Единая биометрическая система|Часто задаваемые вопросы

Многие будут пытаться обмануть биометрические алгоритмы. Насколько они надежны? Как быть уверенными в том, что кто-то не идентифицируется по биометрии другого человека?

Биометрические алгоритмы обмануть намного сложнее, чем человека. Сегодня мошенник может прийти в банк и открыть счет по сворованному паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10^-7. Это значит, что она пропустит только 1 человека на 10 млн. При том, что мы используем дополнительную связку с логином и паролем от Госуслуг – это становится практически невозможным. Мошеннику гораздо проще и дешевле прийти в банк и выдать себя за другого человека операционисту.

Если кто-то взломает систему, то он получит все персональные данные о гражданине, включая фотографию и голос?

Безопасность данных в Единой биометрической системе – один из ключевых вопросов ее создания, которому уделяется особое внимание. «Ростелеком» является одним из лидеров на рынке кибербезопасности, и Единая биометрическая система соответствует всем требованиям информационной безопасности системы федерального уровня. Для обеспечения информационной безопасности биометрических данных пользователей системы реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных - Ф.И.О., паспортные данные, СНИЛС и др., включенных в базы ЕСИА (портал Госуслуг).

А если кто-то взломает систему по аналогии со взломом биометрической идентификации в iPhone?

Любые, даже самые продвинутые биометрические алгоритмы на основе нейросетей, имеют свои недостатки. Именно поэтому было принято решение о разработке биометрической платформы, которая работает не с каким-то одним алгоритмом, а с множеством, реализуя мультивендорный подход. Взлом даже одного такого алгоритма – сложный и дорогостоящий процесс, злоумышленнику придется изучить десятки алгоритмов, которые постоянно меняются.

Как система будет распознавать мошеннические операции?

Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос.

В результате обработки определяется степень схожести с биометрическим контрольным шаблоном в процентах. Этот ответ направляется в банк и на его основе банк принимает решение об открытии счета. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если один или несколько из них не идентифицировал гражданина, то в работу включается так называемых «модуль аномалий», который анализирует причины расхождений и в случае обнаружения мошеннических действий направляет соответствующее уведомление в банк.

Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.

Если система ошиблась и приняла человека за другого, а банк выдал кредит: кто несет ответственность?

Единая биометрическая система имеет точность распознавания выше 99,99%. Учитывая необходимость предварительной проверки по логину и паролю от Госуслуг, система определяет человека гораздо точнее, чем другие существующие методы.

Но при этом биометрия – не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человек с его шаблоном.

Помимо биометрии, банк использует процедуры скоринга, KYC и др., принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на банк.

Обязательно ли использование HSM для обеспечения требований по информационной безопасности?

Да, данное требование обусловлено требованиями ФСБ России по использованию СКЗИ –Приказ ФСБ России №378 от 10.07.2014 для обеспечения защиты от перечня актуальных угроз, опубликованных в Указании Банка России №4859-У. Требование использования СКЗИ HSM класса КВ2 обусловлено угрозой нарушения целостности передаваемых в приложение данных при регистрации и верификации. Также вы можете воспользоваться облачным типовым решением по информационной безопасностиёъ оператора Единой биометрической системы (ОТИБ), в котором нет необходимости установки HSM на стороне организации, однако он установлен в защищенном ЦОД оператора Единой биометрической системы. Для приобретения пишите на sale@bio.rt.ru.

Какие есть пути встраивания HSM?

Вы можете самостоятельно закупить сертифицированный по классу КВ2 HSM, произвести его встраивание и сертификацию на корректность встраивания СКЗИ, проведя тематические исследования. Либо вы можете приобрести типовое решение по информационной безопасности оператора Единой биометрической системы, в состав которого будут входить HSM и программный API для взаимодействия с ним. Данное решение не потребует дополнительного сертификата на встраивание.
Также вы можете воспользоваться облачным типовым решением по информационной безопасности оператора Единой биометрической системы (ОТИБ), которое не подразумевает необходимость установки HSM на стороне организации. Для подключения пишите на sale@bio.rt.ru.

Для каких процессов используется HSM и требуется контроль корректности встраивания данного СКЗИ?

Проведение тематических исследований требуется для всех криптографических операций, использующих HSM класса КВ2. К ним относятся подписание биометрических образцов при регистрации, взаимодействие с ЕСИА и Единой биометрической системой с использованием OpenID Connect, проверки результатов соответствия при удаленной верификации.

Какие сертификаты должны использоваться HSM? Где их можно получить?

Нужен сертификат усиленной квалифицированной электронной подписи выданный на кредитную организацию в ИС ГУЦ, расположенном в ФГБУ «НИИ Восход». Получение ключа можно делегировать с помощью доверенности, подробности можно уточнить в Минкомсвязи России.

Где физически должен быть расположен HSM?

HSM должен располагаться в пределах контролируемой зоны банка. При использовании облачного типового решения по информационной безопасности оператора Единой биометрической системы, HSM располагается в пределах контролируемой зоны оператора Единой биометрической системы.

Нужно ли организовывать выделенный защищенный канал до СМЭВ при использовании облачного типового решения по ИБ оператора Единой биометрической системы?

Нет, не нужно. Все взаимодействие происходит через защищенную отечественными криптографическими средствами соответствующего класса сеть оператора Единой биометрической системы.

Можно ли использовать существующий HSM?

Да, можно. Оборудование должно быть сертифицировано по классу КВ2 и выделено для целей подписания только биометрических данных.

В каких случаях нужно проводить аттестацию рабочих мест оператора и сбора биометрии?

Аттестация обязательна для новых и не аттестованных ранее рабочих мест в соответствии с №152-ФЗ от 27.07.2006 и Приказу ФСТЭК №21 от 18.02.2013.

Нужно ли проводить аттестацию физических и виртуальных серверов, обрабатывающих биометрические шаблоны, используя решение АРМ Биометрия от Ростелекома?

Требование является рекомендательным.

Обязательно ли использовать двухфакторную аутентификацию для защиты рабочих мест оператора и сбора биомтерии?

Да, обязательно, в соответствии с Приказом Минкомсвязи №321 от 25.06.2018. Выбор этапа аутентификации (на ОС или приложение) остается за организацией.

Какие требования выполняются оборудованием КС3 и КВ2?

КС3 защищает данные, передаваемые по сети – защита конфиденциальности. По КС3 надо защитить каналы между отделением и головным офисом, а также между головным офисом и СМЭВ. Чтобы обеспечить контроль целостности при сборе биометрии и передаче авторизационных токенов в рамках удаленной идентификации, необходимо использовать оборудование класса КВ2.

Подойдет ли существующий канал со СМЭВ или нужен отдельный канал?

Если у вас уже есть взаимодействие со СМЭВ и защищенный канал, то вы можете переиспользовать это оборудование для подключения к Единой биометрической системе.

Планируется ли выпуск еще какой-либо нормативной документации, касающейся ИБ при работе с Единой биометрической системой?

Вся необходимая нормативная документация уже выпущена. Могут появиться рекомендации по встраиванию и реализации существующих требований.

Нужно ли ставить СКЗИ на рабочие места сбора биометрических данных?

Если вы используете программную защиту каналов связи класса КС2, то на каждом рабочем месте оператора ставится средства защиты информации от несанкционированного доступа класса КС2, антивирус, а также модуль доверенной загрузки. Ставить СКЗИ на рабочие места сбора биометрии не нужно, если используется программно-аппаратный модуль построения канала связи класса КС3.

В случае использования виртуализации для размещения серверной части какие требования возникают?

Никаких требований к виртуализации или использованию банком аппаратных решений нет.

Нужно ли аттестовать ИСПДН, работающую с Единой биометрической системой, как ГИС?

Нет, не нужно, требований аттестовывать ИСПДн как ГИС нет.

Какие TLS-шлюзы КС3 можно использовать?

В типовом решении от Ростелекома будет использован NGate от “КриптоПро”. В облачном решение используются АПКШ «Континент» для подключения к криптографической сети провайдера облачного решения и также NGate для защиты канала связи с пользователем. В облачном решение используются АПКШ «Континент» для подключения к криптографической сети провайдера облачного решения и также NGate для защиты канала связи с пользователем.

Предоставляется ли облачный сервис с включенным в него HSM?

Запуск в эксплуатацию облачного типового решения по информационной безопасности оператора Единой биометрической системы выполнен в октябре 2020. Системный проект на облачное типовое решение по информационной безопасности для работы с Единой биометрической системой согласован с ФСБ России. Соответствующее письмо № 149/7/6-470 было направлено в компанию 3 октября 2019 года. Облачное решение по информационной безопасности оператора Единой биометрической системы предоставляет организациям возможность осуществлять полноценную регистрацию биометрии и удаленную идентификацию клиентов. Решение поставляется компаниями «Код Безопасности» и «Инфосекьюрити». Подробнее вы можете ознакомиться в разделе bio.rt.ru/security/. Для подключения пишите на sale@bio.rt.ru.

Чем АРМ оператора отличается от АРМ сбора биометрии?

АРМ оператора находится в отделении банка, за ним работает оператор, который взаимодействует с клиентом. А АРМ сбора биометрии собирает эти данные с АРМ операторов и отправляет их в СМЭВ.

Можно ли использовать программные СКЗИ КС3 на рабочих станциях операторов?

Да, можно, но посмотрите на документацию СКЗИ, где указываются дополнительные меры защиты для рабочей станции.

Как обеспечивать целостность биометрических данных до HSM?

Это делается на стороне АРМ регистрации биометрии, он должен обеспечить защиту данных до подписи в центральном офисе. Этот вопрос к разработчикам АРМ биометрии, который установлен в вашем банке.

Возможно ли гео-резервирование решения?

При использовании типового или облачного решения по информационной безопасности «оператора Единой биометрической системы возможно гео-резервирование в различных исполнениях.

Какое взаимодействие обеспечивает шлюз КС3 в рамках состава комплексного решения?

При использовании TLS-шлюза КС3 в рамках типового решения на стороне АРМ отделений и АРМ операторов можно поставить программное обеспечение, которое будет работать с этим TLS-шлюзом. Так можно сэкономить на размещении крипто-шлюза, который работает с отделениями.

Возможна ли интеграция решения Ростелекома (HSM + СПО, защита сети и пр.) с решением другого вендора по снятию и передачи БПДн?

Да, возможна. Наше решение будет представлять необходимые интерфейсы для взаимодействия с другими АРМ биометрии. Мы не ограничиваем использование других средств сбора.

Если между головным офисом и филиалом установлен VPN-канал от провайдера уровня L2, то можно отказаться от требования к КС-3?

Нет, нельзя. В перечне угроз прописано использование КС3 (http://www.garant.ru/products/ipo/prime/doc/71908502/). Если ваш провайдер может предоставить документы о том, что его VPN-канал защищается соответствующими средствами защиты, то можно.

Тематическое исследование по КС3 нужно осуществлять?

Нет, тематические исследования - это анализ кода при работе с HSM класса КС2.

Кто будет осуществлять встраивание вашего ПАК в программное решение банка по сбору биометрии?

Встраивание осуществляется либо самим банком, либо интегратором вместе с разработчиком программного решения по сбору биометрии.

Требуется ли СМЭВ для верификации?

Нет, не требуется. Взаимодействие с точки зрения верификации идет между четырьмя точками: организацией, ЕСИА, Единой биометрической системой и браузером или мобильным приложением пользователя. СМЭВ при таком взаимодействии не используется.

Возможно ли для обеспечения КС3 между местом оператора и сервером использовать ГОСТ TLS, построенный на SPR3.0 исполнение клиент? Т.е. прикладное шифрование, а не сетевое.

Если TLS на базе КС3, то можно, это не принципиально - TLS использовать или VPN. Главное, чтобы было выполнено требование по защите устройств с двух сторон.

Тематические исследования необходимо провести в отношении сети банка или всей архитектуры в целом?

Тематические исследования проводятся только в отношении кода, который взаимодействует с HSM.

Возможно ли получить УКЭП в «Восходе» до покупки HSM?

Нет, это технически невозможно, так как запрос на получение ключа формируется на вашем HSM, который будет развернут в вашем банке.

TLS-шлюз обязателен?

Да, обязателен при необходимости предоставления удаленной идентификации.

Какой подписью операторы сбора биометрических данных должны подписывать образцы при использовании облачного типового решения по информационной безопасности оператора Единой биометрической системы?

Согласно методическим рекомендациям по нейтрализации угроз при работе с биометрией № 4-МР от 14.02.2019, для подписания образцов используется усиленная квалифицированная электронная подпись класса КС2 при наличии дополнительных средств защиты, либо КС3 в иных случаях на местах операторов, КВ2 подпись используется для обеспечения целостности передаваемых в Единую биометрическую систему образцов.

Должны ли операторы сбора биометрических данных подписывать образцы квалифицированной электронной подписью?

Да, должны, так как это обеспечит целостность передаваемых биометрических образцов при использовании подписи организации и персональную ответственность оператора при использовании его квалифицированной электронной подписи.

Как обеспечить КС3 на мобильных устройствах?

Оператор Единой биометрической системы разработал мобильное приложение, с которым интегрируется банк для удаленной идентификации. Поэтому банку не нужно проводить тематические исследования мобильного приложения банка или TLS-шлюза на своей стороне. Мобильное приложение осуществляет защиту каналов связи.

Какое оборудование и ПО устанавливается на стороне организации при использовании ОТИБ?

На стороне организации устанавливается серверное оборудование, специальное программное обеспечение и СКЗИ АПКШ «Континент» класса КС3.

HSM можно будет использовать для иных целей кроме Единой биометрической системы? Не снизит ли это класс СКЗИ?

В случае использования типового решения по ИБ от Ростелекома — нельзя. Возможно при проведении работ по встраиванию HSM и последующими тематическими исследованиями банком самостоятельно.

Возможно-ли взаимодействие АРМ сбора биометрии с головным офисом посредством сменных носителей (т.е. оффлайн - без каналов связи)?

Да, возможно.

Как система будет распознавать мошеннические операции?

Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос.

В результате обработки определяется степень схожести с биометрическим контрольным шаблоном в процентах. Этот ответ направляется в банк и на его основе банк принимает решение об открытии счета. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если один или несколько из них не идентифицировал гражданина, то в работу включается так называемый «модуль аномалий», который анализирует причины расхождений и в случае обнаружения мошеннических действий направляет соответствующее уведомление в банк.

Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.

Помощь

Зарегистрируйтесь

Помощь

Зарегистрируйтесь

Запрос отправлен

Форма обратной связи

Откройте сайт в другом браузере