irina (margarita_nik) wrote,
irina
margarita_nik

Category:

Технологии банков не соответствуют требованиям ФСБ

.

ЦБ указал ФСБ на невозможность в полном объеме выполнить требования службы по защите собираемых банками биометрических персональных данных граждан. Речь идет о криптографической защите на уровне гостайны, а необходимого российского оборудования для этого нет. Банкиры подтверждают наличие проблем, но в ФСБ смягчать требования не планируют. Впрочем, санкции от силовиков участникам рынка не грозят – согласовывать все вопросы с ФСБ придется регулятору, иначе сбор данных просто остановится.

На прошедшем 27–28 ноября SOC-форуме первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев отметил, что сейчас нет необходимого рынку отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты — на уровне гостайны — определен приказом ФСБ №378. Заместитель начальника восьмого центра ФСБ России при этом Игорь Качалин высказал надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан.

Но банкиры подтверждают, что выполнить требования ФСБ не могут. «Чтобы шифровать направляемые в единую биометрическую систему (ЕБС) собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ»,— отметил собеседник “Ъ” в крупном банке. Ключи класса КВ выпускает только ФГБУ НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября. Как сообщили “Ъ” в «Ростелекоме», «Восход» обладает нужным количеством ключей. «Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ,— отмечает собеседник “Ъ” в другом крупном банке.— Но без методики получить заключение ФСБ нереально». По данным «Ростелекома», внедрение HSM идет в 26 банках, но нигде не закончено.

ЦБ готов предложить банкам несколько вариантов решений по информбезопасности при сборе биометрии. Как пояснил “Ъ” Артем Сычев, в настоящее время есть стандартизированное решение, которое отвечает требованиям информационной безопасности для подключения к ЕБС. «Часть кредитных организаций уже его внедрила, а часть находится в процессе,— отметил он.— Банк России совместно с ФСБ также проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований». По его словам, вариант облачного и типового решения по подключению банков к ЕБС является дополнительным и разрабатывается в целях снижения издержек банков. Выполнить требования по информационной безопасности банки должны к концу 2019 года, отметил господин Сычев.

Впрочем, с предлагаемыми ЦБ решениями все непросто, отмечают эксперты. По словам собеседников “Ъ” в банках, уже работающих по стандартному решению, шифрования по классу КВ нет — биометрия отправляется по шифрованному каналу, но без дополнительного шифрования на уровне КВ. Типовое решение «Ростелекома», по которому коммерческое предложение было направлено банкам несколько дней назад, еще не сертифицировано. В «Ростелекоме» “Ъ” сообщили, что их типовое решение согласовано с ФСБ и предусматривает наличие шифрования класса КВ. Облачное решение и вовсе находится на стадии проработки. «Будет несколько поставщиков облачного решения,— отмечают в "Ростелекоме".— Мы уже согласовали с ЦБ и ФСБ архитектуру облачного решения и дорожную карту по его реализации».

Банки готовы выполнить требования ФСБ, когда появится хоть одно полноценное решение. В Тинькофф-банке отмечают, что активно занимаются интеграцией HSM в процесс сбора и передачи биометрических данных клиентов в ЕБС и до 2020 года банку нужно построить процессы сбора и передачи биометрии от представителя до центрального офиса по каналам с ГОСТовой криптографией. По словам члена правления Почта-банка Святослава Емельянова, сейчас направляемые в ЕБС данные и так серьезно защищены. «Но мы готовы внедрить дополнительные механизмы и приобрести необходимое оборудование после получения требований и разъяснений со стороны соответствующих органов,— отметил он.— Сейчас важно получить единое интеграционное решение, которое позволит корректно встроить HSM в инфраструктуру банка».

Впрочем, санкций со стороны ФСБ банкам опасаться не стоит. «ФСБ, являясь одним из двух регуляторов по защите персональных данных, не имеет полномочий для проверок финансовых организаций в этой сфере. Его сотрудники не могут выйти в банк с проверкой,— отмечает консультант по интернет-безопасности Cisco Алесей Лукацкий.— Тут важна позиция ЦБ, который обещает не применять к кредитным организациям мер». Банкам остается работать и надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии, иначе сбор биометрических данных придется просто остановить, заключают эксперты.
источник
Tags: ФСБ, банки, интересные факты, научные факты, непонятное, новости, расследования
Subscribe

Recent Posts from This Journal

promo margarita_nik august 20, 2018 10:59 7
Buy for 20 tokens
Для тех, кто интересуется этой темой)
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments