Использование систем удаленного доступа к банковским счетам

Вопрос о развитии систем удаленного банковского обслуживания чрезвычайно актуален для России. Масштабы страны, невысокая плотность населения, удаленность сельских районов — все это заставляет задуматься о нетрадиционных каналах доставки финансовых продуктов населению. Экономика банковского бизнеса устроена таким образом, что открытие банковских отделений и филиалов в отдаленных регионах оказывается убыточным делом. Следовательно, необходимы инновационные технологии — технологии из разных областей знаний: коммуникационных, организационных, финансовых и микрофинансовых^[1][2].

Развитие банковских технологий и современное состояние платежной системы России создали для хозяйствующих субъектов реальную возможность широкого применения новых технологий проведения платежей, к числу которых относятся различные системы удаленного доступа к банковским счетам: интернет-банкинг, СМС-информирование и др. С их помощью банки решают проблемы привлечения новых клиентов и своевременной обработки значительного объема документов и информации.

К oneeudwjiM преимуществам использования банками систем удаленного доступа следует отнести:

• • централизованную обработку информации, предполагающую выполнение всех компьютерных программ на терминальных серверах и установку на клиентском месте лишь клиентских терминальных устройств;
• • эффективную работу с филиалами, позволяющую разрешить проблему оперативного сбора информации с мест;
• • высокую защищенность ресурсов, основанную на том, что все информационные массивы сосредоточены в едином месте, под контролем и защитой службы безопасности банка;
• • высокую надежность транзакций, обусловленную переносом исполнения клиентской части с потенциально ненадежных персональных компьютеров на отказоустойчивые терминальные серверы;
• • возможность работы на каналах связи с низкой пропускной способностью^[3].

В настоящее время кредитные организации предлагают клиентам довольно широкий выбор платежных систем и услуг. Некоторые из них ограничиваются полным управлением денежными средствами через Интернет: ведением счетов, покупкой и продажей иностранной валюты, работой на рынке ценных бумаг, открытием и пополнением банковских вкладов, оплатой коммунальных и иных платежей. Другие предусматривают также возможность совершения операций с банковскими картами, а также позволяют частным и корпоративным клиентам в режиме онлайн оформить документы и реально оценить свои финансовые возможности для получения и обслуживания кредита. Третьи практикуют интерактивную торговлю акциями, опционами, фьючерсами, предлагая клиентам систему «электронного брокера», созданную, но аналогии с интерфейсами торговых мест Московской межбанковской валютной биржи.

Различные комплекты банковских услуг предоставляют клиентам в настоящее время крупнейшие российские разработчики финансовых интернет-технологий^[4], в частности:

Интернет-банкинг, предоставляющий управление банковскими счетами и картами через Интернет и веб-браузер в режиме онлайн, а также поддерживающий все типы финансовых документов. Работает во всех веббраузерах и на всех платформах. Нет необходимости в установке клиенту специализированного программного обеспечения. Содержит механизмы шифрования и электронной подписи (ЭЦП) (см. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи») поддерживает коллективную работу, взаимодействует с бухгалтерскими программами;

PC-банкинг, который также предоставляет услуги по управлению банковскими счетами и картами, но в режиме оф-лайн, через предустановленное па компьютере клиента программное обеспечение с использованием подключения через модем к банковскому модемному пулу (коммутируемый доступ). Синхронизация с банком — передача в банк финансовых документов, загрузка выписок, синхронизация справочников, загрузка обновлений клиентской компоненты РС-банкинга — происходит через защищенное соединение по протоколу TCP/IP;

Mobile-банкинг, который предусматривает управление банковскими счетами и картами с КПК, коммуникаторов и смартфонов. Работает в режиме онлайн. Поддерживает все типы финансовых документов. Клиентская компонен реализована для трех платформ: Java 2 ME, Microsoft.NET Compact Framework и Symbian OS. Пользовательский интерфейс разработан с учетом особенностей коммуникторов и смартфонов. Содержит механизмы шифрования и ЭЦП, поддерживает коллективную работу. Как правило, использование системы Mobile-банкпнг позволяет проводить управление счетом, включающее «получение информации абонентом о состоянии счета в любой момент и любой точке нахождения, получение информации о зачислении суммы на счет, контроль совершающейся сделки в реальном времени, возможность остановить действие счета в случае подозрений использования счета другим лицом или утери»^[5];

СМС-банкиж, позволяющий иметь доступ к банковским счетам и картам через СМС. Предусмотрена возможность рассылки СМС-сообщений о текущих остатках, движении средств по счетам и картам, выписки по расписанию. Настройка рассылки СМС-сообщений осуществляется клиентом самостоятельно в Интернет-банкинге и PC-банкинге. Реализована подписка на банковские новостные каналы, поддерживаются СМС-запросы клиентов;

WAP-банкинг, предусматривающий доступ к банковским счетам и картам с мобильного телефона через WAP. Предоставляется информация о реквизитах банка, курсах валют, текущих остатках по счетам и картам. Клиент может запрашивать выписки за произвольный период, пополнять и блокировать карты, осуществлять WMP-платежи;

Phone-банкинг, открывающий доступ к банковским счетам и картам с телефона. Предоставляется информация о текущих остатках, выписка за определенный период, пересылаемая на факс, пополнение и блокировка карт, телефонные платежи;

Веб-банкинг, который является облегченной (/^/-интерфейс) версией Интернет-банкинга, не содержит механизма ЭЦП и предназначен для доступа к банковским счетам и картам через Интернет и любой веббраузер.

В настоящее время на практике кредитными организациями наиболее широко применяется система интернет-банкинга iBank 2 для частных и корпоративных клиентов^[6]. Посредством системы iBank 2 клиент получает возможность:

• — отправлять в банк различные финансовые, в том числе платежные, документы, с целью поручить банку выполнить определенные действия (осуществить платеж, покупку иностранной валюты и пр.);
• — получать выписки по счетам за любой период времени;
• — осуществлять отзыв финансовых, в том числе платежных, документов;
• — обмениваться информационными сообщениями с банком;
• — осуществлять обмен документами (импорт/экспорт) с бухгалтерскими программами.

Работа подразумевает обязательную регистрацию клиента в системе, которая состоит из двух этапов: а) предварительная регистрация через Интернет; б) окончательная регистрация в офисе банка.

В процессе предварительной регистрации клиент вносит сведения о себе и о владельце ключа^[7] в систему и генерирует открытый и закрытый ключи ЭЦП. На этапе окончательной регистрации клиент лично прибывает в банк с подписанным сертификатом открытого ключа ЭЦП и заключает с банком договор на обслуживание клиента в системе iBank 2^[8].

ЭЦП используется в качестве аналога собственноручной подписи клиента для обеспечения целостности и аутентичности пересылаемых документов. Закрытый ключ ЭЦП используется для формирования ЭЦП нод финансовыми документами и иными исходящими от клиента распоряжениями. Закрытый ключ ЭЦП хранится на магнитном носителе (компьютерный диск) либо электронном носителе (i/Sfi-токен) клиента в зашифрованном виде.

Открытый ключ ЭЦП используется банком для аутентификации клиента и для проверки ЭЦП клиента под финансовыми документами. Проверка ЭЦП клиента осуществляется сервером банка в момент подписания клиентом документов и в момент их выгрузки в базу банка. Открытые ключи ЭЦП клиентов хранятся в банке в виде сертификатов, заверенных системным администратором банка.

В настоящее время базовым стандартом дистанционного банковского обслуживания является система «Клиент-Банк», которая позволяет направлять в кредитную организацию расчетные документы в электронном виде, получать выписки движения средств по счетам и осуществлять обмен других документов.

В остальном — каждая кредитная организация в целях достижения определенных конкурентных преимуществ использует различные технические и программные средства оптимизации платежей и общения с клиентом.

Как правило, особенности комплексного обслуживания клиентов с использованием системы «Клиент-Банк» онлайн, равно как и использование 7тю/л7е-банкинга, различных систем СМС-оповещения и иных форм дистанционного взаимодействия между клиентом и банком предусматриваются в соответствующих внутренних документах кредитной организации — правилах осуществления операций, отражаются в соответствующих договорах банковского счета или дополнительных соглашениях к ним.

Правила традиционно содержат закрепление системы терминов (понятий), предмет регулирования, вопросы защиты электронных документов, подключения и отключения от системы и обслуживание клиента в системе, правила осуществления расчетов, порядок разрешения споров и иные вопросы.

Так, например, в Условиях комплексного обслуживания клиентов с использованием системы «Банк-Клиент онлайн» банк принимает на себя обязательства по проведению расчетных операций по банковским (специальным банковским) счетам клиента, открытым в банке, на основании электронных платежных документов, по передаче электронных служебноинформационных документов между клиентом и банком по сети Интернет с помощью системы «Банк-Клиент онлайн», а также по предоставлению клиенту по телефону с использованием секретного слова финансовой информации в объеме, предусмотренном данными условиями. Клиент поручает банку, а банк принимает на себя обязательства:

• — по проведению расчетных операций по банковским (специальным банковским счетам) клиента на основании электронных платежных документов, направленных клиентом в банк по сети Интернет;
• 1
• — по передаче электронных служебно-информационных документов между клиентом и банком по сети Интернет;
• — по заключению сторонами договоров, изменению и дополнению ранее заключенных сторонами договоров на основании электронных оферт, сформированных и клиентом по сети Интернет, путем их акцепта банком;
• — по предоставлению при обращении клиента по телефону с использованием секретного слова информации в отношении счетов, депозитных счетов и кредитных договоров.

Как правило, разрабатываются также внутренние документы, предусматривающие порядок признания и использования электронных подписей, порядок использования ключа электронной подписи, требования по обеспечению информационной безопасности в системе дистанционного банковского обслуживания.

Аналогичный документ разработан Сбербанком России — Условия предоставления услуг с использованием системы дистанционного банковского обслуживания ПЛО Сбербанк юридически лицам, индивидуальным предпринимателям и физическим лицам, занимающимся частной практикой в порядке, установленном законодательством Российской Федерации^[9].

В документе раскрыта система терминов и определений; условия предоставления и оплаты услуг; общие положения определяют перечень основных услуг с использованием систем дистанционного банкинга, среди которых:

• — прием от клиента электронных платежных документов на выполнение операций по его счетам;
• — предоставление клиенту в электронном документе информации об операциях, совершенных по счетам;
• — обмен электронными документами и информацией, в том числе прием информации свободного формата и иные вопросы.

Дистанционное обслуживание ПЛО Сбербанк России включает системы:

• — Сбербанк Бизнес Онлайн (система дистанционного банковского обслуживания, предоставляющая возможность посредством стандартного Интернет-браузера подготавливать и отправлять платежные документы, а также совершать иные операции);
• — мобильное приложение «Сбербанк Бизнес Онлайн» (планирование, контроль, управление финансами юридических лиц и индивидуальных предпринимателей в одно касание);
• — E-voicing (система электронного документооборота, с помощью которой клиент может решать бизнес-задачи вне зависимости от расстояния между контрагентами, масштабов бизнеса и вида деятельности;
• — Сбербанк Бизнес — система дистанционного банковского обслуживания на основе приложения, устанавливаемого на стороне клиента и иные системы дистанционного банкинга.

Безусловно, системы дистанционного банкинга в первую очередь выгодны для физических лиц, поскольку позволяют производить оплату счетов и покупок без посещения отделения банка, практически, из любой точки мира; практически мгновенно получать выписки движения средств по счетам, информирование и прочие банковские услуги.

Для юридических лиц это — различные формы более упрощенного оформления платежных документов, обмен ими, получение выписок, подача заявок на проведение документарных операций, заявок на получение кредитов и пр.

Законодательно в рассматриваемой области кредитные организации обязаны соблюдать нормативные правовые и нормативные и рекомендательные акты, регулирующие порядок обмена информацией и обеспечение конфиденциальности передаваемых сведений^[10].

Особое значение в данной связи приобретают вопросы информационной безопасности при осуществлении дистанционного банкинга.

Банком России разработан Стандарт СТО БР ИББС-1.0−2014 «Обеспечение безопасности организаций банковской системы Российской Федерации» в целях развития и укрепления банковской системы, достижения адекватности мер защиты реальным угрозам информационной безопасности, предотвращения и (или) снижения ущерба от инцидентов информационной безопасности (далее — «ИБ»), поддержания стабильности организаций банковской системы России и на этой — основе — стабильности банковской системы России в целом.

Систему И Б составляет совокупность защитных мер, реализующих обеспечение И Б кредитной организации, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

Банк России отмечает, что сущность бизнеса заключается в вовлечении актива, принадлежащего собственнику (организации банковской системы России) в бизнес-процесс. Эта деятельность всегда подвержена рискам, так как и на сам актив, и на бизнес-процесс могут воздействовать различного рода угрозы (природного, техногенного и антропогенного характера).

В основу исходной концептуальной схемы информационной безопасности организаций банковской системы лежит противоборство собственника^[11] и злоумышленника в целях получения контроля над информационными активами.

Значительное внимание уделено в концепции порядку доступа работников и клиентов кредитной организации к информационным активам, который должен осуществляться на основе следующих основных принципов:

• — знать своего клиента (Know your Customers) — отражает отношение к финансовым организациям с точки зрения деятельности их клиентов;
• — знать своего служащего (Know your Employee) — демонстрирует озабоченность организации по поводу отношения служащих к своих обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью;
• — необходимо знать (Need to know) — ограничивает полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей;
• — двойное управление (Dual Control) — принцип сохранения целостности процесса и борьбы с искажением функции системы, требующей дублирования (временного, ресурсного и иного) действий до завершения определенных транзакций.

Аналогичный подход прослеживается и из анализа иных Стандартов информационной безопасности Банка России, посвященных определенным, более узким вопросам:

• — Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» PC БР ИББС- 2.9−2016;
• — Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» PC БР ИББС-2.7−2015;
• — Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации». PC БР ИББС-2.8−2015;
• — Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» PC БР ИББС-2.6−2014;
• — Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности». PC БР ИББС-2.2−2009 и др.

Вышеуказанные акты приняты Банком России как рекомендации и, соответственно, не носят общеобязательного характера, поскольку нормативными актами не являются. Вместе с тем кредитная организация обязана самостоятельно определить и закрепить в соответствующих внутрибанковских документах перечень и содержание основных угроз (моделей угроз), которым она подвержена и разработать комплекс средств для их устранения или минимизации и, соответственно, защиты интересов клиентов, вкладчиков, корреспондентов, контрагентов кредитной организации и ее собственников.

В соответствии с и. 1.2 Положения Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» установлено, что одной из основных целей осуществления внутреннего контроля является обеспечение информационной безопасности — защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.

Контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности является одним из направлений системы внутреннего контроля.

Информация по направлениям деятельности кредитной организации должна быть своевременной, надежной, доступной и правильно оформленной. Информация состоит из сведений о деятельности кредитной организации и ее результатах, данных о соблюдении установленных требований нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации, а также из сведений о событиях и условиях, имеющих отношение к принятию решений. Форма представления информации должна быть определена с учетом потребностей конкретного получателя (органы управления, подразделения, служащие кредитной организации).

Порядок контроля за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности должен быть установлен внутренними документами кредитной организации и должен распространяться на все направления ее деятельности.

Внутренний контроль за автоматизированными информационными системами и техническими средствами состоит из общего контроля и программного контроля.

При этом общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т. д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.

Программный контроль осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных и т. п.).

Кредитная организация обязана разработать правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях.

Политика информационной безопасности определяется Банком России в числе основных вопросов, по которым кредитная организация должна принять внутренние документы (Приложение № 2 к Положению Банка России № 242-П).

• [1] Между тем, но обозначенному вопросу имеется и противоположная практика. См., например, Определение Приморского краевого суда от 20.10.2014 по делу № 33−9280.
• [2] Использованы материалы сайта Ассоциации региональных банков России (URL:http://www.asros.ru/2pid* 19@cid-20@act" 1 494 600 841).
• [3] Абросимов В. Терминальный доступ. Архитектура «тонкого» клиента // Банковскиетехнологии. 2005. № 2.
• [4] Более подробно об этом см.: URL: http://www.bifit.corn.
• [5] Лыкова Е. Актуальность комплексных ИТ-решений для автоматизации банковскихтехнологий // Банковское обозрение. 2004. № 9.
• [6] Технические характеристики данной системы см. на сайте (URL: http://www. hifit.com).
• [7] Независимо от вида клиента владельцем ключа всегда будет физическое лицо — работник организации-клиента.
• [8] Информация о вновь зарегистрированном клиенте и его открытом ключе хранится всистеме не более 30 дней. Если в течение этого срока клиент не прошел окончательную регистрацию в офисе банка, информация о таком клиенте и его ключе автоматически удаляетсяс сервера банка.
• [9] ega 1/banki ngserv i се/ed bo/t a ri f/? base=beta).
• [10] Например, Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Постановление Правительства РФот 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средствзащиты конфиденциальной информации»; Постановление Правительства РФ от 26.06.1995№ 608 «О сертификации средств защиты информации»; Письмо Банка России от 14.03.2014№ 42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций прииспользовании информации, содержащей персональные данные граждан»; Указание БанкаРоссии от 10.12.2015 № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» и нр.
• [11] Под собственником Стандарт понимает субъекта хозяйственной деятельности, имеющего права владения, распоряжения или пользования активами, который заинтересован илиобязан (согласно требованиям законодательства или иных нормативных актов) обеспечиватьзащиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.