Журнал "Information Security/ Информационная безопасность" #1, 2020

На текущий момент необходимая технологиче- ская инфраструктура бан- ков для сбора и размеще- ния биометрических данных граждан в ЕБС, отвечаю- щая всем требованиям законодательства РФ, не подготовлена. В условиях неопределен- ности с типовыми решения- ми мотивация банков по внедрению биометрии в 2019 г. была дозирована необходимостью соблюде- ния требований законода- тельства. Несоответствие требованиям со стороны ФСБ и ФСТЭК к системам защиты при сборе и размещении биометрии Теперь разберемся, как обстоят дела в банках, соби- рающих биометрию граждан, с исполнением обязательного требования по "использованию средств криптографической защиты информации на всех этапах работы с биометрией" и других требований информа- ционной безопасности в Единой биометрической системе. На текущий момент, не боясь ошибиться, можно утверждать, что банки, независимо от свое- го размера и уставного капита- ла, находятся только в начале пути реализации поэтапного плана оснащения своей техно- логической инфраструктуры, отвечающей за сбор биомет- рии, средствами защиты информации (оборудованием и программным обеспечением), соответствующими всем тре- бованиям регуляторов. Для сбора биометрии боль- шинство банков стараются выбирать сертифицированные, типовые решения. Но на полу- чение со стороны ФСБ оценки встраивания (контроль встраи- вания) криптографии в типовое решение от разработчика обыч- но уходит год-полтора. В отсутствие на рынке типо- вых решений, согласованных с ФСБ (на исходе 2019 г. нако- нец-то появилось такое реше- ние от ПАО "Ростелеком"), банки собирают биометрию кли- ентов на свой страх и риск в надежде, что такая оценка (контроль встраивания со сто- роны ФСБ) будет получена выбранным поставщиком реше- ния в обозримом будущем. Напрашивается вывод: регу- ляторы, очевидно, перебрали с неоправданно сжатыми сро- ками внедрения сбора биомет- рии в банках. А банки, получая противоречивые указания от Банка России, не торопились закупать необходимое обору- дование и ПО в условиях отсут- ствия адекватных решений на рынке. В чем противоречивость указаний Банка России? С одной стороны, Банк Рос- сии потребовал от банков 5 начи- ная с 20 мая 2019 г. и до 31 декабря 2019 г. предоставлять раз в две недели отчетность о текущем состоянии работ по выполнению требований инфор- мационной безопасности в ЕБС. С другой стороны, Банк России считает, что использование типо- вого решения для сбора и раз- мещения биометрии в ЕБС на основе системного проекта, по которому не получено согласо- вание ФСБ России в соответ- ствии с рекомендациями 4-МР6 (п.п.2.3.8.2–2.3.8.3), недопустимо. Что в результате имеем? На текущий момент необходи- мая технологическая инфраструк- тура банков для сбора и разме- щения биометрических данных граждан в ЕБС, отвечающая всем требованиям законодательства РФ, не подготовлена. Основные причины Поставщики решений для ЕБС не успели согласовать в ФСБ свои системные проекты сбора биометрии (типовые решения), а покупать "кота в мешке" (то ли согласуют, то ли нет) многие, как правило, крупные банки не желают. Кроме того, типовые решения от разных поставщиков различаются "полнотой охвата" процесса сбора биометрических данных. У некоторых поставщиков типовой системный проект охва- тывает не только внутренний сег- мент банка, где размещены сред- ства криптографической защиты информации (модуль криптогра- фии для подписания банковскими электронными ключами собран- ных биометрических данных, отправляемых в ЕБС), но и рабо- чие места операторов сбора био- метрии в филиалах. Те компоненты, которые выбирали поставщики решений для своих "типовых решений" по сбору и размещению био- метрии в ЕБС, быстро устаре- вают: выходят новые версии ПО и оборудования, заканчи- ваются сертификаты ФСТЭК и ФСБ на средства защиты и т.д. Поэтому банки весь 2019 г. пре- бывали в напряженных раз- мышлениях: покупать то, что есть на рынке, или все же подо- ждать появления новых версий средств защиты с более дли- тельными сроками действия сертификатов ФСТЭК и ФСБ. На начало 2020 г. единствен- ным типовым решением, полу- чившим окончательное согла- сование (кстати, только в нача- ле декабря 2019-го), был проект от ПАО "Ростелеком". То есть, по сути, на протяжении 2019 года внедрять банкам было нечего В конце концов Банк России вынужден был признать, что един- ственнымфактором неопределен- ности, способным повлиять на сроки внедрения биометрии в финансовом секторе, является время, которое потребуется на согласование ФСБ России систем- ных проектов поставщиков реше- ний. С уполномоченным органом должны быть согласованы внача- ле системный проект, а потом и решение на его основе. Как следствие, кредитные организации не спешили гото- вить сервисы для оказания бан- ковских услуг (удаленно, без посещения офиса банка, напри- мер, открыть счет, вклад, выпу- стить карту, оформить кредит и т.д.) клиентам, которые зареги- стрировались в ЕСИА и сдали биометрию (изображение лица и запись голоса) в ЕБС. Собирать биометрию, как показывает расчет выше, нача- ли примерно в половине банков, так как согласно законодатель- ству это обязанность банков, а оказывать с помощью био- метрии услуги – (пока) только право, которое может быть реа- лизовано на усмотрение банка (п. 5.8 ст. 7 закона № 115-ФЗ). К тому же некоторые крупные банки собирают биометриче- ские данные клиентов для своих внутренних систем, а не с целью размещения их в ЕБС. "Скажи-ка, дядя, в гаджет глядя" 18 октября 2018 г. ПАО "Ростелеком" впервые предста- • 23 УПРАВЛЕНИЕ www.itsec.ru 5 29.04.2019 Банк России от имени департамента информационной безопасности разослал через личные кабинеты кредитных организаций информационное письмо от 26.04.2019 № 56-2-4/228, в котором предлагал: п.1: в срок до 17.05.2019 предоставить план мероприятий по реализации требований ИБ в ЕБС с учетом отправленной ранее информации о выбранном способе подписания; п. 2: начиная с 20.05.2019 раз в две недели отчитываться об исполнении этого плана по форме приложения к письму. 6 Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.