Безопасность банковских сайтов: проблемы и решения

За последние 5 лет банки Беларуси стали одной из ведущих специализаций нашей компании. За это время мы реализовали ряд проектов – от корпоративных сайтов и кредитных онлайн-анкет до креативных фотосессий и промосайтов отдельных продуктов. Если добавить сюда опыт работы наших специалистов в банках Беларуси, у нас есть возможность обобщить накопленную экспертизу и поделиться ответами на самые актуальные вопросы. 

В этот раз в рамках экспертной статьи на страницах журнала «Банковский вестник» № 8/625 (август 2015) мы рассмотрели вопрос безопасности банковских сайтов.

Сегодня информационные технологии вывели на качественно новый уровень инструменты работы с клиентами, но при этом требуют все более сложных механизмов защиты. В современном мире под угрозой разного рода хакерских атак находятся любые сайты, программные комплексы и системы, в том числе банковские. Сайты – основной канал работы с аудиторией, тесно связанный с другими банковскими системами, и потому чаще всего подвергаются угрозе атаки или взлома. 

В статье рассмотрены возможные последствия атаки на банковский сайт и инструменты, повышающие уровень безопасности корпоративного ресурса. Механизмы и процессы мы условно разделили на три основные группы: функционирование сайта, процессы передачи данных и вопросы администрирования (в том числе – процедурное закрепление обязанностей и обучение персонала).

«Банковский вестник» - информационно-аналитический и научно-практический журнал Национального банка Республики Беларусь. Издается с апреля 1992 года.


Безопасность банковских сайтов: проблемы и решения

Иван Панасюк, коммерческий директор компании Новый сайт

Иван ПАНАСЮК
Коммерческий директор компании «Новый сайт»

В современном технологическом мире кибератакам подвергается подавляющее большинство компаний, утверждают аналитики. Под угрозой разного рода хакерских атак – буквально любые программные комплексы и системы, и далеко не всегда это просто сайты. Так, например, за последние несколько лет в разных странах злоумышленники атаковали:

  • государственные органы (от Турции и Швеции до Таиланда и Перу), в том числе общенациональные системы идентификации (в Южной Корее) и военные ведомства (например, штаб-квартира Министерства обороны США Пентагон);
  • СМИ (AFP, AP, The Washington Post, The Financial Times, BBC, CBS);
  • банки и платежные системы (JP Morgan, Citigroup, Европейский центральный банк, Приватбанк, Биткойн и другие);
  • интернет-магазины и торговые сети (eBay, Target, Home Depot);
  • медицинские учреждения (к примеру, Community Health Systems в США);
  • облачные ресурсы хранения информации (Dropbox, Apple iCloud);
  • телекоммуникационные компании (Orange, Bell Canada);
  • международные организации (МАГАТЭ, НАТО, Всемирный экономический форум);
  • социальные сети и блоги (Facebook, Twitter и так далее);
  • сервисы электронной почты (Yahoo, Gmail, Mail.ru и др.);
  • и даже игровые площадки (Play Station Network), сети ресторанов и пиццерий (например, международная сеть Domino Pizza).

С развитием технологий и появлением «интернета вещей» атаке может подвергаться буквально любое устройство, подключенное к той или иной сети. Так, например, эксперты более чем серьезно говорят о том, что одной из реальных угроз ближайшего будущего может стать взлом корпоративных систем через подключение к… принтеру.

Среди самых распространенных методов атак эксперты выделяют вредоносные программы, спам с программами, которые крадут информацию пользователя, а также DDoS-атаки, которые постоянно увеличивают свой масштаб.

Так, в Беларуси за последние 5 лет самым серьезным DDoS-атакам подвергались крупнейшие онлайн-СМИ, сайты госорганов, туристические сайты, а также сервера провайдеров интернет-услуг, из-за чего затруднялся доступ пользователей к различным сайтам и сервисам.

Движут хакерами самые разные цели:

  • больше половины случаев атак осуществляются ради забавы и «пробы своих сил»;
  • примерно в одном случае из пяти главной целью является личное обогащение различными способами (в том числе – через вымогательство за возврат украденных данных);
  • значительная часть атак совершается по политическим мотивам.

Анализируя деятельность хакеров, специалисты выделяют не только способы взлома, но и риски внутри компании, которые способствуют успешности атаки: на первом месте – уязвимости в используемом программном обеспечении и незнание сотрудниками правил IT-безопасности, приводящее к случайным утечкам данных.

Какими бы современными ни были системы защиты и мониторинга, составить полную картину хакерских атак и их последствий почти невозможно: далеко не всегда атакованные компании или ресурсы готовы публично заявлять о затруднениях. Поэтому реальные размеры проблемы гораздо масштабнее известных случаев.

Сегодня интенсивное развитие ряда отраслей диктует свои условия банкам. Современные технологии позволяют выводить на новый уровень инструменты работы с клиентами (интернет-банки, мобильные банки, бесконтактные платежи и так далее), одновременно требуя все более сложных и совершенных механизмов безопасности (аутентификация с помощью отпечатков пальцев, новые алгоритмы шифрования данных и др.). Среди других систем корпоративный веб-сайт банка – буквально самый универсальный канал работы с широкой аудиторией и важный инструмент продаж. Поэтому его бесперебойное функционирование и безопасность сегодня – один из актуальнейших вопросов для банков. Почему-то сотрудники банков порой об этом забывают, уделяя максимум внимания безопасности непосредственно платежных инструментов (карточки, мобильные и интернет-банки), но теряя из виду самый доступный для атаки канал.


Чем банку грозит атака на его корпоративный сайт?

Прежде чем рассматривать способы защиты банковских веб-сайтов, хотелось бы рассмотреть какие именно угрозы банкам и их клиентам могут нест и злоумышленники, атакующие корпоративные сайты.

  1. Имиджевая проблема: первая из серьезнейших проблем. Независимо от того, что произошло с сайтом (он не открывался из-за атаки, были получены персональные данные клиентов, размещена посторонняя информация и так далее) – самый серьезный урон будет нанесен именно репутации банка. Поскольку интернет-пользователи воспринимают коммерческие организации как единое целое вместе с их сайтами и мобильными приложениями, то одна онлайн-ошибка может привести к заметной потере доверия ко всей структуре сразу. «Если банк не смог защитить даже собственный сайт – сможет ли он защитить мои деньги и информацию?» – это ключевой вопрос, который наглядно иллюстрирует эту проблему.
  2. Отказ в работе систем. Атака на ресурсы банка может привести к повышенной нагрузке и в результате отказу систем, когда пользователи не могут воспользоваться ни сайтом банка, ни другими сервисами. В особых случаях это может коснуться даже работы сети банкоматов.
  3. Кража информации о клиентах – эта проблема актуальна не только для банков, но и для любых организаций, имеющих доступ к персональным данным. С ростом популярности электронных сервисов растет объем информации, которую клиенты оставляют в интернет-магазинах, платежных онлайн-системах, на крупных порталах. Однако так же быстро растет и желание злоумышленников получать доступ к этой информации. И зачастую именно сайты становятся самым легким объектом для атаки.
  4. Доступ посторонних лиц к внутренним банковским системам – самая опасная угроза, которую можно представить. Если сайт не защищен должным образом, хорошо подготовленные злоумышленники могут использовать его как «входную дверь» на пути к закрытым процессам. Последствия могут быть очень серьезными – в зависимости от того, к какой именно системе функционирования банка смог подключиться посторонний человек.

Хотелось бы обратить внимание на те инструменты и, как ни странно, принципы работы с банковским сайтом, комплексное использование которых позволяет максимально защитить корпоративный сайт, а значит, – и сам банк.

Предупрежден – значит, вооружен. Именно эта народная мудрость максимально точно описывает принципы безопасности банковских сайтов. Банкам гораздо выгоднее максимально защитить свой сайт до того, как обнаружатся атаки злоумышленников, чем исправлять неприятную ситуацию уже после. Ведь в случае атаки реальные потери могут оказаться существенными и даже невосполнимыми. Именно поэтому один из ключевых принципов защиты банковских сайтов: не реагировать на последствия атаки, а максимально предупредить ее и исключить такую возможность вообще. Идеальный вариант – когда большинство из существующих механизмов защиты продумываются и подключаются еще на этапе проектирования сайта банка, так как внедрение ряда инструментов на уже работающем сайте часто затруднено технически.


Инструменты, повышающие безопасность банковского сайта

Механизмы и процессы, необходимые для обеспечения безопасности банковских сайтов, можно условно разделить на три группы (условно – так как некоторые из инструментов выполняют сразу несколько функций):

  • функционирование самого сайта (инфраструктура);
  • процессы передачи информации с сайта/на сайт;
  • администрирование (управление) сайтом.

К сожалению, злоумышленники постоянно разрабатывают новые способы атаки, поэтому необходимо комплексно подходить к вопросу безопасности банковского сайта и подключать все имеющиеся механизмы.


Функционирование сайта

Это самая большая и объемная группа инструментов. Встроенные непосредственно в сам сайт механизмы защиты сегодня развиваются очень активно и широко используются различными компаниями и сервисами.


1. Сервера, на которых расположен сайт банка.

Необходимо, чтобы защита сайта начиналась уже на уровне серверов, поскольку  это самый надежный и действенный инструмент, однако часто он используется не в полной мере или не используется вовсе. Сегодня это может быть защищенный и получивший соответствующее подтверждение хостинг у провайдеров услуг либо собственные сервера банка (которые по умолчанию должны быть хорошо защищены). Оба варианта имеют свои достоинства и недостатки:

  • сторонний хостинг сопровождается профессиональной техподдержкой, круглосуточной работой профессионалов и рядом дополнительных инструментов (например, запасные сервера, собственные системы защиты и мониторинга и так далее). Такое размещение сегодня – одно из самых популярных, так как хостинг-провайдеры заинтересованы в высоком уровне предоставляемых услуг. Однако это вносит некоторые ограничения во владение всеми сопутствующими процессами со стороны банка;
  • собственные сервера банка обеспечивают полный контроль над сайтом и его работой, однако требуют «тонкой» настройки, соответствующих специалистов в штате и усиленной защиты самого сайта, так как его взлом может открыть злоумышленникам доступ к внутренним банковским системам.

Важно также настроить автоматическое резервирование сайта и его данных для быстрого восстановления ресурса в случае успешной атаки злоумышленников.


2. Система управления сайтом (CMS – Content Management System).

В случае с банковскими сайтами требования к этой системе должны быть самые высокие. Сегодня обязательными условиями являются:

  • защищенность. Сама система должна быть хорошо защищена изначально: это подтверждается соответствующими сертификатами и свидетельствами, а также специальными тестами;
  • постоянные обновления системы ее разработчиком. Как мы уже подчеркнули, злоумышленники не отстают от развития технологий и тоже совершенствуют свои инструменты. А это означает, что система, которой управляется сайт банка, должна быть обеспечена со стороны компании-разработчика постоянной поддержкой и улучшениями (конечно, в первую очередь речь идет о системах защиты). Если выбранная CMS не улучшалась хотя бы в течение полугода – ее уже нельзя считать хорошим выбором для банковского сайта, хотя она может хорошо подойти для сайта-визитки или личной страницы;
  • гарантия. Одно из обязательных условий при выборе системы управления сайтом. Гарантия позволяет в случае обнаружения технических недостатков обратиться к компании-разработчику за исправлениями CMS;
  • техподдержка. Сегодня это важная составляющая большинства IT-инструментов. Возможны случаи, когда с возникшей проблемой может справиться только поставщик услуги либо координированные действия всех участников – разработчиков сайта и системы управления, администратора веб-ресурса и хостинг-провайдера;
  • сертификаты соответствия. Мы уже упоминали их в связи с защищенностью, однако им следует уделять особое внимание: существует большое количество документов, подтверждающих соответствие системы различным требованиям, и защита – только одно из них.

В настоящее время Оперативно-аналитическим центром при Президенте Республики Беларусь зарегистрированы декларации о соответствии требованиям технического регламента следующих систем управления сайтами:

  • система управления сайтом «BCMS 2.0» производства республиканского унитарного предприятия «Белорусское телеграфное агентство»;
  • программный продукт «1С-Битрикс: Управление сайтом» версии 14.5.3 производства ООО «Битрикс».

В качестве примера можно привести не так давно произошедший случай с одним из крупнейших банков России. В какой-то момент (на ранней стадии) была зафиксирована атака по онлайн-ресурсам и системам банка – в первую очередь по корпоративному сайту и интернет-банку. В случае длительного воздействия или усиления атаки угрозе из-за перегрузки систем могли подвергнуться все каналы банка, включая банкоматы и внутренние коммуникации. Раннее распознавание и скоординированная работа всех участников процесса (хостинг-провайдер, разработчик сайта, техподдержка CMS и сотрудники банка) позволили сначала локализовать угрозу, а после и полностью «отбить» атаку.


3. Компетенция компании-разработчика.

Мы уже рассмотрели систему управления сайтом и ее защищенность, однако нельзя забывать о том, что существующая безопасность может быть нарушена уже при разработке сайта. Подрядчика необходимо выбирать среди тех компаний, которые имеют сертификаты от разработчика CMS (как правило, это публичная информация и доступна на официальном сайте системы), а также опыт разработки подобных сайтов. Несмотря на то что мы отнесли этот пункт в раздел технических аспектов работы сайта, это к тому же еще и организационный вопрос: крайне важно, чтобы механизмы безопасности при разработке сайта, NDA и прочие сопутствующие требования были четко прописаны в документах с подрядчиком, который это гарантирует.


4. Проактивная защита.

На любом этапе работы с сайтом банка необходимо действовать по принципу «проактивная защита»: заблаговременный просчет возможных угроз и разработка механизмов по их предотвращению. Например, если у банка на сайте до сих пор присутствовала только презентационная информация об услугах, то при разработке и подключении анкеты на оформление карточки или кредита необходимо позаботиться о безопасности всех этапов этого процесса: шифрование данных, сертификаты  безопасности, надежный хостинг и так далее.


5. Мониторинг состояния сайта и активности вокруг него.

В ряде случаев атаку злоумышленников можно предотвратить, зафиксировав подозрительную активность вокруг сайта и ограничив ее. Подобные инструменты могут быть подключены на различных уровнях (например, со стороны хостинг-провайдера) либо уже предусмотрены в выбранной системе управления сайтом.

Среди самых распространенных типов атак можно выделить, к примеру, следующие:

  • XSS (англ. Cross Site Scripting – «межсайтовый скриптинг») – тип атаки на веб-системы, заключающийся во внедрении в выдаваемую страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Одним из основных средств защиты является регулярный анализ безопасности кода и тестирование на проникновение. Межсайтовый скриптинг может быть использован и для проведения DoS-атаки.
  • Внедрение SQL-кода (англ. SQL injection) – один из распространенных способов взлома сайтов, основанный на внедрении в запрос произвольного SQL-кода. Атака типа внедрения SQL может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах.
  • PHP Including подразумевает внедрение произвольного php-кода в страницы сайта.

В уже упомянутой системе управления сайтами «1С-Битрикс» встроенный модуль защиты позволяет не только фиксировать большинство типов атак в журналах действий с указанием элементов внедряемого кода и данных о подозрительном пользователе, но и блокировать их автоматически. Например, май текущего года запомнился рядом атак на сайты сразу нескольких банков в Беларуси. В одном из случаев защита сработала на уровне системы управления сайтом: атака с попыткой изменения всей базы данных была автоматически распознана как подозрительная, система сразу же заблокировала адреса, с которых работали злоумышленники, параллельно подключился и встроенный антивирус. Так как угроза появилась во время выходных, сотрудники на следующий рабочий день просто получили отчет об успешном решении проблемы.


6. Файрвол (межсетевой экран). 

Еще одним инструментом защиты является файрвол, которым должна быть оборудована система управления сайтом. Он должен в постоянном режиме блокировать подозрительные внешние действия.


7. Передача данных. 

Этот пункт целесообразно вынести отдельно от всех остальных инструментов, так как именно он зачастую остается без требуемого внимания, будучи при этом одним из важнейших инструментов работы современных сайтов банков.

Прошли те времена, когда сайт банка был просто информационной страницей – сегодня практически все банки расширяют возможности своего присутствия в интернете. И одним из способов использования сайта является создание дополнительных инструментов продаж банковских услуг и продуктов. В силу особенностей этих услуг клиентам, как правило, приходится передавать свои персональные данные в банк через специальные формы. И именно защита передаваемой информации – одна из самых актуальных задач для банков.

К сожалению, до сих пор самым распространенным способом передачи данных с сайта в банк является электронная почта, когда при заполнении форм информация отправляется в виде писем на банковские адреса. Однако по уровню безопасности этот способ можно отнести к самым ненадежным.

В истории сайтов белорусских банков есть примеры успешного (с точки зрения хакеров) взлома и доступа к данным. Так, несколько лет назад с помощью специального скрипта злоумышленники обнаружили на сервере папку, в которой в незашифрованном виде хранились кредитные анкеты, оформленные через форму на сайте банка. Эти данные были сохранены злоумышленниками и опубликованы на сторонних ресурсах.


Как же защищать передаваемую информацию?

Крайне важно настроить защиту на каждом этапе этого процесса:

  • сертификаты безопасности на самих страницах, где клиенты заполняют форму;
  • шифрование передаваемых в банк данных;
  • хранение полученной и расшифрованной информации на защищенных серверах внутри банка;
  • отсутствие возможности передачи этих данных «наружу», в интернет.

Рассмотрим подробнее два первых этапа, касающиеся работы сайтов:

1. Сертификаты безопасности (SSL – secure sockets layer). SSL-сертификат на сайте гарантирует пользователям, что передаваемая в банк информация не сможет быть просмотрена, перехвачена либо изменена злоумышленниками. Это один из инструментов, которые необходимо подключать к хостингу и сайту дополнительно – такие сертификаты не являются параметром по умолчанию.

На один домен устанавливается один SSL-сертификат, который действует на всех страницах ресурса. В зависимости от метода проверки получение сертификата может занять от нескольких минут до полутора недель: для самого простого из них проверяется только соответствие домена, а для выдачи самого надежного тщательно изучается и сама организация, запросившая SSL. Отличия касаются и основных технических параметров, таких как уровень шифрования, совместимость с мобильными устройствами, зеленая адресная строка, печать подтверждения сертификата и так далее. Соответственно различаются сертификаты и стоимостью. Ведущие хостинг-провайдеры предоставляют возможность приобрести SSL-сертификат непосредственно у них.

Как правило, для защиты обычного корпоративного сайта (а не интернет-банка или онлайн-сервиса) достаточно простого сертификата с 256-битным ключом шифрования.

2. Особая защита точек интеграции с другими системами. Хотя частично об этом речь уже шла, мы считаем необходимым обратить особое внимание банков и их специалистов именно на этот пункт. Корпоративный сайт – это часть системы сайтов, сервисов, технологий внутри глобальной сети, а не абсолютно автономный и независимый элемент. Развитие технологий обеспечивает широчайшие возможности для интеграции дополнительных сервисов и услуг, однако одновременно по этой же причине могут возникать и новые риски для компаний и банков. На современном сайте такие интеграции обеспечиваются в автоматическом режиме и их может быть бесконечное количество: передача данных о банкоматах и их статусах из банка, пересылка информации о клиенте в банк, данные о расположении отделений с помощью онлайн-карт и геосервисов, передача курсов валют на сторонние сайты и так далее. Чем интенсивнее развитие технологий, тем больше таких интеграций, без которых пользователи порой просто не представляют качественный сайт. И защита используемых каналов и точек интеграции – один из обязательных пунктов системы защиты сайта.

Примерно в те же майские дни, о которых шла речь в предыдущем примере, возникла угроза работоспособности сайта другого белорусского банка. Однако в данном случае основной целью злоумышленников стали все онлайн-формы сайта для передачи информации от клиентов в банк: анкеты, формы обратной связи, вопросы посетителей и так далее. Схема защиты сработала аналогично: атака была сразу распознана и заблокирована на уровне CMS.


Администрирование сайта

Какими бы совершенными ни были инструменты по работе и защите сайтов – всегда остается человеческий фактор, причем не всегда нарушения могут быть осознанными. Поэтому мы выделили ряд инструментов, которые касаются непосредственно управления уже разработанного и запущенного банковского сайта с учетом критичности потенциальных проблем.


1. Разделение ролей и ограничение доступа.

Если банк остановил свой выбор на качественной CMS (ключевые требования к ней мы перечислили выше), в ней наверняка уже будет предусмотрена функция разделения возможностей для участников процесса. Например, полные права (администратор) на работу с сайтом должны быть у одного-двух человек в банке. Эти администраторы могут по мере необходимости открывать частичный доступ для других сотрудников, отвечающих за конкретные участки работы: например, департамент управления персоналом может публиковать вакансии, а отдел по работе с банкоматами – обновлять списки устройств, не имея при этом доступ к другим разделам сайта. Это позволяет исключить – сознательные или нет – вмешательства в работу сайта на различных уровнях.


2. Четкие процедуры.

Сайты банков, как правило, – большие и сложные системы, сочетающие самые разные модули и функциональность. Именно поэтому в банках как, наверное, нигде больше, важно одновременно с разработкой нового или улучшения старого сайта прописывать и фиксировать процедуры документально. Подобная работа позволяет решать сразу несколько задач:

  • быстрая и эффективная преемственность в случае отпуска либо увольнения администратора сайта;
  • эффективность аудита – внутреннего либо внешнего – всех систем банка;
  • надежность последующих доработок сайта либо внутренних инструментов банка даже спустя какое-то время;
  • обеспечение непрерывности процессов защиты банковских систем.

В процедурах можно описывать (в зависимости от особенностей внутренних систем банка):

  • принципы предоставления доступов к системе управления сайтом;
  • процессы, обеспечивающие передачу и сохранность персональных данных клиентов;
  • последовательность действий в различных случаях (от публикации материалов о банке до обнаружения подозрительной активности вокруг сайта и так далее) с указанием зон ответственности подразделений банка и сторонних подрядчиков в зависимости от компетенций.

Благодаря такой системной работе сразу становится понятно, и какие именно обязанности следует прописывать при подготовке договоров со сторонними компаниями.


3. Физические ограничения доступа к системе управления сайтом.

Речь в данном случае о том, что на уровне CMS и хостинга можно прямо указывать IP-адреса, с которых возможен доступ к управлению сайтом. Такой способ сильно ограничивает возможности удаленного (то есть вне основного рабочего места администраторов и разработчиков) доступа к системе, однако позволяет фактически исключить определенные виды атак на сайт и его содержание. Кстати, в государственных органах Беларуси такое ограничение по IP-адресу сегодня является обязательным требованием безопасности сайтов.

Так, например, однажды с помощью троянской программы злоумышленники смогли похитить пароли администратора к сайту одного из банков и разместили на главной странице ресурса непристойную информацию. Это стало возможно из-за двух факторов: человеческого (запуск вредоносной программы на рабочем компьютере) и технического (не был ограничен доступ к системе управления сайтом по IP-адресу и злоумышленники смогли войти в систему со своего компьютера).


4. Современные браузеры для администраторов сайтов.

К сожалению, одним из «слабых звеньев» в системе безопасности сайта и банка могут стать браузеры, с помощью которых сотрудники банка получают доступ к CMS. Устаревшие браузеры, которые уже не получают обновлений от компаний-разработчиков, не защищены от новых инструментов злоумышленников, а значит, – являются угрозой всей системе безопасности, даже если сервера у банка надежные, а CMS самая современная. Поэтому банку важно обеспечивать на компьютерах администраторов наличие таких браузеров, которые обеспечивают актуальную защиту пользователям.

Сегодня самый распространенный браузер на банковских компьютерах в Беларуси – Internet Explorer 6/7. Как говорится, «так сложилось исторически», а обновление и перенастройка систем и ПО в банках – масштабное мероприятие, на которое редко соглашаются IT-службы. Хотя даже сама компания Microsoft уже отказалась от поддержки старых версий браузера и не разрабатывает обновления, в том числе – в части безопасности.


5. Безопасность компьютеров администраторов и соответствующее обучение.

Предыдущее требование распространяется и на сопутствующее программное обеспечение на компьютерах администраторов: это, к примеру, противовирусная защита, файрвол и так далее. Однако здесь также важно вернуться к упомянутому человеческому фактору и обратить внимание на дополнительное обучение сотрудников, имеющих доступ к системе управления сайтом. К сожалению, ряд способов взлома информационных систем рассчитан именно на оплошности или незнание человека, какой бы совершенной ни была защита технологическая.


Стандарты и законодательство

В настоящее время не существует стандартов, которые бы фиксировали требования именно для банковских сайтов, хотя потенциальный урон от взлома этих ресурсов можно оценить как очень высокий, в первую очередь, с точки зрения клиентов банков.

Однако в разработке сайтов банков можно ориентироваться на следующие документы и стандарты, существующие в Беларуси и мире и рассматривающие близкие по значимости и функциональности системы:

  • Технический кодекс установившейся практики ТКП 483-2013 (01019) «Информационные технологии и безопасность. Безопасная эксплуатация и надежное функционирование критически важных объектов информатизации. Общие требования» (утвержден и введен в действие приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 17.07.2013 № 47);
  • Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;
  • международные стандарты, спецификации и рекомендации «Консорциума Всемирной Сети Интернет» W3C;
  • Государственный стандарт Республики Беларусь СТБ 2105-2012 «Интернет-сайты государственных органов и организаций». Утвержден и введен в действие постановлением Госстандарта Республики Беларусь от 13 декабря 2012 г. № 79;
  • Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (утверждено приказом Оперативно-аналитического центра при Президенте Республики Беларусь 30.08.2013 № 62 в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 16.01.2015 № 3);
  • государственные стандарты СТБ 34.101.1-2004, СТБ 34.101.2-2004, СТБ 34.101.3-2004, которыми необходимо руководствоваться при создании системы защиты информации. Дополнительно рекомендовано использовать положения международных стандартов в области защиты информации;
  • Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Именно этим техническим регламентом закреплены требования к CMS, соответствие которым сегодня задокументировано только у двух упомянутых систем управления сайтами.


Интенсивное развитие технологий диктует свои правила для современных компаний, и банки в данном случае – не исключение. Новые возможности, о которых еще 10 лет назад мало кто мечтал, создают одновременно соответствующие угрозы и риски. Помимо новых инструментов появляются и дополнительные возможности интеграции различных систем между собой, а значит, – возрастает необходимость качественной защиты каждого из элементов банковской инфраструктуры.

В связи с этим на современном этапе особенно важен комплексный подход, который подразумевает одновременное сочетание ряда принципов:

  • высокое качество технологических инструментов обеспечения защиты информации;
  • налаженные процессы работы с информацией;
  • использование административных инструментов (договора, процедуры и прочее документирование процессов);
  • тщательный выбор поставщиков (разработчиков сайтов, хостинг-провайдеров и так далее): выбор на основе ценового критерия может вместо небольшой экономии обернуться существенными потерями в будущем;
  • проактивность, состоящая в предупреждении нарушений, а не в решении проблем уже по факту их появления.

Данные принципы, впрочем, актуальны как для корпоративных сайтов банков, так и для других онлайн-инструментов банковской системы: интернет-банков, мобильных банков и новых систем, которые только появляются на этом рынке и тесно интегрируются друг с другом.