ЕБС. Справа внизу — сканер отпечатков пальцев

Российские банки полным ходом подключаются к Единой биометрической системе (ЕБС) и начинают сбор биометрических данных своих клиентов. Информация хранится в единой централизованной БД, которой управляет «Ростелеком». Например, недавно «Сбербанк» рапортовал о том, что обеспечил сбор биометрических данных в 20% своих отделений.

Хотя процесс сбора, обработки и передачи биометрических данных в ЕБС давно регламентирован, но Центробанк только 14 февраля 2019 года опубликовал методические рекомендации по защите этой информации.

ЦБ рекомендует банкам обеспечивать банкам защиту информации с помощью средств криптографической защиты информации, которые соответствуют Положению ПКЗ-2005, утверждённого приказом ФСБ. Это положение подробно регламентирует порядок разработки и производства СКЗИ (скредства криптографической защиты информации), к которым относятся:

  • средства шифрования;
  • средства имитозащиты;
  • средства электронной цифровой подписи;
  • средства кодирования;
  • средства изготовления ключевых документов;
  • ключевые документы.

Далее Центробанк описывает меры информационной безопасности в процессе сбора биометрических персональных данных и в процессе их передачи «Ростелекому» в ЕБС, а также требования обязательного информацирования об инцидентах.

В частности, для обеспечения информационной безопасности в процессе сбора информации рекомендуется использовать СКЗИ класса не ниже КВ, в том числе средства электронной подписи класса не ниже КВ2.

У банков могут работать любые решения — собственного производства, типовые решения или облачные. Для каждого из них прописаны рекомендации. Например, в случае использования собственного решения рекомендуется обеспечить:

  • получение квалифицированного сертификата ключа проверки электронной подписи банка, созданного аккредитованным Минкомсвязью России удостоверяющим центром (ФГБУ НИИ «Восход») с применением средств удостоверяющего центра класса не ниже КВ2;
  • встраивание программно-аппаратного модуля криптографической защиты (HSM), сертифицированного в качестве СКЗИ по классу не ниже КВ (средства электронной подписи по классу не ниже КВ2), в подсистему обработки биометрических персональных данных физлиц в соответствии с требованиями, изложенными в эксплуатационной документации на программно-аппаратный модуль криптографической защиты (HSM), собственными силами, при наличии соответствующей лицензии ФСБ России, либо силами сторонних организаций, имеющих соответствующую лицензию ФСБ России;
  • создание и использование доверенной среды функционирования информационной системы, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), сертифицированным по классу не ниже КВ, в процессе подписания электронных сообщений, содержащих биометрические персональные данные физических лиц, УКЭП, реализуемых СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2).

В свою очередь, доверенная среда должна:

  • работать на подходящей ОС (которая соответствует требованиям ФСБ по классу АК3) или требованиям Гостехкомиссии по 3-ему классу защищённости и 2-ому уровню контроля);
  • применять средства межсетевого экранирования, сертифицированные ФСТЭК России на соответствие требованиям к устройствам типа межсетевой экран не менее чем 3-его класса защищённости, применением СЗИ от ВВК, предназначенных для применения на серверах информационных систем (тип «Б») и сертифицированных ФСТЭК России на соответствие требованиям к антивирусным средствам не менее чем 2-ого класса защищенности;
  • применять средства защиты от компьютерных атак, сертифицированные ФСТЭК России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа «системы обнаружения вторжений» не менее чем 3-его класса защищённости;
  • примененять в информационной системе, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM), аппаратно-программных модулей доверенной загрузки уровня платы расширения, сертифицированных ФСТЭК России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ по 2-ому классу защиты;
  • использовать прикладное ПО, прошедшее проверку на отсутствие недекларированных возможностей и соответствующее 4-ому уровню контроля отсутствия недекларированных возможностей или сертифицированного в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей или в отношении которого проведён анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4.

Доверенная среда может быть создана с использованием специализированного адаптера, обеспечивающего информационнотехнологическое взаимодействие объектов информационной инфраструктуры банка с программно-аппаратным модулем криптографической защиты (HSM) и соответствующего вышеприведённого описанию, разрешает Центробанк.

Вероятно, теперь граждане могут быть спокойны, что их биометрические данные в системе ЕБС надёжно защищены.

Комментарии (12)


  1. niknamezanat
    18.02.2019 07:55

    Насчет последнего абзаца рекомендую ознакомиться

    Меры предосторжности
    image


  1. 61brg
    18.02.2019 08:10

    Пугает то, что выбора-о у клиента не остаётся.
    Ходила шутка, что раньше силой выбивали пароль от карты у человека, потом для идентификации по отпечатку пальца, его у жертвы отрезать. А теперь походу будут отрезать голову.
    Сколько уже было статей на тему, что любую охраняемую законом информацию о гражданине в принципе реально получить за некоторое вознаграждение. При этом средства защиты потихоньку деградирую под предлогом удобства пользования и заботы обо мне.
    Вот личный пример:
    1. Сбер перевыпустил мне карту наградив её бесконтактным интерфейсом, чего я в общем-то не хотел. Фабула моего обращения с ним: не нравиться – иди на…
    2. Потом Сбер отменил необходимость подтверждение некоторых переводов в интернет банке СМС паролем мотивировав это заботой обо мне. Фабула моего обращения к ним та же: не нравиться – иди на…
    И вот теперь идентификация по морде лица. Чёт очкую я.


    1. VIPDC
      18.02.2019 10:20

      Другой большой и синий банк установил в своём приложении вместо двух факторной авторизации, принудительный вход по пинкоду. То есть вместо sms и 18-ти значного пароля я должен вбивать 4-е цифры, и самое смешное отказаться нельзя, просто блокируют доступ. Писал в поддержку, сказали: «что всё надёжно и удобно».

      Думаю данные системы нужны для банков, для отпугивания мелких мошенников, для которых такая защита станет существенным препятствием.


      1. site6893
        18.02.2019 13:23

        мошенников? нет! Банкам глубоко плевать на моженников.
        В первую очередь нужно понимать один очень важный и тонкий момент: вся «защита» у банков, подтверждения, пинкоды и прочие 3Д-секюрити придуманы в первую очередь как механизмы перекладывания ответственности за транзакцию, между банком эмитентом, процссингом, тем кто принял платеж, держателем карты и т.д.

        И только потом, после всех этих свистоплясок идет безопасность.


      1. Protos
        18.02.2019 15:11

        Ну а что такого, у них значит ueba есть


  1. HiMem-74
    18.02.2019 10:48

    Таким образом, граждане могут быть спокойны, что их биометрические данные в системе ЕБС надёжно защищены.

    На фоне того, что «пробить по банкам» любого человека можно в течении получаса и совсем за небольшие деньги, данное утверждение вызывает нервный смех.


    1. ky0
      18.02.2019 10:54

      Надёжно защищены славящимися по всему миру своей стойкостью отечественными шифрами, сертифицированными лично ФСБ.


    1. Protos
      18.02.2019 15:13

      Операторы не имеет доступ до самих биометрических данных после отправки, мне кажется все логично. Там только админы серверов по модели угроз должны быть теми кто могут пробивать.


  1. Vsevo10d
    18.02.2019 11:36

    К банкомату за зарплатой
    Я без маски не хожу:
    То от гриппа я спасаюсь,
    То косплей им покажу.


    1. OasisInDesert
      18.02.2019 13:43

      Неплохо.


  1. OasisInDesert
    18.02.2019 13:44

    Вроде биометрия не самый лучший вариант — сложно изменить секрет в случае компрометации.


  1. vikarti
    19.02.2019 07:11

    А эту ЕБС уже научили:
    — делать первоначальную идентификацию клиента быстрее чем минут так за 10 сидения перед компьютером (даже не на месте для клиент а операционист (после нескольких неуспешных попыток) прямо садит на свое (она не за стойкой) и начинаются попытки сделать чтобы программа таки приняла лицо). Операционист сказала что до меня — вообще сделать чтобы система приняла у них получилось целый один раз.
    — давать сообщения об ошибках — сразу а не потом. Потому что после предыдущего пункта в итоге (когда я уже не в офисе банка) пришло сообщение что данные не приняты системой и видимо надо повторять первый пункт.

    p.s.
    В Почта-банке было дело