Биометрические алгоритмы обмануть намного сложнее, чем человека. Сегодня мошенник может прийти в банк и открыть счет по сворованному паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10^-7. Это значит, что она пропустит только 1 человека на 10 млн. При том, что мы используем дополнительную связку с логином и паролем от Госуслуг – это становится практически невозможным. Мошеннику гораздо проще и дешевле прийти в банк и выдать себя за другого человека операционисту.

Безопасность данных в Единой биометрической системе – один из ключевых вопросов ее создания, которому уделяется особое внимание. «Ростелеком» является одним из лидеров на рынке кибербезопасности, и Единая биометрическая система соответствует всем требованиям информационной безопасности системы федерального уровня. Для обеспечения информационной безопасности биометрических данных пользователей системы реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных - Ф.И.О., паспортные данные, СНИЛС и др., включенных в базы ЕСИА (портал Госуслуг).

Любые, даже самые продвинутые биометрические алгоритмы на основе нейросетей, имеют свои недостатки. Именно поэтому было принято решение о разработке биометрической платформы, которая работает не с каким-то одним алгоритмом, а с множеством, реализуя мультивендорный подход. Взлом даже одного такого алгоритма – сложный и дорогостоящий процесс, злоумышленнику придется изучить десятки алгоритмов, которые постоянно меняются.

Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос. В результате обработки определяется степень схожести с биометрическим контрольным шаблоном в процентах. Этот ответ направляется в банк и на его основе банк принимает решение об открытии счета. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если один или несколько из них не идентифицировал гражданина, то в работу включается так называемых «модуль аномалий», который анализирует причины расхождений и в случае обнаружения мошеннических действий направляет соответствующее уведомление в банк. Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.

Единая биометрическая система имеет точность распознавания выше 99,99%. Учитывая необходимость предварительной проверки по логину и паролю от Госуслуг, система определяет человека гораздо точнее, чем другие существующие методы. Но при этом биометрия – не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человек с его шаблоном. Помимо биометрии, банк использует процедуры скоринга, KYC и др., принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на банк.

Да, данное требование обусловлено требованиями ФСБ России по использованию СКЗИ – Приказ ФСБ России №378 от 10.07.2014 (http://www.garant.ru/products/ipo/prime/doc/71908502/) для обеспечения защиты от перечня актуальных угроз, опубликованных в Указании Банка России №4859-У (http://www.garant.ru/products/ipo/prime/doc/71908502/). Требование использования СКЗИ HSM класса КВ2 обусловлено угрозой нарушения целостности передаваемых в «Ключ» данных при регистрации и верификации.

Вы можете самостоятельно закупить сертифицированный по классу КВ2 HSM, произвести его встраивание и сертификацию на корректность встраивания СКЗИ, проведя тематические исследования. Либо вы можете приобрести типовое решение по ИБ Ростелекома, в состав которого будут входить HSM и программный API для взаимодействия с ним. Данное решение не потребует дополнительного сертификата на встраивание. Для приобретения пишите на sale@bio.rt.ru.

Разработка типового решения Ростелекома по ИБ будет закончена в январе 2019. Решение будет поставляться компаниями «Код Безопасности», «Ростелеком-Solar», «Инфосекьюрити» и «Прософт».

Проведение тематических исследований требуется для всех криптографических оперций, использующих HSM класса КВ2. К ним относятся подписание биометрических образцов при регистрации, взаимодействие с ЕСИА и «Ключом» с использованием OpenID Connect, проверки результатов соответсвия при удаленной верификации.

Нужен сертификат усиленной квалифицированной электронной подписи выданный на кредитную организацию в ИС ГУЦ, расположенном в ФГБУ «НИИ Восход». Получение ключа можно делегировать с помощью доверенности, подробности можно уточнить в Минкомсвязи России.

HSM должен располагаться в пределах контролируемой зоны банка.

Да, можно. Оборудование должно быть сертифицировано по классу КВ2 и выделено для целей подписания только биометрических данных.

Аттестация обязательна для новых и не аттестованных ранее рабочих мест в соответсвии с №152-ФЗ от 27.07.2006 (https://www.zakonrf.info/zakon-o-personalnyh-dannyh/19/) и Приказу ФСТЭК №21 от 18.02.2013 (https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691).

Да, нужно.

Да, обязательно, в соответствии с Приказом Минкомсвязи №321 от 25.06.2018. Выбор этапа аутентификации (на ОС или приложение) остается за организацией.

КС3 защищает данные, передаваемые по сети – защита конфиденциальности. По КС3 надо защитить каналы между отделением и головным офисом, а также между головным офисом и СМЭВ. Чтобы обеспечить контроль целостности при сборе биометрии и передаче авторизационных токенов в рамках удаленной идентификации, необходимо использовать оборудование класса КВ2.

Если у вас уже есть взаимодействие со СМЭВ и защищенный канал, то вы можете переиспользовать это оборудование для подключения к «Ключу Ростелеком».

Вся необходимая нормативная документация уже выпущена. Могут появиться рекомендации по встраиванию и реализации существующих требований.

- Подсчет контрольных сумм биометрических данных и формирование пакета данных для СМЭВ 3 с использованием УКЭП кредитной организации класса КВ2 для подписи пакета данных; - Формирование и проверка электронной подписи для авторотационных токенов в протоколе OpenID Connect; - Проверка результатов сравнения биометрических эталонов в процессе верификации.

Если вы используете программную защиту каналов связи класса КС2, то на каждом рабочем месте оператора ставится средства защиты информации от несанкционированного доступа класса КС2, антивирус, а также модуль доверенной загрузки. Ставить СКЗИ на рабочие места сбора биометрии не нужно, если используется программно-аппаратный модуль построения канала связи класса КС3.

Никаких требований к виртуализации или использованию банком аппаратных решений нет.

Нет, не нужно, требований аттестовывать ИСПДн как ГИС нет.

В типовом решении от Ростелекома будет использован NGate от “КриптоПро”.

Отправить запрос на sale@bio.rt.ru.

Вопрос обсуждается с регулятором.

АРМ оператора находится в отделении банка, за ним работает оператор, который взаимодействует с клиентом. А АРМ сбора биометрии собирает эти данные с АРМ операторов и отправляет их в СМЭВ.

Да, можно, но посмотрите на документацию СКЗИ, где указываются дополнительные меры защиты для рабочей станции.

Это делается на стороне АРМ регистрации биометрии, он должен обеспечить защиту данных до подписи в центральном офисе. Этот вопрос к разработчикам АРМ биометрии, который установлен в вашем банке.

При создании типового решения возможно гео-резервирование в различных исполнениях.

При использовании TLS-шлюза КС3 в рамках типового решения на стороне АРМ отделений и АРМ операторов можно поставить программное обеспечение, которое будет работать с этим TLS-шлюзом. Так можно сэкономить на размещении крипто-шлюза, который работает с отделениями.

Да, возможна. Наше решение будет представлять необходимые интерфейсы для взаимодействия с другими АРМ биометрии. Мы не ограничиваем использование других средств сбора.

Нет, нельзя. В перечне угроз прописано использование КС3 (http://www.garant.ru/products/ipo/prime/doc/71908502/). Если ваш провайдер может предоставить документы о том, что его VPN-канал защищается соответствующими средствами защиты, то можно.

Нет, тематические исследования - это анализ кода при работе с HSM класса КС2.

Встраивание осуществляется либо самим банком, либо интегратором вместе с разработчиком программного решения по сбору биометрии.

Нет, не требуется. Взаимодействие с точки зрения верификации идет между 4 точками - кредитной организацией, ЕСИА, «Ключом» и браузером или мобильным приложением пользователя, СМЭВ там не используется.

Если TLS на базе КС3, то можно, это не принципиально - TLS использовать или VPN. Главное, чтобы было выполнено требование по защите устройств с двух сторон.

Тематические исследования проводятся только в отношении кода, который взаимодействует с HSM.

Нет, это технически невозможно, так как запрос на получение ключа формируется на вашем HSM, который будет развернут в вашем банке.

Да, обязателен при необходимости предоставления удаленной идентификации.

Да, должны, так как это обеспечит целостность передаваемых биометрических образцов и персональную ответственность оператора.

Ростелеком разработал мобильное приложение, с которым интегрируется банк для удаленной идентификации. Поэтому банку не нужно проводить тематические исследования мобильного приложения банка или TLS-шлюза на стороне банка. Ростелеком проводит тематические исследования мобильных приложений на iOS и Android, сертификация не предполагается. Мобильное приложение осуществляет защиту только каналов связи.

В случае использования типового решения по ИБ от Ростелекома - нельзя. Возможно при проведении работ по встраиванию HSM и последующими тематическими исследованиями банком самостоятельно.

Да, возможно.