Система "Интернет-Банк iBank 2" относится к классу систем защищенного электронного
документооборота. Обмен электронными документами в Интернет-Банке, и Mobile-Банке
происходит между банком и клиентом.
Электронный документ, отправленный клиентом и полученный банком, является основанием
для совершения банком финансовых операций.
Конечной целью всех атак на систему является:
- цель 1 - подмена (навязывание) злоумышленником электронного документа от имени
одной из сторон
- цель 2 - нарушение конфиденциальности документа (ознакомление с документом)
Для обеспечения аутентичности (доказательство авторства) и целостности документа в
Интернет-Банке, и Mobile-Банке используется механизм электронной подписи (ЭП)
под электронными документами.
Именно электронный документ с ЭП является основанием для совершения финансовых
операций и доказательной базой при разрешении конфликтной ситуации. В системе
реализованы алгоритмы в соответствии с ГОСТ Р34.10-94, ГОСТ Р34.10-2001 и ГОСТ
Р34.11-94. ЭП как раз и реализует защиту от достижения злоумышленником
цели 1.
Для обеспечения конфиденциальности в Интернет-Банке, и Mobile-Банке используется
механизм шифрования данных. При взаимодействии через Интернет осуществляется
шифрование и контроль целостности передаваемой информации, проводится криптографическая
аутентификация сторон. В системе реализованы алгоритмы в соответствии с
ГОСТ 28147-89. Именно механизм шифрования данных обеспечивает нейтрализацию попыток
достижения злоумышленником
цели 2.
Для криптографической защиты информации в систему встроена многоплатформенная
криптобиблиотека "Крипто-КОМ 3.2" (класс КС1), используемая для реализации функций
формирования ключей шифрования и электронной подписи, выработки и проверки
электронной подписи, шифрования и имитозащиты информации, не содержащей
сведений, составляющих государственную тайну. Криптобиблиотека "Крипто-КОМ 3.2"
сертифицирована ФСБ РФ (сертификат СФ/114-1551 от 07.11.2010), разработчик - компания
ЗАО "Сигнал-КОМ.
Для разрешения конфликтных ситуаций в системе ведутся контрольные архивы, в которых
хранятся все электронные документы с ЭП. Контрольные архивы хранятся в банке.
Для организации безопасной работы используются штатные средства защиты Web-браузеров,
виртуальной Java-машины и встроенные в систему "Интернет-Банк iBank 2" дополнительные
механизмы защиты информации.
ОАО "УБРиР" имеет лицензии ФСБ РФ:
-
ЛЗ № 0011861 от 23.04.2009 на осуществление деятельности по распространению шифровальных (криптографических) средств (срок действия - до 23 апреля 2014),
-
ЛЗ № 0011862 от 23.04.2009 на осуществление деятельности по техническому обслуживанию шифровальных (криптографических) средств (срок действия - до 23 апреля 2014),
-
ЛЗ № 0011863 от 23.04.2009 на осуществление деятельности по предоставлению услуг в области шифрования информации (срок действия - до 23 апреля 2014),
а также прошел аттестацию на соответствие требованиям по безопасности информации
(аттестат соответствия от 10.03.2009, выдан ФГУП "НТЦ "Атлас" на 3 года).