Журнал "Системы Безопасности" № 5‘2020

П ри разработке биометрических решений подход к идентификации и аутентифика- ции может базироваться на разных принципах: l "я знаю" (логин, пароль, ПИН-коды, парамет- ры действия и т.д.); l "я имею" (удостоверение личности, пропуск, смарт-карта, USB-токены, устройства); l "я являюсь" (биометрия). Наибольший уровень безопасности системы идентификации/аутентификации достигается на их пересечении. Если использовать только логин и пароль, то их довольно легко украсть, но, если их нужно подтвердить каким-либо USB-токеном, безопасность становится гораздо выше. То же самое с биометрией: полагаться только на нее можно лишь в определенных кей- сах. Главное – разработать правильную модель угроз и понять, достаточно ли использования только одной технологии. Для доверенной системы, в рамках которой планируется прово- дить высокорискованные операции (в том числе для граждан всей страны), нужно рабо- тать на пересечении трех указанных принципов. Обеспечение требований ИБ При работе с биометрией основные требования к обеспечению ИБ включают в себя: l использование средств защиты информации в соответствии с требованиями ФСБ России и ФСТЭК России; l создание защищенного хранилища биомет- рических образцов и шаблонов с учетом тре- бований по классу ИБ (шифрование и конт- роль целостности образцов криптографиче- скими средствами по классу КВ2); l обеспечение физической защиты помещений, в которых расположены информационные системы, работающие с биометрией; l использование сертифицированных средств криптографической защиты каналов связи; При использовании Единой биометрической системы в кредитных учреждениях: l использование внутри банка для взаимодей- ствия сервисов каналов связи с уровнем защиты КС3; l расположение систем, занимающихся обра- боткой биометрии в защищенном контуре, по требованиям ИБ по 2-му уровню защиты информации (для системно значимых банков – 1-й уровень) в соответствии с ГОСТ Р 57580.1–2017.; l использование при взаимодействии со СМЭВ электронной подписи с использованием сер- тифицированного по классу КВ2 HSM. А к самому минимуму законодательных актов можно отнести: 1. ФЗ № 152-ФЗ от 27.07.2006 г. "О персональ- ных данных". 2. Постановление Правительства РФ№ 1119 от 01.11.2012 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". 3. Приказ ФСТЭК от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания орга- низационных и технических мер по обеспече- нию безопасности персональных данных при их обработке в информационных системах персо- нальных данных". 4. Приказ ФСБ России от 10.07.2014 г. № 378 "Об утверждении Состава и содержания орга- низационных и технических мер по обеспече- нию безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты инфор- мации, необходимых для выполнения уста- новленных Правительством Российской Федерации требований к защите персональ- ных данных для каждого из уровней защи- щенности". 5. ГОСТ Р 57580.1–2017. "Безопасность финан- совых (банковских) операций. Защита инфор- мации финансовых организаций. Базовый состав организационных и технических мер". Кроме того, в разработке решений для финан- совой отрасли необходимо также учитывать документы Банка России: 1. Методические рекомендации № 4 МР от 14.02.2019 г. "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хра- нение, биометрических персональных данных, их проверке и передаче информации о степени октябрь – ноябрь 2020 www.secuteck.ru БИОМЕТРИЧЕСКИЕ СИСТЕМЫ  С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 136 Анатолий Соловьев Директор направления Проектного офиса "Единая биометрическая система" ПАО "Ростелеком" Время прохода в стандартной СКУД и в СКУД с биометрической идентификацией Е диная биометрическая система предоставляет гражданам Россий- ской Федерации возможность удобно и безопасно пользоваться госу- дарственными и коммерческими услугами. С помощью Единой биомет- рической системы можно открывать счета, вклады и получать креди- ты в удобное время, не привязываясь к банку, который ближе к дому. Банк узнает клиента в лицо – предъявлять паспорт больше не нужно. На сегодняшний день к системе подключены 236 банков и 13,5 тыс. отделений из 1048 городов Безопасность биометрии: буква закона для доверия пользователей Рынок биометрии – один из самых динамично развивающихся: среднегодовой рост в мире в 2018–2022 гг., по оценкам Json&Partners, составляет 18,2%, в России еще выше – 25,6%. Это означает, что по сравнению с 2018 г. в 2022 г. объем внедрений биометрии в России вырастет на 249%. Активное использование "чувствительных" биометрических данных серьезно повышает интерес хакеров к таким системам. На примере национальной Единой биометрической системы мы рассмотрим вопро- сы защиты данных и соблюдения норм законодательства