-
Биометрические алгоритмы обмануть намного сложнее, чем человека. Сегодня мошенник может прийти в банк и открыть счет по сворованному паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10-7. Это значит, что она пропустит только 1 человека на 10 млн. При том, что мы используем дополнительную связку с логином и паролем от Госуслуг – это становится практически невозможным. Мошеннику гораздо проще и дешевле прийти в банк и выдать себя за другого человека операционисту.
-
Безопасность данных в Единой биометрической системе – один из ключевых вопросов ее создания, которому уделяется особое внимание. «Ростелеком» является одним из лидеров на рынке кибербезопасности, и Единая биометрическая система соответствует всем требованиям информационной безопасности системы федерального уровня.
Для обеспечения информационной безопасности биометрических данных пользователей системы реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных - Ф.И.О., паспортные данные, СНИЛС и др., включенных в базы ЕСИА (портал Госуслуг).
-
Любые, даже самые продвинутые биометрические алгоритмы на основе нейросетей, имеют свои недостатки. Именно поэтому было принято решение о разработке биометрической платформы, которая работает не с каким-то одним алгоритмом, а с множеством, реализуя мультивендорный подход. Взлом даже одного такого алгоритма – сложный и дорогостоящий процесс, злоумышленнику придется изучить десятки алгоритмов, которые постоянно меняются.
-
Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос. В результате обработки определяется степень схожести с биометрическим контрольным шаблоном в процентах. Этот ответ направляется в банк и на его основе банк принимает решение об открытии счета. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если один или несколько из них не идентифицировал гражданина, то в работу включается так называемых «модуль аномалий», который анализирует причины расхождений и в случае обнаружения мошеннических действий направляет соответствующее уведомление в банк. Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.
-
Единая биометрическая система имеет точность распознавания выше 99,99%. Учитывая необходимость предварительной проверки по логину и паролю от Госуслуг, система определяет человека гораздо точнее, чем другие существующие методы. Но при этом биометрия – не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человек с его шаблоном. Помимо биометрии, банк использует процедуры скоринга, KYC и др., принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на банк.
-
-
Вы можете самостоятельно закупить сертифицированный по классу КВ2 HSM, произвести его встраивание и сертификацию на корректность встраивания СКЗИ, проведя тематические исследования.
Либо вы можете приобрести типовое решение по ИБ Ростелекома, в состав которого будут входить HSM и программный API для взаимодействия с ним. Данное решение не потребует дополнительного сертификата на встраивание. Для приобретения пишите на sale@bio.rt.ru.
-
Разработка типового решения Ростелекома по ИБ будет закончена в январе 2019. Решение будет поставляться компаниями «Код Безопасности», «Ростелеком-Solar», «Инфосекьюрити» и «Прософт».
-
Проведение тематических исследований требуется для всех криптографических оперций, использующих HSM класса КВ2. К ним относятся подписание биометрических образцов при регистрации, взаимодействие с ЕСИА и «Ключом» с использованием OpenID Connect, проверки результатов соответсвия при удаленной верификации.
-
Нужен сертификат усиленной квалифицированной электронной подписи выданный на кредитную организацию в ИС ГУЦ, расположенном в ФГБУ «НИИ Восход». Получение ключа можно делегировать с помощью доверенности, подробности можно уточнить в Минкомсвязи России.
-
HSM должен располагаться в пределах контролируемой зоны банка.
-
Да, можно. Оборудование должно быть сертифицировано по классу КВ2 и выделено для целей подписания только биометрических данных.
-
Аттестация обязательна для новых и не аттестованных ранее рабочих мест в соответсвии с №152-ФЗ от 27.07.2006 (https://www.zakonrf.info/zakon-o-personalnyh-dannyh/19/) и Приказу ФСТЭК №21 от 18.02.2013 (https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691).
-
Да, нужно.
-
Да, обязательно, в соответствии с Приказом Минкомсвязи №321 от 25.06.2018. Выбор этапа аутентификации (на ОС или приложение) остается за организацией.
-
КС3 защищает данные, передаваемые по сети – защита конфиденциальности. По КС3 надо защитить каналы между отделением и головным офисом, а также между головным офисом и СМЭВ.
Чтобы обеспечить контроль целостности при сборе биометрии и передаче авторизационных токенов в рамках удаленной идентификации, необходимо использовать оборудование класса КВ2.
-
Если у вас уже есть взаимодействие со СМЭВ и защищенный канал, то вы можете переиспользовать это оборудование для подключения к «Ключу Ростелеком».
-
Вся необходимая нормативная документация уже выпущена. Могут появиться рекомендации по встраиванию и реализации существующих требований.
-
- Подсчет контрольных сумм биометрических данных и формирование пакета данных для СМЭВ 3 с использованием УКЭП кредитной организации класса КВ2 для подписи пакета данных;
- Формирование и проверка электронной подписи для авторотационных токенов в протоколе OpenID Connect;
- Проверка результатов сравнения биометрических эталонов в процессе верификации.
-
Если вы используете программную защиту каналов связи класса КС2, то на каждом рабочем месте оператора ставится средства защиты информации от несанкционированного доступа класса КС2, антивирус, а также модуль доверенной загрузки. Ставить СКЗИ на рабочие места сбора биометрии не нужно, если используется программно-аппаратный модуль построения канала связи класса КС3.
-
Никаких требований к виртуализации или использованию банком аппаратных решений нет.
-
Нет, не нужно, требований аттестовывать ИСПДн как ГИС нет.
-
В типовом решении от Ростелекома будет использован NGate от “КриптоПро”.
-
Отправить запрос на sale@bio.rt.ru.
-
Вопрос обсуждается с регулятором.
-
АРМ оператора находится в отделении банка, за ним работает оператор, который взаимодействует с клиентом. А АРМ сбора биометрии собирает эти данные с АРМ операторов и отправляет их в СМЭВ.
-
Да, можно, но посмотрите на документацию СКЗИ, где указываются дополнительные меры защиты для рабочей станции.
-
Это делается на стороне АРМ регистрации биометрии, он должен обеспечить защиту данных до подписи в центральном офисе. Этот вопрос к разработчикам АРМ биометрии, который установлен в вашем банке.
-
При создании типового решения возможно гео-резервирование в различных исполнениях.
-
При использовании TLS-шлюза КС3 в рамках типового решения на стороне АРМ отделений и АРМ операторов можно поставить программное обеспечение, которое будет работать с этим TLS-шлюзом. Так можно сэкономить на размещении крипто-шлюза, который работает с отделениями.
-
Да, возможна. Наше решение будет представлять необходимые интерфейсы для взаимодействия с другими АРМ биометрии. Мы не ограничиваем использование других средств сбора.
-
Нет, нельзя. В перечне угроз прописано использование КС3 (http://www.garant.ru/products/ipo/prime/doc/71908502/). Если ваш провайдер может предоставить документы о том, что его VPN-канал защищается соответствующими средствами защиты, то можно.
-
Нет, тематические исследования - это анализ кода при работе с HSM класса КС2.
-
Встраивание осуществляется либо самим банком, либо интегратором вместе с разработчиком программного решения по сбору биометрии.
-
Нет, не требуется. Взаимодействие с точки зрения верификации идет между 4 точками - кредитной организацией, ЕСИА, «Ключом» и браузером или мобильным приложением пользователя, СМЭВ там не используется.
-
Если TLS на базе КС3, то можно, это не принципиально - TLS использовать или VPN. Главное, чтобы было выполнено требование по защите устройств с двух сторон.
-
Тематические исследования проводятся только в отношении кода, который взаимодействует с HSM.
-
Нет, это технически невозможно, так как запрос на получение ключа формируется на вашем HSM, который будет развернут в вашем банке.
-
Да, обязателен при необходимости предоставления удаленной идентификации.
-
Да, должны, так как это обеспечит целостность передаваемых биометрических образцов и персональную ответственность оператора.
-
Ростелеком разработал мобильное приложение, с которым интегрируется банк для удаленной идентификации. Поэтому банку не нужно проводить тематические исследования мобильного приложения банка или TLS-шлюза на стороне банка. Ростелеком проводит тематические исследования мобильных приложений на iOS и Android, сертификация не предполагается. Мобильное приложение осуществляет защиту только каналов связи.
-
В случае использования типового решения по ИБ от Ростелекома - нельзя. Возможно при проведении работ по встраиванию HSM и последующими тематическими исследованиями банком самостоятельно.
-
Да, возможно.