Хорошо. Yeoman, специально для Вас. "Угроза таится" во всем документе в целом, поскольку в нем все поставлено с ног на голову. Документ является полностью противоречащим положениям о защите информации. Если это, конечно, не первоапрельская шутка.
3.1. Дистанционное банковское обслуживание с использованием Интернет-технологий предполагает возможность доступа к банковским данным через общедоступные информационные каналы (открытые системы связи).
Основное требование обеспечения информационной безопасности - это создание условий, при которых третьи лица не могут получить доступ к носителям с защищаемой информацией или не могут интерпретировать полученную информацию. Это возможно обеспечить применением защищенных каналов связи, для которых третьи лица не могут получить достиуп к носителю информации (подключение к каналу связи) и/или применение системы кодирования, которая не позволит третьим лицам в течении заранее обусловленного времени прочитать информацию и нанести ущерб обменивающимся информацией сторонам. Первое возможно при применении оптоволоконных каналов связи, второе возможно при применении систем криптографической защиты информации.
Поскольку предполагается осуществление обмена информацией по широковещательным (открытым) каналам связи, то оcтается только второй вариант защиты - криптографичекая защита информации.
3.2. Адрес операционного WEB-сайта КО рекомендуется рассматривать как конфиденциальную информацию и сообщать его только зарегистрированным пользователям систем ДБО в порядке, определяемом КО.
3.3. Не рекомендуется использовать прямые ссылки (точки входа) с информационных WEB-сайтов на операционные сайты КО или приводить на них сведения о таких точках входа (адресах).
3.4. Не рекомендуется назначать адреса URL 3 операционным WEB-сайтам КО и регистрировать их на серверах доменных имен 4 , если это не связано с необходимостью внесения существенных изменений в уже используемые КО в банковской деятельности технологии.
3.5. Доступ к операционным WEB-сайтам КО целесообразно осуществлять с использованием IP-адресации 5 , если применение такого способа не приведет к существенным изменениям уже используемой КО технологии ДБО.
Эти четыре пункта предназначены для сокрытия адресов операционных сайтов. Однако, это глупость несусветная. После неоднократных проверок я установил, что с момента подключения ресурса к свободному IP-адресу проходит в среднем 5-6 минут до начала сканирования ресурса. Т.е., можно с уверенностью сказать, что стойкость метода защиты, основанного на "умолчании" адреса составляет 5 минут. Это не защита, однако этой дури посвящено целых 4 пункта. На ней акцентировано внимание.
3.6. Вход зарегистрированных пользователей на операционные WEB-сайты КО целесообразно осуществлять с применением процедур идентификации 6 или аутентификации пользователей.
Это обязательное условие парольного доступа к ресурсам. Поэтому слово "целесообразно" отменяет ОБЯЗАТЕЛЬНЫЙ характер контроля доступа к ресурсам. Даже соединение по криптографически защищенному каналу не происходит без парольного подтверждения при handshake-е (рукопожатии).
Пароль - это некое секретное слово (в идеале известно только идентифицируемому лицу), которое подтверждает для идентифицирющего, что с ним контактиирует именно то лицо.3.7. Во всех режимах работы WEB-сайта информационный обмен КО с клиентом целесообразно осуществлять с использованием средств шифрования.
3.8. Электронный документооборот между КО и клиентами через операционный WEB-сайт целесообразно осуществлять с использованием средств аутентификации электронных сообщений 7 (в том числе средств электронной цифровой подписи).
Эти два пункта противоречат предоставлению доступа клиентов к ресурсам банка через широковещательные каналы связи и устанавливает НЕОБЯЗАТЕЛЬНЫОСТЬ применения криптографической защиты.
3.9. Особое внимание с точки зрения обеспечения информационной безопасности целесообразно уделять организации межсетевого информационного взаимодействия WEB-сервера и банковской автоматизированной системы КО с обязательным применением межсетевых экранов (брандмауэров).
Примененпие брандмауэров еще не свидетельствует о защищенности сети. Я несколько раз сталкивался с тем, что в некоторых сетях использовались либо ненастроенные брандмауэры (прозразнычные, работающие в режиме роутера), либо с неизмененными заводскими установками администраторских паролей, которые известны всем.
Подвожу итоги: акцент в этом документе сделан на защите, основанной на "умолчании", в то же время установлен необязательный характер для тех методов, которые в данном случае должны иметь не только обязательный, но и еще регламентированный рахактер и постоянно контролируемый службой безопасности банка. Сети, созданные по такой идеологии, взламываются, обычно в течении 20-25 минут. Минут пять уйдет на сокрытие следов. Следовательно, стойкость таких сетей - не более получаса-часа с момента ее подключения к общедоступным каналам связи. А еще учитывая, что внутри все собрано на продукции MicroSoft, нельзя дать никаких гарантий, что эти сети уже не взломаны и в них не внедрены "подарки". Так же, учитывая наплевательское отношение банкиров и государства по отношению к клиентам и гражданам, когда глава ЦБ РФ за деньги своих вкладчиков "запускал" одноразовые (одномесячные) спутники, когда политика Правительства РФ привела к дефолту, когда...
В общем, Российским банкам, а через них и Правительству, я свои деньги не доверю. Дискредитированы по самое некуда эти "робяты".