Как обеспечить информационную безопасность при работе с биометрическими данными

26 февраля, 2021

Как обеспечить информационную безопасность при работе с биометрическими данными

С 1 января 2021 года в силу вступил закон, расширяющий сферы применения Единой биометрической системы. Благодаря этому, предоставлять услуги по биометрии могут не только банки, как было ранее, но также ряд коммерческих и государственных организаций.

У использования биометрической удаленной идентификации есть ряд преимуществ — в первую очередь это позволит коммерческим организациям снизить стоимость привлечения клиентов и увеличить клиентскую базу, так как предоставлять услуги можно будет в удаленном канале обслуживания. А пользователи смогут получать услуги удобно и безопасно, из любой точки мира.

Однако требования регуляторов к безопасности при работе с биометрическими данными очень высоки — они сопоставимы с уровнем защиты государственной тайны. И регуляторы предъявляют высокие требования не только к самой Единой биометрической системе, но и к организациям, которые будут использовать ее ресурсы и сервисы. Для граждан это означает, что их данные будут надежно защищены, а для организаций — необходимость проведения серьезных работ в части информационной безопасности.

В этой статье мы расскажем, какие требования по информационной безопасности предъявляются к организациям, работающим с биометрией, и какие существуют пути их выполнения.

 

Врага надо знать в лицо: угрозы информационной безопасности

Первый этап в цикле создания решений по информационной безопасности — составление списка угроз, описание информации, которую требуется защитить, и ее объемов. После этого по каждой угрозе формулируются возможности нарушителя и классы средств криптографической защиты, которыми необходимо эти угрозы нейтрализовать.

Угрозы информационной безопасности при работе с биометрией в целом можно разделить на два основных типа:

  • Угроза нарушения целостности биометрических данных — риск того, что на различных участках пути от организации до ЕБС злоумышленник может вмешаться и подменить данные (биометрические образцы или результат удаленной идентификации)
  • Угроза нарушения конфиденциальности биометрических персональных данных  — риск того, что передаваемые  данные будут разглашены третьим лицам.

Список угроз при работе с биометрией был сформулирован со стороны Центрального Банка России, ФСБ России и «Ростелекома» в Указании Банка России №4859-У от 9 июля 2018 года «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных [...]»

Однако этот список угроз был сформулирован только для организаций финансовой сферы. После принятия закона о расширении сфер применения Единой биометрической системы должны быть сформированы перечни угроз также для коммерческих и государственных организаций, получивших возможность использовать биометрическую идентификацию в своих процессах.

На данный момент готовится большой пакет документов, дополняющих Указание №4859-У. Требования, которые будут сформулированы для остальных организаций, вряд ли будут слабее, чем требования для финансовых организаций. Ведь основной принцип информационной безопасности говорит о том, что уровень защищенности системы равен уровню защищенности самого слабого ее звена.

 

Требования к информационной безопасности и цикл разработки решений

До 2018 года биометрия в России в таких объемах никем не собиралась и не использовалась, поэтому когда появилась Единая биометрическая система, она стала новым контуром, для которого необходимо было создать новые решения.

Со стороны Центрального Банка России были разработаны методические рекомендации от 14 февраля 2019 года № 4-МР о методах  нейтрализации банками угроз безопасности при работе с биометрическими данными. В этом документе подробно расписаны рекомендации по обеспечению информационной безопасности для различных процессов работы с биометрией (сбора биометрических образцов, и их использовании для идентификации), описаны технологические участки процесса и классы средств криптографической защиты информации, которые должны применяться в тех или иных ситуациях. 

В соответствии с этими рекомендациями и должны быть разработаны решения по информационной безопасности. Цикл разработки выглядит следующим образом:

  1. Написание системного проекта или технического задания на решение.
  2. Согласование этого документа с ФСБ России.
  3. Разработка решения.
  4. Тематические исследование готового решения в специальной лаборатории.
  5. Получение отчета от лаборатории о безопасности решения.
  6. Передача отчета в ФСБ России.
  7. Анализ готового решения на предмет наличия критических ошибок и уязвимостей со стороны регулятора.
  8. Согласование эксплуатационной документации на решение с ФСБ России.
  9. Выдача заключения ФСБ России о соответствии решения требованиям информационной безопасности, а также № 4-МР.

Наличие заключения означает, что биометрические данные граждан должным образом защищены с момента их сбора и обрабатываются в безопасном режиме на всех участках их передачи. Именно такое решение необходимо для защиты данных при работе с Единой биометрической системой.

Разработка решений по информационной безопасности всегда связана с большими затратами ресурсов. К счастью, на сегодняшний день собственная разработка — это лишь один из возможных способов обеспечения информационной безопасности.

 

Три пути обеспечения безопасности

На сегодняшний день существует три пути обеспечения информационной безопасности при работе с биометрией: собственная разработка, типовые решения и облачные решения. Каждая организация в зависимости от своих целей и возможностей выбирает подходящее.

 

Собственная разработка

Для кого подойдет: для крупных компаний, у которых уже есть некоторые наработки в сфере информационной безопасности. Таким образом они могут доработать уже существующее решение со сравнительно небольшими затратами временных и финансовых ресурсов.

Стоимость разработки решения: от 30 млн рублей.

Срок разработки: от 6 месяцев без учета сертификации решения у регуляторов.

Часть участников рынка, проанализировав меры и средства, необходимые для обеспечения информационной безопасности при работе с биометрией, приняли решение реализовывать контур информационной безопасности для работы с Единой биометрической системой самостоятельно.

Дело в том, что для защиты информации при работе с биометрией не нужно каких-то специфических или уникальных средств. Достаточно скомбинировать существующие решения соответствующим образом, интегрировать их во внутренние бизнес-процессы компании, провести испытания и получить заключения регуляторов в сфере информационной безопасности о соответствии такого решения всем необходимым требованиям.

 

Типовые решения по информационной безопасности

Для кого подойдет: для крупных компаний, которые не готовы разрабатывать решение своими силами и имеют возможность выделить отдельную стойку в своем дата-центре.

Стоимость решения: ~6 млн рублей.

Срок внедрения: от 2 месяцев.

На сегодняшний день на рынке представлено несколько готовых «коробочных» решений по информационной безопасности, сертифицированных ФСБ России и подходящих для обеспечения информационной безопасности при работе с биометрией.

Использование готовых сертифицированных решений позволяет сократить издержки на обеспечение информационной безопасности и уменьшить сроки внедрения. Они позволяют значительно снизить затраты при сохранении достаточного уровня обеспечения безопасности.

В типовое решение входит оборудование для реализации контура информационной безопасности: криптомаршрутизаторы, межсетевые экраны, сервера, сетевые маршрутизаторы — они размещаются на территории компании. Также предоставляется необходимое специализированное ПО и услуги по его внедрению и поддержке.

Одно из типовых решений разработано компанией «Ростелекомом», в октябре 2019 года решение получило положительное заключение ФСБ России, и с тех пор было внедрено в большинстве из 50 крупнейших банков России.

 

Облачные решения по информационной безопасности

Для кого подойдет: для небольших компаний, которые хотят сократить затраты на размещение оборудования в собственном дата-центре. Не предполагает большой объем регистрируемых граждан.

Стоимость решения: от 880 000 рублей в год.

Срок внедрения: от 2 месяцев.

Типовые решения по информационной безопасности действительно позволяют сократить затраты на разработку, однако они требуют места для размещения и штат специалистов, которые эти решения будут обслуживать. Оборудование для обеспечения информационной безопасности может занимать целую стойку в ЦОД, к тому же, оно не очень простое в эксплуатации.

Для компаний, которым нерелевантно использование типового решения, были разработаны облачные решения по информационной безопасности. Практически все оборудование размещается в дата-центрах оператора и предоставляется в качестве сервиса. На территории заказчика размещается исключительно интеграционный модуль и криптомаршрутизатор для подключения к сети провайдера облачного решения.

Облачное решение представляет из себя несколько сервисов, которые обеспечивают подписание биометрических образцов, из которых в Единой биометрической системе будут созданы биометрические контрольные шаблоны, удаленную идентификацию и аутентификацию пользователей. Для взаимодействия с решением была создана защищенная криптографическая сеть, которая защищает канал связи между пользователем облачного решения и провайдером.

Облачное решение предоставляется по подписке. В зависимости от предполагаемого количества регистраций биометрических образцов и/или удаленных идентификаций по биометрии, которые компания планирует проводить, существуют различные тарифы.

На данный момент на рынке существует два облачных решения, одно из которых разработано компанией «Ростелеком».

 

Комплексные предложения

Для организации безопасной работы с биометрией, помимо облачного решения по информационной безопасности, компании нужно также приобрести необходимое оборудование и организовать рабочее место оператора для регистрации биометрии.

На рынке уже появились комплексные предложения, которые позволяют купить все необходимые решения для работы с биометрией значительно дешевле, чем по отдельности. В комплексное предложение входит не только само облачное решение по информационной безопасности, но и необходимое оборудование для регистрации биометрии (камера и микрофон с необходимыми характеристиками), программное обеспечение для регистрации биометрии на рабочем месте операциониста, а также услуги по технической поддержке.

Смотрите также