Центробанк опубликовал рекомендации по криптографической защите ЕБС


    ЕБС. Справа внизу — сканер отпечатков пальцев

    Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк» рапортовал о том, что обеспечил сбор биометрических данных в 20% своих отделений.

    Хотя процесс сбора, обработки и передачи биометрических данных в ЕБС давно регламентирован, но Центробанк только 14 февраля 2019 года опубликовал методические рекомендации по защите этой информации.

    ЦБ рекомендует банкам обеспечивать банкам защиту информации с помощью средств криптографической защиты информации, которые соответствуют Положению ПКЗ-2005, утверждённого приказом ФСБ. Это положение подробно регламентирует порядок разработки и производства СКЗИ (скредства криптографической защиты информации), к которым относятся:

    • средства шифрования;
    • средства имитозащиты;
    • средства электронной цифровой подписи;
    • средства кодирования;
    • средства изготовления ключевых документов;
    • ключевые документы.

    Далее Центробанк описывает меры информационной безопасности в процессе сбора биометрических персональных данных и в процессе их передачи «Ростелекому» в ЕБС, а также требования обязательного информацирования об инцидентах.

    В частности, для обеспечения информационной безопасности в процессе сбора информации рекомендуется использовать СКЗИ класса не ниже КВ, в том числе средства электронной подписи класса не ниже КВ2.

    У банков могут работать любые решения — собственного производства, типовые решения или облачные. Для каждого из них прописаны рекомендации. Например, в случае использования собственного решения рекомендуется обеспечить:

    • получение квалифицированного сертификата ключа проверки электронной подписи банка, созданного аккредитованным Минкомсвязью России удостоверяющим центром (ФГБУ НИИ «Восход») с применением средств удостоверяющего центра класса не ниже КВ2;
    • встраивание программно-аппаратного модуля криптографической защиты (HSM), сертифицированного в качестве СКЗИ по классу не ниже КВ (средства электронной подписи по классу не ниже КВ2), в подсистему обработки биометрических персональных данных физлиц в соответствии с требованиями, изложенными в эксплуатационной документации на программно-аппаратный модуль криптографической защиты (HSM), собственными силами, при наличии соответствующей лицензии ФСБ России, либо силами сторонних организаций, имеющих соответствующую лицензию ФСБ России;
    • создание и использование доверенной среды функционирования информационной системы, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), сертифицированным по классу не ниже КВ, в процессе подписания электронных сообщений, содержащих биометрические персональные данные физических лиц, УКЭП, реализуемых СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2).

    В свою очередь, доверенная среда должна:

    • работать на подходящей ОС (которая соответствует требованиям ФСБ по классу АК3) или требованиям Гостехкомиссии по 3-ему классу защищённости и 2-ому уровню контроля);
    • применять средства межсетевого экранирования, сертифицированные ФСТЭК России на соответствие требованиям к устройствам типа межсетевой экран не менее чем 3-его класса защищённости, применением СЗИ от ВВК, предназначенных для применения на серверах информационных систем (тип «Б») и сертифицированных ФСТЭК России на соответствие требованиям к антивирусным средствам не менее чем 2-ого класса защищенности;
    • применять средства защиты от компьютерных атак, сертифицированные ФСТЭК России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа «системы обнаружения вторжений» не менее чем 3-его класса защищённости;
    • примененять в информационной системе, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), аппаратно-программных модулей доверенной загрузки уровня платы расширения, сертифицированных ФСТЭК России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ по 2-ому классу защиты;
    • использовать прикладное ПО, прошедшее проверку на отсутствие недекларированных возможностей и соответствующее 4-ому уровню контроля отсутствия недекларированных возможностей или сертифицированного в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей или в отношении которого проведён анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4.

    Доверенная среда может быть создана с использованием специализированного адаптера, обеспечивающего информационнотехнологическое взаимодействие объектов информационной инфраструктуры банка с программно-аппаратным модулем криптографической защиты (HSM) и соответствующего вышеприведённого описанию, разрешает Центробанк.

    Вероятно, теперь граждане могут быть спокойны, что их биометрические данные в системе ЕБС надёжно защищены.
    Поддержать автора
    Поделиться публикацией

    Комментарии 12

      0
      Насчет последнего абзаца рекомендую ознакомиться
      Меры предосторжности
      image
        +2
        Пугает то, что выбора-о у клиента не остаётся.
        Ходила шутка, что раньше силой выбивали пароль от карты у человека, потом для идентификации по отпечатку пальца, его у жертвы отрезать. А теперь походу будут отрезать голову.
        Сколько уже было статей на тему, что любую охраняемую законом информацию о гражданине в принципе реально получить за некоторое вознаграждение. При этом средства защиты потихоньку деградирую под предлогом удобства пользования и заботы обо мне.
        Вот личный пример:
        1. Сбер перевыпустил мне карту наградив её бесконтактным интерфейсом, чего я в общем-то не хотел. Фабула моего обращения с ним: не нравиться – иди на…
        2. Потом Сбер отменил необходимость подтверждение некоторых переводов в интернет банке СМС паролем мотивировав это заботой обо мне. Фабула моего обращения к ним та же: не нравиться – иди на…
        И вот теперь идентификация по морде лица. Чёт очкую я.
          0
          Другой большой и синий банк установил в своём приложении вместо двух факторной авторизации, принудительный вход по пинкоду. То есть вместо sms и 18-ти значного пароля я должен вбивать 4-е цифры, и самое смешное отказаться нельзя, просто блокируют доступ. Писал в поддержку, сказали: «что всё надёжно и удобно».

          Думаю данные системы нужны для банков, для отпугивания мелких мошенников, для которых такая защита станет существенным препятствием.
            +1
            мошенников? нет! Банкам глубоко плевать на моженников.
            В первую очередь нужно понимать один очень важный и тонкий момент: вся «защита» у банков, подтверждения, пинкоды и прочие 3Д-секюрити придуманы в первую очередь как механизмы перекладывания ответственности за транзакцию, между банком эмитентом, процссингом, тем кто принял платеж, держателем карты и т.д.

            И только потом, после всех этих свистоплясок идет безопасность.
              0
              Ну а что такого, у них значит ueba есть
            +1
            Таким образом, граждане могут быть спокойны, что их биометрические данные в системе ЕБС надёжно защищены.

            На фоне того, что «пробить по банкам» любого человека можно в течении получаса и совсем за небольшие деньги, данное утверждение вызывает нервный смех.
              +1
              Надёжно защищены славящимися по всему миру своей стойкостью отечественными шифрами, сертифицированными лично ФСБ.
                0
                Операторы не имеет доступ до самих биометрических данных после отправки, мне кажется все логично. Там только админы серверов по модели угроз должны быть теми кто могут пробивать.
                0
                К банкомату за зарплатой
                Я без маски не хожу:
                То от гриппа я спасаюсь,
                То косплей им покажу.
                0
                Вроде биометрия не самый лучший вариант — сложно изменить секрет в случае компрометации.
                  0
                  А эту ЕБС уже научили:
                  — делать первоначальную идентификацию клиента быстрее чем минут так за 10 сидения перед компьютером (даже не на месте для клиент а операционист (после нескольких неуспешных попыток) прямо садит на свое (она не за стойкой) и начинаются попытки сделать чтобы программа таки приняла лицо). Операционист сказала что до меня — вообще сделать чтобы система приняла у них получилось целый один раз.
                  — давать сообщения об ошибках — сразу а не потом. Потому что после предыдущего пункта в итоге (когда я уже не в офисе банка) пришло сообщение что данные не приняты системой и видимо надо повторять первый пункт.

                  p.s.
                  В Почта-банке было дело

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое