меня и правда  "глаз замылился" и пора в отпуск.

И отдельно для Вас Urix:
Вы сказали что в Российский банк деньги не понесете, ну а например в Citibank понесете? Для справки у них при голосовом доступе к состоянию СКС требовалось назвать пин-код карточки. :(

Важно не то, что и там дури хватает. Важно то, что тот банк несет всю ответственность за ущерб, нанесенный клиенту в результате деятельности банка. Вспомните дефолт...
Поэтому, если я, при заключении договора с банком о передачи ему во временное управление моего имущества оговорю с банком процедуру взаимоотношений, то он будет либо обязан исполнять договор, либо отказаться от договора вообще. Так делается в развитых странах. Но не в России. Как следствие такой банковской политики были авизовки, дефолт.
Вы про эту поправку на Россиию "забыли". И "забыли", как "Герасим" занимался "космическими исследованиями". "Запускал" на деньги вкладчиков одноразовые спутники. В общем, подворовывал. Но так ворует руководство, а в том документа "рассказано" между строк, как будет воровать персонал.

Urix, ну не уходите вы от конкретики пожалуйста. Мы же с вами о конкретном документе говорим. Я вас настойчиво прошу указать места в документе, где "таится угроза".

А про банки и договора на обслуживание давайте отдельно поговорим. И про авизовки, дефолт, и кто кому что не выплатил и не вернул тоже. Только давайте сначала с этим документом разберемся.

Хорошо. Yeoman, специально для Вас. "Угроза таится" во всем документе в целом, поскольку в нем все поставлено с ног на голову. Документ является полностью противоречащим положениям о защите информации. Если это, конечно, не первоапрельская шутка.
Основное требование обеспечения информационной безопасности - это создание условий, при которых третьи лица не могут получить доступ к носителям с защищаемой информацией или не могут интерпретировать полученную информацию. Это возможно обеспечить применением защищенных каналов связи, для которых третьи лица не могут получить достиуп к носителю информации (подключение к каналу связи) и/или применение системы кодирования, которая не позволит третьим лицам в течении заранее обусловленного времени прочитать информацию и нанести ущерб обменивающимся информацией сторонам. Первое возможно при применении оптоволоконных каналов связи, второе возможно при применении систем криптографической защиты информации.
Поскольку предполагается осуществление обмена информацией по широковещательным (открытым) каналам связи, то оcтается только второй вариант защиты - криптографичекая защита информации.
Эти четыре пункта предназначены для сокрытия адресов операционных сайтов. Однако, это глупость несусветная. После неоднократных проверок я установил, что с момента подключения ресурса к свободному IP-адресу проходит в среднем 5-6 минут до начала сканирования ресурса. Т.е., можно с уверенностью сказать, что стойкость метода защиты, основанного на "умолчании" адреса составляет 5 минут. Это не защита, однако этой дури посвящено целых 4 пункта. На ней акцентировано внимание.
Это обязательное условие парольного доступа к ресурсам. Поэтому слово "целесообразно" отменяет ОБЯЗАТЕЛЬНЫЙ характер контроля доступа к ресурсам. Даже соединение по криптографически защищенному каналу не происходит без парольного подтверждения при handshake-е (рукопожатии).
Пароль - это некое секретное слово (в идеале известно только идентифицируемому лицу), которое подтверждает для идентифицирющего, что с ним контактиирует именно то лицо.
Эти два пункта противоречат предоставлению доступа клиентов к ресурсам банка через широковещательные каналы связи и устанавливает НЕОБЯЗАТЕЛЬНЫОСТЬ применения криптографической защиты.
Примененпие брандмауэров еще не свидетельствует о защищенности сети. Я несколько раз сталкивался с тем, что в некоторых сетях использовались либо ненастроенные брандмауэры (прозразнычные, работающие в режиме роутера), либо с неизмененными заводскими установками администраторских паролей, которые известны всем.

Подвожу итоги: акцент в этом документе сделан на защите, основанной на "умолчании", в то же время установлен необязательный характер для тех методов, которые в данном случае должны иметь не только обязательный, но и еще регламентированный рахактер и постоянно контролируемый службой безопасности банка. Сети, созданные по такой идеологии, взламываются, обычно в течении 20-25 минут. Минут пять уйдет на сокрытие следов. Следовательно, стойкость таких сетей - не более получаса-часа с момента ее подключения к общедоступным каналам связи. А еще учитывая, что внутри все собрано на продукции MicroSoft, нельзя дать никаких гарантий, что эти сети уже не взломаны и в них не внедрены "подарки". Так же, учитывая наплевательское отношение банкиров и государства по отношению к клиентам и гражданам, когда глава ЦБ РФ за деньги своих вкладчиков "запускал" одноразовые (одномесячные) спутники, когда политика Правительства РФ привела к дефолту, когда...
В общем, Российским банкам, а через них и Правительству, я свои деньги не доверю. Дискредитированы по самое некуда эти "робяты".

Ну что же Urix, давайте посмотрим на этот документ моими глазами.

3.1. Дистанционное банковское обслуживание с использованием Интернет-технологий предполагает возможность доступа к банковским данным через общедоступные информационные каналы (открытые системы связи). Вследствие этого особенности организации операционных WEB-сайтов обусловлены необходимостью обеспечения безопасности совершения операций в рамках ДБО и банковских автоматизированных систем КО. Настоящие рекомендации направлены на снижение рисков, связанных с использованием современных компьютерных информационных технологий в банковской деятельности. При этом порядок регистрации клиентов, способ и порядок доступа к операционному WEB-сайту, а также перечень применяемых средств обеспечения информационной безопасности определяются КО самостоятельно.

Обратите внимание на выделенную часть. После этого, с моей точки зрения, обсуждение документа можно закончить. Чтобы ни было написано в этом документе дальше, банк и только банк решает что и как ему защищать.
А уже ваша задача, придя в банк выяснить каким именно образом вы будете защищены при работе с банком через общедоступные сети. И решить для себя, будете вы иметь дело с этим банком или пойдете в другой. И будте уверены, что если вы захотите получить эту инфомрацию, вам ее дадут, а вот если ее от вас начнут скрывать, тогда смело разворачивайтесь с идите в другой банк. И опять же ваша задача, получив для подписания договор(а) на обслуживание внимательно их прочитать и решить будете вы их подписывать или нет.

Этот документ для меня выглядит как попытка ЦБР хотя бы "озвучить" те способы/методы/средства, которые следует применять для обеспечения безопасности иформации при дистанционной работе клиента с банком.

Во всем документе у меня притензии только к пункту 3.6. Так писать, как в нем написано - нельзя. Правда ЦБР в пункте 3.1 уже заранее от всего открестился.  Так что на самом деле, те у кого голова на плечах есть, сделают нормальные системы или закажут тем кто умеет их делать. А те у кого головы нет, сделают все как всегда. Им хоть пошаговые инструкции давай - все едино.

Вот такая картинка у меня выходит.

Urix насчет всего остального, что вы написали:
Честно говоря меня поразила логика ваших рассуждений - вы так интересно трактуете этот документ, особенно пункты 3.7 и 3.8.
Я бы про них сказал так: Там где передается конфиденциальная информация - шифровать и вешать документам MAC'и. Там где передается открытая информация - это можно не делать. По крайней мере я так понимаю термин целесообразно. Тем более что в данном случае речь ведется о WEB-сайт'ах, а они с точки зрения данного документа бывают 2х типов:
информационные - используются для распространения на постоянной основе сведений, характеризующих КО и их деятельность. WEB-сайты данного вида могут также использоваться как средство интерактивного взаимодействия с пользователями для получения от них той или иной информации или передачи информации в их адрес без проведения операций в рамках ДБО;

операционные - используются для осуществления клиентами КО банковских операций и сделок в рамках ДБО.

И в первом случае будет нецелесообразно применять СКЗИ.

В этом документе это прямо не записано, но между строк следует читать следующее: любой банк может проявлять самостоятельность, но излишне самостоятельный банк рискует лишиться лицензии ЦБ РФ на банковскую деятельность. Поскольку ЦБ РФ - вышестоящий в иерархии банков, то его просьбу следует расценивать уже как приказ. Ибо в России всегда действовал принцип "ты начальник - я дурак, я начальник - ты дурак".
Я так трактую потому, что ЗНАЮ свойства информации. Отсюда следует и все остальное.
Не нравится моя трактовка - трактуйте по своему. Расставляйте свои акценты. Можете и так, как это сделал ЦБ РФ в этом документе. Я Вас убеждать не буду. Российские банки и так уже потеряли меня, как клиента.

Я себе слабо представляю ситуацию: банк сделал так "как считал нужным" - и при этом нарушил хоть один пункт этих рекомендаций. Документ то "резиновый". Можно так, а можно этак. Сделать правильную систему и не нарушить ни одного пункта этого документа можно легко и непринужденно.
Без проблем Urix, клиентов у нас хватает  ;)

А сухой остаток всего: доверяй, но проверяй.

P.S. Очень жаль что "не удалось заслушать начальника транспортного цеха" в лице CyberCop'a. :)

А для этого нужны СУКИ, а не ЖОР-ы или ЛОР-ы. С первыми в банках напряженка.
Ну такой примерчик, для затравки. Некто положил деньги в банк. Сидит себе дома, чаи гоняет, ждет, когда проценты вырастут. Подходит время снимать проценты, заходит по сети на операционный сайт банка, а счет закрыт. Он в банк, разбираться. А в банке ему говорят: уважаемый, это Вы сами два месяца назад закрыли счет через Internet. Секретное слово никто, кроме Вас, не знает. Значит, это сделали Вы. Извиняйте, если что не так. А будете тут руками махать, так мы еще и милицию вызовем. Или скорую помощь.

Urix выражайтесь точнее плиз...

ЖОР-ы - Жены Ответственных Работников
ЛОР-ы - Любовницы Ответственных Работников
СУКИ - Случайно Уцелевшие Квалифицированные Инженеры.

Забавная феня :)

Со случайно уцелевшими тоже проблемы. В основном попадаются просто квалифицированные специалисты. Хотя согласен их немного и собрали их в основном в 30ке лучших банков.
Но отсутсвие специалистов это общая проблема. А не только банков.

   Помнится Володя Левин из Санкт-Петербурга со своею "братвой" в середине 90-х годов прошлого века "сходили" туда и "унесли" со счетов клиентов названного банка ни много ни мало 10 млрд. 762 тыс. 521 $ Не хило, правда! :o

   Так что Urix как никогда прав: Деньги ни в наши отечественные, ни в их зарубежные банки вносить нельзя - их можно лишь с успехом "выносить" от туда!
При этом, как правило, это чужие деньги.

   В полностью открытой системе, коей является "Интернет", невозможно организовать даже относительно гарантированную защиту данных. Тем более, что каждый при этом будет определять собственный порядок такой защиты.

   Относительно гарантированная защита данных возможна только в локальных системах, в которых выполняется комплекс единых мер, методов и средств защиты информации и все "играют" по единым правилам.
   В качестве примера можно привести "Спринт-Теленет", S.W.I.F.T. и ряд других международных специализированных финансовых систем, используемых для электронных платёжно-расчётных операций.

   Полностью согласен! Материалы уголовных дел это подтверждают! Однако, пока наши доморощенные "киберворы" грабили только "буржуев", имеющих указанные средства электронных расчётов. Видимо с принятием этого "Руководящего документа ЦБР" достанется и нашим клиентам - будущим потенциальным потерпевшим.

   Кто-то сильно пролоббировал этот документ, чтобы в очередной раз "кинуть на большие бабки" клиентов наших банков или отмыть очередные партии "чёрного нала".

CyberCop! Осторожнее на поворотах! Заносит!
Есть немало примеров того, как надо правильно организовывать защищенную передачу информацию по открытым каналам связи. Например, до недавнего времени дипломаты всех стран со своими правительствами общались по телеграфу или диппочтой. А телеграф - это незащищенная система связи. Но зашифрованные сообщения еще надо суметь прочитать и ПРАВИЛЬНО интерпретировать. А шифровать для таких систем лучше всего с помощью шифроблокнота Видженера или его модификаций.

В качестве "разминки для мозгов" могу предложить следующую задачу. Как известно из теоремы Шеннона, чем больший объем информации зашифрованный одним ключем и методом шифрования подвергается анализу, тем легче выявить закономерности и "взломать" шифр. Предложите алгоритм защиты информации в базах данных, когда стойкость метода возрастает с ростом объема зашифрованных данных.
P.S. Противоречия теореме Шеннона в этом решении нет, просто решение основано на некоторых свойствах информации, которые в теореме Шеннона не были учтены. Что-то вроде того, что теорема Шеннона справедлива для семантически неортогональной информации, для функционально связанной, для зависимой информации.

2CyberCop:
Мдя нет слов... :( Мне остается только сказать что я полностью согласен с тем что вам ответил Urix(пост #23 от 24.02.2004 в 14:01:12 ).

"САМЫЙ ЗАЩИЩЁННЫЙ КОМПЬЮТЕР - ЭТО ВЫКЛЮЧЕННЫЙ КОМПЬЮТЕР!"

    А организовать требуемый уровень защиты данных в предлагаемой ЦБР "системе электронных взаиморасчётов" в соответствии с Руководящими Документами Гостехкомиссии России и иными нормативно-правовыми актами всё равно не получится! :P

P.S! См.: Специальные требования и рекомендации по защите информации от иностранных технических разведок и от утечки по техническим каналам.

CyberCop! Именно о том: что данный документ не позволяет организовать правильно (в защищенном режиме) работу с клиентами речь и идет. На Вас "наехали" за то, что Вы попытались распространить дурь из этого документа на правильные методы орагнизации защищенной работы по передаче, обмену информацией.

Так ведь и я о том же! :(
  Я просто наглядно показал "предмет лицом" или "как оно будет" (как его поймут другие). :D

Однако, не всегда. Например, постоянно работающий и мониторящийся сервер труднее украсть, чем выключенный.  ;)