Компания «Ростелеком» одной из первых создала облачное типовое решение по информационной безопасности для работы с Единой биометрической системой. Облачное решение, разработанное «Ростелекомом», предоставит малым банкам возможность осуществлять полноценную регистрацию биометрии и удаленную идентификацию клиентов.
Работа над созданием Единой биометрической системы началась в 2017 году. Это — важный национальный проект, связанный с хранением и обработкой биометрических данных граждан.
ВЫПОЛНЕННЫЕ ТРЕБОВАНИЯ
Платформа Единой биометрической системы соответствует требованиям, предъявляемым к «Ростелекому» регуляторами в области информационной безопасности: ФСБ и ФСТЭК России.
Основные положения по обработке персональных и биометрических данных сформулированы в федеральных законах №152-ФЗ от 27 июля 2006 года «О персональных данных» (ограничивает использование биометрических данных) и №115-ФЗ от 7 августа 2001 года «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (определяет требования по сбору, обработке, хранению биометрических персональных данных).
Применение удаленной идентификации клиентов в финансовой сфере регламентировано федеральным законом № 482-ФЗ от 31 декабря 2017 года, который вносит изменения в № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Для нейтрализации угроз, сформулированных Банком России на основании требований регуляторов, каждый банк должен установить программно-аппаратный криптографический модуль (Hardware Security Module, HSM) соответствующего класса защищенности, с помощью которого банк проверяет и подписывает для Единой биометрической системы биометрические данные. Помимо этого, банки должны обеспечить защиту внутренних каналов передачи информации между филиалами и дата-центром банка, а также обеспечить защиту рабочих мест операторов, осуществляющих сбор биометрических данных. Из-за сложности работы, которую предстоит проделать банкам, ЦБ РФ дал им отсрочку по внедрению средств информационной безопасности до 31 декабря 2019 года.
Важный этап работы происходит в банках — именно там регистрируются биометрические данные. Для того чтобы избежать возможных угроз при регистрации и обработке биометрической информации внутри инфраструктуры кредитной организации,9 июля 2018 года Банк России выпустил «Указание банка России о перечне угроз биометрической информации при регистрации и обработке ее в кредитных организациях». В документе содержатся ссылки на приказ ФСБ России № 378 от 10 июля 2014 года с описанием того, какими средствами и способами защиты эти угрозы можно нейтрализовать.
Часть угроз, которые признаны актуальными, требует серьезных и комплексных мер для защиты биометрических данных граждан. Кроме того, для создания решения, соответствующего заявленным требованиям безопасности, необходимо согласовать системный проект, а после создания решения — провести ряд тематических исследований созданного продукта.
Исследования должны подтвердить, что средства защиты:
- правильно встроены в решение;
- правильно используются банком;
- обеспечивают нужные меры защиты и класс защищенности компонентов решения;
- соответствуют требованиям методических рекомендаций регулирующих органов.
ПРЕДПОСЫЛКИ К СОЗДАНИЮ ТИПОВОГО РЕШЕНИЯ
Выполнение всех требований по защите информации предполагает серьезную работу со стороны кредитных организаций, но не у всех есть ресурсы, время и специалисты соответствующей квалификации для реализации таких мер. Поэтому регуляторы предложили рынку создать типовые решения, которые бы соответствовали всем нормативным и техническим требованиям, были согласованы с ФСБ России, прошли все тематические исследования и не требовали бы дополнительных исследований на стороне кредитной организации.
Сначала «Ростелеком» разработал системный проект на типовое решение, потом — системный проект облачного решения. Оба этих документа были согласованы с ФСБ России. Итогом работы стал типовой продукт по информационной безопасности, созданный по согласованному ранее системному проекту.В конечном счете решение, разработанное Ростелекомом, получило положительное заключение ФСБ России, которое на основе анализа результатов тематических исследований подтвердило соответствие всем необходимым требованиям по информационной безопасности. Помимо этого, также был создан и согласован комплект эксплуатационной документации на решение.
МЕТОДИЧКА БАНКА РОССИИ
Для того чтобы облегчить обеспечение информационной безопасности при обработке биометрических персональных данных для кредитных организаций, 14 февраля 2019 года Банк России выпустил «Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия представленным биометрическим персональным данным гражданина Российской Федерации».
В соответствии с этим документом у банка есть три варианта реализации требований по информационной безопасности:
1) разработать собственное решение;
2) использовать типовое решение;
3) использовать облачное решение.
То есть у банка есть выбор: использовать коробочные и облачные решения вендоров или самостоятельно заниматься всем процессом разработки (Рисунок 1). При этом каждому направлению предъявляются свои требования и рекомендации.
При разработке собственного решения банку предстоит самостоятельно пройти весь путь разработки согласования:
- согласовывать системный проект;
- разработать решение в соответствии с согласованным ранее системным проектом;
- провести тематические исследования;
- получить отчет лаборатории и заключение ФСБ России;
- согласовать комплект эксплуатационной документации;
- внедрить решение.
Рисунок 1. Пути выполнения требований по ИБ в банке
СТРУКТУРА ТИПОВОГО РЕШЕНИЯ
Типовое решение «Ростелекома» — это программно-аппаратный комплекс, в который включены средства электронной подписи класса КВ2 и сервер со специальным программным обеспечением, который взаимодействует со средством подписания. Для этого программного обеспечения проведены все необходимые исследования, которые исключили угрозы, связанные с недекларированными возможностями. ПО соответствует всем требованиям методических рекомендаций, а также согласованному ранее системному проекту, отсутствует негативное влияние на средство электронной подписи, кроме того выполнена оценка уровня доверия (Рисунок 2).
Рисунок 2. Как это работает?
В типовой продукт «Ростелекома» также входят средства защиты информации, которые расположены вокруг сервера с HSM и обеспечивают защищенный периметр решения. В программно-аппаратный комплекс «Ростелекома» входит набор эксплуатационной документации, согласованный с ФСБ России. Проведены тематические исследования и получено заключение ФСБ России о соответствии требованиям информационной безопасности (Рисунок 3).
Рисунок 3. Задачи обеспечения ИБ сбора биометрии
ТИПОВОЕ РЕШЕНИЕ В ОБЛАКАХ
Облачное типовое решение — это сервис, который представляет размещенное на стороне «Ростелекома» оборудование для подписания биометрических данных и отправки их в Единую биометрическую систему. В решение входит сервер подписания, который должен быть расположен на стороне банка. Сервер упрощает интеграцию с информационными системами кредитной организации, а также избавляет от необходимости проведения тематических исследований силами организации.
Таким образом, при использовании облачного продукта банку не нужно содержать высококлассных специалистов для администрирования средств электронной подписи, а также другие средства обеспечения информационной безопасности биометрических данных, нет необходимости и выделять отдельные стойки для средств защиты информации соответствующих классов.
Облачное решение «Ростелекома» может работать как с разработанным компанией «АРМ Биометрия», так и предоставляет открытые интерфейсы для интеграции с другими АРМ сбора биометрических данных или собственными разработками банка (Рисунок 4).
Рисунок 4. Задачи кредитной организации при использовании «облака»
ДРУГИЕ РЕШЕНИЯ
Типовое решение разрабатывает не только «Ростелеком», но и другие компании. Их можно по-разному реализовать, однако, для того чтобы использовать все преимущества Единой биометрической системы, оно должно поддерживать как возможность сбора биометрических образцов, так и удаленной идентификации пользователя.
На данный момент только в типовом решении «Ростелекома» реализованы оба этих процесса: и сбор биометрических данных, и удаленную идентификацию. Остальные вендоры лишь собирают биометрические данные. «Ростелеком» первым получил заключение ФСБ России о соответствии всем нормативным требованиям по безопасности и методическим рекомендациям.
Остальные типовые решения сильно отстали технически —они лишь согласовали системные проекты, им еще предстоит пройти тематические исследования и получить заключения регуляторов. Так как системные проекты других вендоров реализуют только сбор данных, кредитная организация, которая выберет такое решение, не сможет получить новых клиентов с помощью удаленной идентификации. То есть не будет реализовано главное преимущество от использования Единой биометрической системы. Кроме того, в дальнейшем оказание услуг в удаленном канале с помощью верификации пользователей в Единой биометрической системе может станет обязательным для кредитных организаций. В таком случае решения, в которых не реализован этот бизнес-процесс, не будут соответствовать требованиям регулятора.
КАЖДОЙ ФИНАНСОВОЙ ОРГАНИЗАЦИИ – СВОЕ РЕШЕНИЕ
Так как кредитная организация подключается к провайдеру облачного решения по защищенным каналам связи, производительность сервисов сбора и удаленной верификации в составе облачного решения может столкнуться с ограничениями каналов связи. У типового продукта, который размещается в инфраструктуре банка, таких ограничений нет, и его производительность практически не ограничена. Кроме того, в случае необходимости типовой продукт может быть масштабирован для удовлетворения соответствующих потребностей кредитной организации.
Облачный продукт ориентирован на малые и средние банки, а также другие организации с небольшим потоком биометрических данных. Типовой продукт с размещением в инфраструктуре организации подойдет тем банкам, которые рассчитывают на серьезный поток биометрической информации.
Покупка типового продукта влечет за собой единовременные капитальные расходы, а облачное решение — ежегодные операционные затраты организации. При этом на горизонте планирования 5 лет затраты на внедрение типового и облачного решения будут приблизительно равны.
«Ростелеком» как крупнейший телекоммуникационный оператор и оператор Единой биометрической системы гарантирует стабильную работу типового продукта и облачного решения. Оба решения поставляются под ключ и включают в себя логистику, настройку в инфраструктуру банка и поддержку со стороны оператора и партнеров.
На данный момент к Единой биометрической системе подключено свыше 200 банков и более 12000 отделений.
СТАТУС СОЗДАНИЯ ОБЛАЧНОГО РЕШЕНИЯ
«Ростелеком» создал и развернул программный код облачного решения. Сегодня компания проводит тематические исследования облачного решения, которые завершатся через несколько месяцев. Облачное решение будет размещаться на территории защищенной площадки «Ростелекома». После проведения исследований отчет будет направлен в ФСБ России и в ФСТЭК России. После получения соответствующих заключений и сертификатов «Ростелеком» начнет работы по аттестации объекта информатизации, где будет размещено решение. Это нужно для того, чтобы получить аттестат о соответствии требованиям информационной безопасности на объект, который представляет из себя совокупность программных мощностей, площадки и соответствующих средств защиты. Рассчитываем, что к концу II квартала 2020 года облачный продукт «Ростелекома» получит заключение ФСБ России, сертификат ФСТЭК России и аттестат соответствия требованиям информационной безопасности на объект информатизации.
НА ЧТО ОБРАЩАТЬ ВНИМАНИЕ
В банковской сфере наиболее важный критерий выбора того или иного биометрического решения — надежность поставщика и технологии, а также подтверждение соответствия требованиям регуляторов. Поэтому значимым является опыт внедрения в других крупных организациях аналогичной или смежной отрасли, рекомендации других банков. Важным фактором выбора поставщика решения является простота интеграции с информационными системами банка и возможности дальнейшей поддержки. Ключевые требования: поставщик должен быть из РФ, а продукт/решение должно соответствовать законодательным нормам.
Директор по цифровой идентичности «Ростелекома» Иван Беров:
«Мы заботимся о том, чтобы банки смогли выполнить требования регулятора в установленные законом сроки. Решения “Ростелекома” могут использоваться в инфраструктуре банков и позволяют финансовым организациям взаимодействовать с Единой биометрической системой в полном соответствии с требованиями безопасности».
.jpg)