вторник, 16 октября 2018 г.

Защита каналов связи в ЕБС

Единая биометрическая система — это цифровая платформа для удаленной биометрической идентификации, которая позволяет предоставлять новые коммерческие и государственные услуги. Система создана по инициативе Центрального банка Российской Федерации и Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. «Ростелеком» – разработчик и оператор Единой биометрической системы.

С 30 июня 2018 года, зарегистрировавшись в системе и сдав биометрические образцы, граждане России смогут дистанционно открывать счета и брать кредиты в российских банках, работающих по системе удаленного обслуживания. Рассматривается добавление со временем дистанционной аутентификации и в других сферах: дистанционное обучение, телемедицина и т.д.

Применение удаленной идентификации клиентов в финансовой сфере регламентировано Федеральным законом №482-ФЗ от 31 декабря 2017 г., который вносит изменения в Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

В соответствии с Постановлением Правительства №335 от 28.03.2018 «Об определении федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных» регулятором является Министерство связи и массовых коммуникаций Российской Федерации.

Рассмотрим нормативные документы, в которых предъявляются требования к защите каналов связи в различных сегментах ЕБС:

Приказ Минкомсвязи России №321 от 25.06.2018 (внимание на сайте Минкомсязи неактуальная версия),
         
Указание Банка России №4859-У/01/01/782-18,

Приказ ФСБ России №378,

Регламент использования Единой биометрической системы (v 1.7),
Регламент постоянно дорабатывается, актуальная версия и другие документы доступны на сайте ЕБС.

В Указании Банка России перечислены сегменты системы, к каждому из них добавлена ссылка на пункт приказа №378 ФСБ РФ о защите ПДн. Для наглядности я составил таблицу с их соотношением.













В регламенте использования ЕБС это отражено в виде схемы:












Теперь немного о реализации.

Устройство клиента (физическое лицо)

Ростелеком разрабатывает мобильное приложение для верификации банками клиентов и дистанционного предоставления им услуг. Исходя из требований, продукт должен содержать криптографию и иметь сертификат ФСБ России на соответствие требованиям к СКЗИ по классу КС1. По предварительной информации это будет ViPNet TLS Gateway. Но сертификация занимает достаточно длительное время, особенно для мобильных платформ. Таким образом, либо приложение будет использовать «старое» сертифицированное СКЗИ, либо последнюю, но несертифицированную версию. Также возникает проблема с размещением программ в Google Play и App Store, ведь речь идет о довольно сложном вопросе экспорта СКЗИ

Между структурными подразделениями банка и иной организации

Большинство финансовых организаций уже используют сертифицированные криптошлюзы. Но зачастую они более низкого уровня сертификации – КС1, а требуется КС2 совместно со средством защиты от НСД, сертифицированным минимум по 4 классу, или КС3. В данной ситуации банкам придется пересмотреть типовой комплект оборудования для филиалов и дополнительных офисов – либо модернизировать существующее оборудование, либо приобрести новое.

Помимо этого, исходя из п. 5 Приложения 3 приказа Минкомсвязи России №321, необходимо использовать СЗИ, которые соответствуют второму уровню защиты информации (усиленный), установленному требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017, о котором я писал ранее. Например, МЭ и СОВ должны быть сертифицированы по 5 классу.

В п.9.2 Приложения 1 к тому же приказу говорится о необходимости ежегодной оценки соответствия ИС требованиям по защите. В связи с этим рекомендуется выделить сервисы ЕБС банка в отдельный изолированный сегмент.

Между банком (или иной организацией) и сервисами ЕБС (Ростелеком)

Для реализации данного пункта предусмотрено два варианта:

Использование существующего канала до СМЭВ. Услуга уже давно оказывается Ростелекомом, доступ к СМЭВ есть у большинства банков и реализован на криптошлюзах С-Терра, Инфотекс и Код Безопасности, сертифицированных ФСБ России по классу КС3. Этот вариант не несет дополнительных затрат для банков и будет наиболее популярным.

Отдельный канал, аналогичный подключению к СМЭВ. При желании банк может приобрести у Ростелекома отдельную услугу по подключению к ЕБС, она тоже реализуется на криптошлюзах, сертифицированных по КС3.

В регламенте также указана необходимость использования усиленной квалифицированной подписи у ФГБУ НИИ «Восход» и HSM, сертифицированных по классу КВ2.

Между сервисами ЕБС и ЕСИА

Должны использоваться криптошлюзы, сертифицированные по классу КВ2. Раз система запущена, значит, защита канала уже реализована. Более подробная информация в публичном доступе отсутствует.  

Резюме

Для клиентов ожидаем реализацию мобильного приложения Ростелекома с отечественной криптографией и публикацию его в магазинах приложений. Особенно интересна позиция Google и Apple - может появиться прецедент публикации СКЗИ в онлайн магазинах. Ранее в одном из проектов Сбербанка приложение было размещено в Google Play без криптографии, а потом СКЗИ скачивалось с отдельного сервера.

Для многих банков настало время модернизации системы защиты каналов связи или организации отдельных защищенных каналов для ЕБС. Судя по информации в блоге Валерия Естехина, срок для реализации защиты во всех отделениях - до 31.12.2019.

Каналы связи между банками и СМЭВ уже построены и теперь будут использоваться, в том числе, для сервисов ЕБС.

Заметка обновлена 18.10.2018 - изменена ссылка на Приказ №321, а также пункты про ГОСТ Р 57580.1-2017 и оценку соответствия ИС требованиям по защите.

Комментариев нет:

Отправить комментарий