ЦБ РФ выпустил рекомендации по информационной безопасности при работе с биометрией
Пресс-служба Банка России сообщает о разработанных методических рекомендациях по нейтрализации угроз при работе с Единой биометрической системой (ЕБС). В частности, регулятор устанавливает правила, позволяющие минимизировать риски при сборе, обработке и использовании биометрии.
Документ содержит 19 страниц методических рекомендаций, которые основаны на описании актуальных угроз, определенных в Указании Банка России от 09.07.2018 № 4859-У.
В частности, банкам рекомендуется:
- использовать средства защиты информации современных классов, сертифицированные ФСТЭК России,
- исключить хранение биометрических данных на автоматизированном рабочем месте, предназначенном для сбора и обработки биометрии, после завершения регистрации данных в ЕБС,
- обеспечить регистрацию доступа уполномоченных сотрудников к объектам системы сбора биометрии, регистрацию передачи электронных сообщений с биометрическими данными между структурными подразделениями банка и прочее.
Регулятор рекомендует осуществлять контроль целостности и подтверждение подлинности данных электронных сообщений при их передаче в ЕБС через систему межведомственного электронного взаимодействия (СМЭВ). А подписание производить усиленной квалифицированной электронной подписью (УКЭП*) банка, реализуемых средствами криптографической защиты информации (СКЗИ) не ниже КВ (средствами ЭП не ниже КВ2). Осуществлять подобные действия допускается одним из 3 способов:
- используя собственное решение,
- используя типовое решение,
- используя решение поставщика услуг (облачного решения), в случае если подобное решение существует.
Справочно:
* УКЭП подтверждается сертификатом от аккредитованного удостоверяющего центра и во всех случаях приравнивается к бумажному документу с «живой» подписью.
Банкам, выбравшим первый вариант, рекомендуется:
- получить квалифицированный сертификат ключа проверки электронной подписи (КСКПЭП) банка в ФГБУ НИИ «Восход» с применением средств удостоверяющего центра (УЦ) класса не ниже КВ2,
- встроить программно-аппаратный модуль криптографической защиты (HSM), сертифицированный в качестве СКЗИ по классу не ниже КВ (средства ЭП по классу не ниже КВ2) в подсистему обработки биометрии собственными силами или при помощи сторонних компаний при наличии соответствующей лицензии ФСБ,
- создать и использовать доверенную среду функционирования информационной системы (ИС), которая обеспечивается за счет операционной системы (ОС), соответствующей требованиям руководящих документов либо ФСБ России (по классу АК3), применения средств защиты от компьютерных атак, сертифицированных ФСТЭК («система обнаружения вторжений» не менее 3 класса защищенности) и т. п.
Документ также предусматривает рекомендации в случае применения типового решения, а отдельная глава рекомендаций посвящена обеспечению информационной безопасности (ИБ) в процессе обработки запросов физлиц и их персональных данных.
При работе ЦБ РФ рекомендует банкам учитывать Методические рекомендации по работе с ЕСИА (расположены на официальном сайте Минкомсвязи) и по работе с ЕБС (можно найти на портале «bio.rt» в разделе «Бизнесу»).
Информацию о зафиксированных инцидентах, связанных с нарушениями требований к обеспечению защиты информации, Банк России ожидает получить в максимально короткие сроки, по возможности, не позднее одного рабочего дня с момента возникновения «ситуации».
Полный текст методических рекомендаций по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации от 14 февраля 2019 года под номером 4-МР доступен на официальном сайте регулятора.
Источник: Пресс-служба Банка России