Помощь
Биометрические алгоритмы обмануть намного сложнее, чем человека. Сегодня мошенник может прийти в банк и открыть счет по сворованному паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10-7. Это значит, что она пропустит только 1 человека на 10 млн. При том, что мы используем дополнительную связку с логином и паролем от Госуслуг – это становится практически невозможным. Мошеннику гораздо проще и дешевле прийти в банк и выдать себя за другого человека операционисту.
Безопасность данных в Единой биометрической системе – один из ключевых вопросов ее создания, которому уделяется особое внимание. «Ростелеком» является одним из лидеров на рынке кибербезопасности, и Единая биометрическая система соответствует всем требованиям информационной безопасности системы федерального уровня. Для обеспечения информационной безопасности биометрических данных пользователей системы реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных - Ф.И.О., паспортные данные, СНИЛС и др., включенных в базы ЕСИА (портал Госуслуг).
Любые, даже самые продвинутые биометрические алгоритмы на основе нейросетей, имеют свои недостатки. Именно поэтому было принято решение о разработке биометрической платформы, которая работает не с каким-то одним алгоритмом, а с множеством, реализуя мультивендорный подход. Взлом даже одного такого алгоритма – сложный и дорогостоящий процесс, злоумышленнику придется изучить десятки алгоритмов, которые постоянно меняются.
Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос.
В результате обработки определяется степень схожести с биометрическим контрольным шаблоном в процентах. Этот ответ направляется в банк и на его основе банк принимает решение об открытии счета. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если один или несколько из них не идентифицировал гражданина, то в работу включается так называемых «модуль аномалий», который анализирует причины расхождений и в случае обнаружения мошеннических действий направляет соответствующее уведомление в банк.
Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.
Единая биометрическая система имеет точность распознавания выше 99,99%. Учитывая необходимость предварительной проверки по логину и паролю от Госуслуг, система определяет человека гораздо точнее, чем другие существующие методы.
Но при этом биометрия – не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человек с его шаблоном.
Помимо биометрии, банк использует процедуры скоринга, KYC и др., принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на банк.
Да, данное требование обусловлено требованиями ФСБ России по использованию СКЗИ –Приказ ФСБ России №378 от 10.07.2014 для обеспечения защиты от перечня актуальных угроз, опубликованных в Указании Банка России №4859-У. Требование использования СКЗИ HSM класса КВ2 обусловлено угрозой нарушения целостности передаваемых в приложение данных при регистрации и верификации. Также вы можете воспользоваться облачным типовым решением по информационной безопасностиёъ оператора Единой биометрической системы (ОТИБ), в котором нет необходимости установки HSM на стороне организации, однако он установлен в защищенном ЦОД оператора Единой биометрической системы. Для приобретения пишите на sale@bio.rt.ru.
Вы можете самостоятельно закупить сертифицированный по классу КВ2 HSM, произвести его встраивание и сертификацию на корректность встраивания СКЗИ, проведя тематические исследования. Либо вы можете приобрести типовое решение по информационной безопасности оператора Единой биометрической системы, в состав которого будут входить HSM и программный API для взаимодействия с ним. Данное решение не потребует дополнительного сертификата на встраивание.
Также вы можете воспользоваться облачным типовым решением по информационной безопасности оператора Единой биометрической системы (ОТИБ), которое не подразумевает необходимость установки HSM на стороне организации. Для подключения пишите на sale@bio.rt.ru.
Проведение тематических исследований требуется для всех криптографических операций, использующих HSM класса КВ2. К ним относятся подписание биометрических образцов при регистрации, взаимодействие с ЕСИА и Единой биометрической системой с использованием OpenID Connect, проверки результатов соответствия при удаленной верификации.
Нужен сертификат усиленной квалифицированной электронной подписи выданный на кредитную организацию в ИС ГУЦ, расположенном в ФГБУ «НИИ Восход». Получение ключа можно делегировать с помощью доверенности, подробности можно уточнить в Минкомсвязи России.
HSM должен располагаться в пределах контролируемой зоны банка. При использовании облачного типового решения по информационной безопасности оператора Единой биометрической системы, HSM располагается в пределах контролируемой зоны оператора Единой биометрической системы.
Нет, не нужно. Все взаимодействие происходит через защищенную отечественными криптографическими средствами соответствующего класса сеть оператора Единой биометрической системы.
Да, можно. Оборудование должно быть сертифицировано по классу КВ2 и выделено для целей подписания только биометрических данных.
Аттестация обязательна для новых и не аттестованных ранее рабочих мест в соответствии с №152-ФЗ от 27.07.2006 и Приказу ФСТЭК №21 от 18.02.2013.
Требование является рекомендательным.
Да, обязательно, в соответствии с Приказом Минкомсвязи №321 от 25.06.2018. Выбор этапа аутентификации (на ОС или приложение) остается за организацией.
КС3 защищает данные, передаваемые по сети – защита конфиденциальности. По КС3 надо защитить каналы между отделением и головным офисом, а также между головным офисом и СМЭВ. Чтобы обеспечить контроль целостности при сборе биометрии и передаче авторизационных токенов в рамках удаленной идентификации, необходимо использовать оборудование класса КВ2.
Если у вас уже есть взаимодействие со СМЭВ и защищенный канал, то вы можете переиспользовать это оборудование для подключения к Единой биометрической системе.
Вся необходимая нормативная документация уже выпущена. Могут появиться рекомендации по встраиванию и реализации существующих требований.
Если вы используете программную защиту каналов связи класса КС2, то на каждом рабочем месте оператора ставится средства защиты информации от несанкционированного доступа класса КС2, антивирус, а также модуль доверенной загрузки. Ставить СКЗИ на рабочие места сбора биометрии не нужно, если используется программно-аппаратный модуль построения канала связи класса КС3.
Никаких требований к виртуализации или использованию банком аппаратных решений нет.
Нет, не нужно, требований аттестовывать ИСПДн как ГИС нет.
В типовом решении от Ростелекома будет использован NGate от “КриптоПро”. В облачном решение используются АПКШ «Континент» для подключения к криптографической сети провайдера облачного решения и также NGate для защиты канала связи с пользователем. В облачном решение используются АПКШ «Континент» для подключения к криптографической сети провайдера облачного решения и также NGate для защиты канала связи с пользователем.
Запуск в эксплуатацию облачного типового решения по информационной безопасности оператора Единой биометрической системы выполнен в октябре 2020. Системный проект на облачное типовое решение по информационной безопасности для работы с Единой биометрической системой согласован с ФСБ России. Соответствующее письмо № 149/7/6-470 было направлено в компанию 3 октября 2019 года. Облачное решение по информационной безопасности оператора Единой биометрической системы предоставляет организациям возможность осуществлять полноценную регистрацию биометрии и удаленную идентификацию клиентов. Решение поставляется компаниями «Код Безопасности» и «Инфосекьюрити». Подробнее вы можете ознакомиться в разделе bio.rt.ru/security/. Для подключения пишите на sale@bio.rt.ru.
АРМ оператора находится в отделении банка, за ним работает оператор, который взаимодействует с клиентом. А АРМ сбора биометрии собирает эти данные с АРМ операторов и отправляет их в СМЭВ.
Да, можно, но посмотрите на документацию СКЗИ, где указываются дополнительные меры защиты для рабочей станции.
Это делается на стороне АРМ регистрации биометрии, он должен обеспечить защиту данных до подписи в центральном офисе. Этот вопрос к разработчикам АРМ биометрии, который установлен в вашем банке.
При использовании типового или облачного решения по информационной безопасности «оператора Единой биометрической системы возможно гео-резервирование в различных исполнениях.
При использовании TLS-шлюза КС3 в рамках типового решения на стороне АРМ отделений и АРМ операторов можно поставить программное обеспечение, которое будет работать с этим TLS-шлюзом. Так можно сэкономить на размещении крипто-шлюза, который работает с отделениями.
Да, возможна. Наше решение будет представлять необходимые интерфейсы для взаимодействия с другими АРМ биометрии. Мы не ограничиваем использование других средств сбора.
Нет, нельзя. В перечне угроз прописано использование КС3 (http://www.garant.ru/products/ipo/prime/doc/71908502/). Если ваш провайдер может предоставить документы о том, что его VPN-канал защищается соответствующими средствами защиты, то можно.
Нет, тематические исследования - это анализ кода при работе с HSM класса КС2.
Встраивание осуществляется либо самим банком, либо интегратором вместе с разработчиком программного решения по сбору биометрии.
Нет, не требуется. Взаимодействие с точки зрения верификации идет между четырьмя точками: организацией, ЕСИА, Единой биометрической системой и браузером или мобильным приложением пользователя. СМЭВ при таком взаимодействии не используется.
Если TLS на базе КС3, то можно, это не принципиально - TLS использовать или VPN. Главное, чтобы было выполнено требование по защите устройств с двух сторон.
Тематические исследования проводятся только в отношении кода, который взаимодействует с HSM.
Нет, это технически невозможно, так как запрос на получение ключа формируется на вашем HSM, который будет развернут в вашем банке.
Да, обязателен при необходимости предоставления удаленной идентификации.
Согласно методическим рекомендациям по нейтрализации угроз при работе с биометрией № 4-МР от 14.02.2019, для подписания образцов используется усиленная квалифицированная электронная подпись класса КС2 при наличии дополнительных средств защиты, либо КС3 в иных случаях на местах операторов, КВ2 подпись используется для обеспечения целостности передаваемых в Единую биометрическую систему образцов.
Да, должны, так как это обеспечит целостность передаваемых биометрических образцов при использовании подписи организации и персональную ответственность оператора при использовании его квалифицированной электронной подписи.
Оператор Единой биометрической системы разработал мобильное приложение, с которым интегрируется банк для удаленной идентификации. Поэтому банку не нужно проводить тематические исследования мобильного приложения банка или TLS-шлюза на своей стороне. Мобильное приложение осуществляет защиту каналов связи.
На стороне организации устанавливается серверное оборудование, специальное программное обеспечение и СКЗИ АПКШ «Континент» класса КС3.
В случае использования типового решения по ИБ от Ростелекома — нельзя. Возможно при проведении работ по встраиванию HSM и последующими тематическими исследованиями банком самостоятельно.
Да, возможно.
Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос.
В результате обработки определяется степень схожести с биометрическим контрольным шаблоном в процентах. Этот ответ направляется в банк и на его основе банк принимает решение об открытии счета. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если один или несколько из них не идентифицировал гражданина, то в работу включается так называемый «модуль аномалий», который анализирует причины расхождений и в случае обнаружения мошеннических действий направляет соответствующее уведомление в банк.
Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.
Зарегистрируйтесь
Пройдите быструю регистрацию
и получите доступ к возможностям личного кабинета