ГОСТ Р ИСО ТО 13569 —2007
валюту, имя бенефициария и. возможно, номер счета бенефициария или IBAN-комлоненты сообщения,
используя процедуру обеспечения безопасности, определенную вдоговоре с клиентом или корреспонден
том. Там. где это осуществимо, следует использовать полную аутентификацию текста. Рекомендуется при
менение криптографической аутентификации.
11.2.3 Воспроизведение сообщений
Для предотвращения несанкционированного повторяю платежа, вызванногоповторным введением
сообщения, следует настоять на использовании и верификации уникальной идентификации сообщения.
Рекомендуется включать эту идентификацию влюбую проводимую аутентификацию.
11.2.4 Сохранение записей
В целях сохранения свидетельств, которые могут потребоваться для доказательства санкционирова
ния при совершении платежа, регистрируйте сообщения с запросом о переводе платежей независимо от
носителей, используемых для передачи сообщений. Следует сохранять материал, необходимый для под
тверждения аутентификации, включая вспомогательный криптографический материал.
11.2.5 Правовая основа платежей
Для гарантии осуществления платежей в соответствии с подписанным договором, следует создать
систему обеспечения наличия и корректности договоров, лежащих в основе запросов об электронном пе
реводе платежей.
11.3 Банковские чеки
11.3.1 Общие положения
Банковские чеки, также известные как «платежные приказы» и «средства сберегательногосчета кли
ента в банке», представляют собой письменные распоряжения, предписывающие финансовому учрежде
нию выплатить деньги. Новые методы обработки чеков должны усилить озабоченностьфинансовыхучреж
дений проблемами безопасности. Повышение престижа банковского чека и других средств
сокращения процедуры работы сбанковскими документами является примером методов, создающих
проблемы с безо пасностью. Национальными организациями многих стран были разработаны и
опубликованы национальные стандарты по различным аспектам операций обработки чеков’1.
11.3.2 Новые клиенты
Требование «знай своего клиента» создает особые проблемы, если услуги предоставляются через
открытую сеть. Как бы ни были заманчивы услуги с применением базовой веб-страницы или другого элек
тронного носителя, личное посещение офиса финансового учреждения остается необходимым условием
для открытия нового счета (за исключением действия всоответствии с юридически установленным мето
дом). пока не будетдоступен повсеместно признанный и имеющий исковую силуэлектронный метод пози
тивной личной идентификации. Следует соблюдать обычные процедуры оценки квалификации клиентов.
11.3.3 Вопросы целостности
Каждая финансовая операциядолжна бытьзащищена с целью гарантирования идентификации, аутен
тичности пользователя, аутентичности сообщения, конфиденциальности информации ограниченногодосту
па и неотказуемости операций.
Запросы на финансовую операцию должны быть снабжены цифровой подписью с использованием
ключа, санкционированногоорганом сертификации организации. При надлежащей реализацииданной меры
возможна гарантия, что пользователь идентифицирован, содержание сообщения не изменено и пользова
тель связан юридическими обязательствами в своих действиях.
Номера счетов, личные идентификационные номера или другие сведения, которые в случае их рас
крытия сделают возможным несанкционированное использование счета, должны быть защищены с помо
щью шифрования.
12 Дополнительная информация
12.1 Страхование
Планируя программу обеспечения информационной безопасности, работник службы информацион
ной безопасности и управляющий делами должны консультироваться со страховым отделом и. по воэмож-
’’ Подкомитетом В Х9 (США) были опубликованы стандарты по операциям обработки чеков, например
ANSI Х9 TG-2. Понимание и разработка чеков и ANSI X9TG-8 Принципы безопасности чеков. Для согласованно
го действия финансовых учреждений и улучшения качества обработки этим финансовым учреждения настоя
тельно рекомендуется следовать указаниям Технического руководства 2 (TG-2) Х9 и Технического руководства 8
(TG-8) Х9.
30