Из года в год подтверждается актуальность вопросов идентификации и аутентификации в финансовой сфере, особенно это заметно сейчас, когда идет повсеместный перевод в цифровую форму всех видов услуг и взаимодействия.
Об этом шла речь на сессии «Вопросы идентификации, аутентификации и применения электронной подписи сторонами банковского взаимодействия», которая состоялась 18 апреля в рамках конференции «Информационная безопасность банков». Ведущими сессии в этом году выступили эксперты профессионального сообщества – Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.» и Станислав Смышляев, заместитель генерального директора компании «КриптоПро».
Безопасность применения ЭП в кредитно-финансовой сфере
Владимир Иванов, директор по развитию компании «Актив», в своем докладе «Универсальность и безопасность применения электронной подписи в кредитно-финансовой сфере» затронул вопросы нормативной базы. Так, в Положении № 683-П Банка России есть моменты, которые связаны с защитой передаваемых сообщений, в частности, указывается, что электронные сообщения должны быть защищены, обеспечены их целостность, неизменность и авторство. Электронная подпись (ЭП) в данном случае должна применяться в соответствии с Федеральным законом «Об электронной подписи» (ФЗ-63), отметил эксперт.
В ФЗ-63 прописано три вида ЭП: простая, усиленная и квалифицированная. Целостность, неизменность и авторство одновременно может быть обеспечено минимум усиленной неквалифицированной ЭП и усиленной квалифицированной ЭП. «Поэтому я бы предложил простую электронную подпись из рассмотрения в контексте 683-П не упоминать», – подчеркнул Владимир Иванов.
Еще есть ряд нормативных документов, которые разрабатываются ФСТЭК. Эксперт привел информацию из проекта ГОСТА, касающегося доверия к аутентификации, где вводятся уровни доверия к аутентификации. Также там перечислены средства аутентификации: запоминаемый секрет (статический пароль), поисковый секрет (ранее сгенерированные коды), внеполосный аутентификатор (смс, пуш-уведомления), однофакторные генераторы одноразовых паролей.
Подробнее: https://ib-bank.ru/bisjournal/post/1793