Технико-правовой аудит безопасности интернет-банка

Системы дистанционного банковского обслуживания являются одними из самых разнообразных, популярных и критичных. Интернет-банк и мобильный банк используют подавляющее количество юридических и физических лиц. Для эффективной и безопасной работы систем банк-клиент необходимо согласовать вопросы информационной безопасности, а также создать корректную юридическую конструкцию.

Судебная практика по спорам, связанным с хищением денежных средств со счетов банков и их клиентов демонстрирует полную или частичную несогласованность между техническими и правовыми основами работы систем интернет-банка. Как следствие, российские суды выносят решения, как в пользу банков, так и в пользу клиентов.

Обладая большим опытом судебного представительства, банковского аудита, а также работы в качестве судебных экспертов в делах, связанных с хищением денежных средств, экспертами RTM Group разработана методика технико-правового аудита безопасности дистанционного банковского обслуживания.

Состав работ

В рамках аудита оценивается*:

•  Техническая безопасность системы ДБО
•  Документация на систему ДБО
•  Внутренняя документация банка по работе с ДБО
•  Договоры между банком и клиентами (включая регламенты и приложения)

* — часть работ может быть исключена из области аудита.

Полученная информация соотносится с:

• Действующим законодательством и требованиями Банка России (в частности, положениями 382-П, 683-П и иными)
• Существующей судебной практикой по делам, связанным с работой систем ДБО
• Опытом RTM Group по созданию правовых конструкций в области ИТ
• Опытом RTM Group по участию в делах, связанных с ДБО

При проведении работ в обязательном порядке оценивается:

• архитектура системы ДБО с точки зрения информационной безопасности;
• процесс подключения клиентов к системе ДБО;
• ролевая модель сотрудников Банка, работающих с ДБО;
• интеграционные компоненты системы, в частности, средства обмена с АБС;
• полнота и достоверность имеющихся шаблонных документов (договоры с клиентами, регламенты работы с системами ДБО, памятки для клиентов и пр.);
• корректность описания процессов работы ДБО;
• безопасность эксплуатации систем ДБО, включая анализ журналов работы системы;
• соответствие процессов и документации требованиям в области криптографии, ГОСТ Р 57580, 382-П, иных требований Банка России.

При отсутствии ранее проведенного анализа уязвимостей по ОУД4 (наиболее значимое техническое требование к системам ДБО), таковой может быть проведен отдельно.

Результаты работ

Отчет о результатах аудита, включающий в себя:

• Выявленные несоответствия и нормативные риски;
• Выявленные архитектурные, технические, нормативные и организационные уязвимости системы ДБО, способные негативным образом повлиять на деятельность банка;
• Развернутые рекомендации по совершенствованию работы системы ДБО, включая корректные формулировки в документацию, снижающие риски банка.

Разрабатываемое заключение/отчет оформляется в строгом соответствии с положениями 73-ФЗ об экспертной деятельности и является юридическим значимым. Как следствие — может использоваться банком при разрешении потенциальных споров и в судебных процессах.

Этапы и продолжительность аудита

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты