сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Электронная цифровая подпись (ЭЦП) - вид аналога собственноручной подписи, являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов (далее - ЭД). ЭЦП позволяет подтвердить ее принадлежность зарегистрированному владельцу. ЭЦП является неотъемлемой частью ЭД (пакета ЭД).
Также ЭЦП можно определить как реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
Владелец ЭЦП - УБР, ВЦ, кредитная организация (филиал) или другой клиент Банка России, ЭЦП которого зарегистрирована в порядке, установленном договором между Банком России и его клиентом.
Электронный платежный документ (ЭПД) - документ, являющийся основанием для совершения операций по счетам кредитных организаций (филиалов) и других клиентов Банка России, открытым в учреждениях Банка России, подписанный (защищенный) ЭЦП и имеющий равную юридическую силу с расчетными документами на бумажных носителях, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати.
Электронный служебно-информационный документ (ЭСИД) - документ, подписанный (защищенный) ЭЦП и обеспечивающий обмен информацией при совершении расчетов и проведении операций по счетам, открытым в учреждениях Банка России (запросы, отчеты, выписки из счетов, документы, связанные с предоставлением кредитов Банка России, и т.п.).
Пакет электронных документов - один или более ЭПД и / или ЭСИД, подписанных ЭЦП, при этом каждый ЭПД и / или ЭСИД в составе пакета не подписывается ЭЦП.
дистанционное банковское обслуживание россия
Подлинность ЭД (пакета ЭД) - положительный результат проверки ЭЦП зарегистрированного владельца, позволяющий установить факт неизменности содержания ЭД (пакета ЭД), включая все его реквизиты.
Центр сертификации или Удостоверяющий центр (англ. Certificationauthority, CA) - это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.
Центр сертификации - это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:
· серийный номер сертификата;
· объектный идентификатор алгоритма электронной подписи;
· имя удостоверяющего центра;
· срок годности;
· имя владельца сертификата (имя пользователя, которому принадлежит сертификат;
· открытые ключи владельца сертификата (ключей может быть несколько);
· объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
· электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).
Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Таким образом, корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом аккредитованный центр получает "техническое право" работы и наследует "доверие" от организации выполнившей аккредитацию.
Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией проводящей аккредитацию в своих интересах и в соответствии со своими правилами.
Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации выполняющей аккредитацию.
Центр сертификации ключей имеет право:
· предоставлять услуги по удостоверению сертификатов электронной цифровой подписи;
· обслуживать сертификаты открытых ключей;
· получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.
· Удостоверяющий Центр ФГУП НИИ "Восход"
· Удостоверяющий Центр ЗАО "ПФ "СКБ Контур"
· Удостоверяющий Центр ЗАО "Орбита" (Краснодар)
· Удостоверяющий Центр DIP
· ООО Межрегиональный Удостоверяющий Центр
· НП "Национальный Удостоверяющий центр"
· ЗАО "АНК"
· ООО ПНК
· ЗАО Удостоверяющий Центр Ekey.ru (Москва)
· ЗАО Удостоверяющий Центр (Санкт-Петербург)
· Удостоверяющий центр Информационно-аналитического центра Санкт-Петербурга (Санкт-Петербург)
За рубежом также существует масса таких учреждений, ниже перечислены самые популярные и имеющие рейтинг "4 stars" и более
· DigiCert,
· SwissSign,
· StartCom,
· Entrust,
· Trustwave.
В соответствии с письмом от 30.08.2006 №115-Т "Об исполнении ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая Интернет-банкинг)" Банк России обязал финансовые институты при оказании таких услуг идентифицировать не только владельца счета, но и других лиц, которые будут пользоваться этим счетом.
При этом ответственность банка по данным вопросам регламентирована крайне жестко. Нарушение требований закона может повлечь применение к Банку ответственности, предусмотренной ФЗ от 10.07.2002 года №86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (рекомендуемые меры воздействия предусмотрены Письмом Банка России от 13.07.2005 года №98-Т "О методических рекомендациях по применению Инструкции Банка России от 31.03.1997 № 59 "О применении к кредитным организациям мер воздействия при нарушениях кредитными организациями нормативных правовых актов в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").
В условиях кризиса обостряется битва за клиента в любой сфере бизнеса. И кредитно-финансовые организации здесь не исключение. Жесткая конкуренция приводит к необходимости улучшать обслуживание клиентов путём ввода новых видов услуг. Одним из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание, осуществляемое через сеть Интернет. Возможность полного управления своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало и будет привлекать клиентов.
Однако наряду с удобствами, которые получает клиент, осуществление ДБО через Интернет становится причиной возникновения угроз нового типа. С одной стороны это связано с тем, что существенно возрастает доля рисков (угроз), контролировать которые силами финансовой организации практически невозможно, с другой стороны не меньшую долю рисков (угроз) приносят вопросы организации ДБО.
Основными направлениями распределения рисков в области безопасности для систем ДБО являются:
вопросы организации эксплуатации систем ДБО;
клиенты, обслуживаемые через Интернет;
каналы связи, используемые для транзакций;
глобальная сеть Интернет.
Внедрение систем ДБО подразумевает вовлечение в процесс специалистов различных областей знаний финансовых специалистов, специалистов информатизации, информационной безопасности, юристов и др. Отсутствие четко организованного и регламентированного взаимодействия между различными подразделениями кредитной организации может привести к возникновению уязвимостей, которыми не преминут воспользоваться нарушители. Практика показывает, что реализация угроз с использованием имеющихся "слабых мест" в системах ДБО приводит к весьма существенным финансовым потерям и (или) ослаблению конкурентных преимуществ со стороны кредитной организации.