ЕБС. Справа внизу — сканер отпечатков пальцев
Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк» рапортовал о том, что обеспечил сбор биометрических данных в 20% своих отделений.
Хотя процесс сбора, обработки и передачи биометрических данных в ЕБС давно регламентирован, но Центробанк только 14 февраля 2019 года опубликовал методические рекомендации по защите этой информации.
ЦБ рекомендует банкам обеспечивать банкам защиту информации с помощью средств криптографической защиты информации, которые соответствуют Положению ПКЗ-2005, утверждённого приказом ФСБ. Это положение подробно регламентирует порядок разработки и производства СКЗИ (скредства криптографической защиты информации), к которым относятся:
- средства шифрования;
- средства имитозащиты;
- средства электронной цифровой подписи;
- средства кодирования;
- средства изготовления ключевых документов;
- ключевые документы.
Далее Центробанк описывает меры информационной безопасности в процессе сбора биометрических персональных данных и в процессе их передачи «Ростелекому» в ЕБС, а также требования обязательного информацирования об инцидентах.
В частности, для обеспечения информационной безопасности в процессе сбора информации рекомендуется использовать СКЗИ класса не ниже КВ, в том числе средства электронной подписи класса не ниже КВ2.
У банков могут работать любые решения — собственного производства, типовые решения или облачные. Для каждого из них прописаны рекомендации. Например, в случае использования собственного решения рекомендуется обеспечить:
- получение квалифицированного сертификата ключа проверки электронной подписи банка, созданного аккредитованным Минкомсвязью России удостоверяющим центром (ФГБУ НИИ «Восход») с применением средств удостоверяющего центра класса не ниже КВ2;
- встраивание программно-аппаратного модуля криптографической защиты (HSM), сертифицированного в качестве СКЗИ по классу не ниже КВ (средства электронной подписи по классу не ниже КВ2), в подсистему обработки биометрических персональных данных физлиц в соответствии с требованиями, изложенными в эксплуатационной документации на программно-аппаратный модуль криптографической защиты (HSM), собственными силами, при наличии соответствующей лицензии ФСБ России, либо силами сторонних организаций, имеющих соответствующую лицензию ФСБ России;
- создание и использование доверенной среды функционирования информационной системы, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), сертифицированным по классу не ниже КВ, в процессе подписания электронных сообщений, содержащих биометрические персональные данные физических лиц, УКЭП, реализуемых СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2).
В свою очередь, доверенная среда должна:
- работать на подходящей ОС (которая соответствует требованиям ФСБ по классу АК3) или требованиям Гостехкомиссии по 3-ему классу защищённости и 2-ому уровню контроля);
- применять средства межсетевого экранирования, сертифицированные ФСТЭК России на соответствие требованиям к устройствам типа межсетевой экран не менее чем 3-его класса защищённости, применением СЗИ от ВВК, предназначенных для применения на серверах информационных систем (тип «Б») и сертифицированных ФСТЭК России на соответствие требованиям к антивирусным средствам не менее чем 2-ого класса защищенности;
- применять средства защиты от компьютерных атак, сертифицированные ФСТЭК России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа «системы обнаружения вторжений» не менее чем 3-его класса защищённости;
- примененять в информационной системе, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), аппаратно-программных модулей доверенной загрузки уровня платы расширения, сертифицированных ФСТЭК России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ по 2-ому классу защиты;
- использовать прикладное ПО, прошедшее проверку на отсутствие недекларированных возможностей и соответствующее 4-ому уровню контроля отсутствия недекларированных возможностей или сертифицированного в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей или в отношении которого проведён анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4.
Доверенная среда может быть создана с использованием специализированного адаптера, обеспечивающего информационнотехнологическое взаимодействие объектов информационной инфраструктуры банка с программно-аппаратным модулем криптографической защиты (HSM) и соответствующего вышеприведённого описанию, разрешает Центробанк.
Вероятно, теперь граждане могут быть спокойны, что их биометрические данные в системе ЕБС надёжно защищены.