El Banco Central publicó recomendaciones sobre la protección criptográfica de EBS

EBS. Abajo a la derecha: escáner de huellas digitales

Los bancos rusos están en plena marcha conectados al Sistema Biométrico Unificado (EBS) y comienzan a recopilar datos biométricos de sus clientes. La información se almacena en una única base de datos centralizada administrada por Rostelecom. Por ejemplo, Sberbank informó recientemente que recopiló datos biométricos en el 20% de sus sucursales .

Aunque el proceso de recopilación, procesamiento y transmisión de datos biométricos en el EBS se ha regulado durante mucho tiempo, el Banco Central publicó pautas sobre cómo proteger esta información solo el 14 de febrero de 2019.

El Banco Central recomienda que los bancos brinden protección de la información a los bancos con la ayuda de herramientas de protección de la información criptográfica que cumplan con el Reglamento PCZ-2005 , aprobado por orden del FSB. Esta disposición regula en detalle el desarrollo y la producción de herramientas de protección de información criptográfica (herramientas de protección de información criptográfica), que incluyen:

• herramientas de encriptación;
  
• medios de protección de imitación;
  
• medios de firma digital electrónica;
  
• herramientas de codificación;
  
• medios para producir documentos clave;
  
• documentos clave

Además, el Banco Central describe medidas de seguridad de la información en el proceso de recopilación de datos personales biométricos y en el proceso de transmitirlos a Rostelecom en el EBS, así como los requisitos para la notificación obligatoria de incidentes.

En particular, para garantizar la seguridad de la información en el proceso de recopilación de información, se recomienda utilizar sistemas de protección de información criptográfica de clase no inferior a KB, incluidos los medios de firma electrónica de una clase no inferior a KB2.

Los bancos pueden trabajar con cualquier solución: su propia producción, soluciones estándar o en la nube. Para cada uno de ellos se escriben recomendaciones. Por ejemplo, si usa su propia solución, se recomienda proporcionar:

• obtener un certificado calificado de una clave para verificar la firma electrónica de un banco creada por un centro de certificación acreditado por el Ministerio de Comunicaciones de Rusia (Instituto de Investigación del FSBI "Voskhod") utilizando un centro de certificación de una clase no inferior a KV2;
  
• incrustar el módulo de hardware y software de protección criptográfica (HSM), certificado como un sistema de protección de información criptográfica con una clase no inferior a KV (medio de firma electrónica de una clase no inferior a KV2), en el subsistema para procesar datos personales biométricos de individuos de acuerdo con los requisitos establecidos en la documentación operativa para el software módulo de hardware de protección criptográfica (HSM), interno, con la licencia correspondiente del FSB de Rusia, o por organizaciones de terceros que tengan la licencia correspondiente del FSB de Rusia;
  
• Creación y uso de un entorno confiable para el funcionamiento de un sistema de información que interactúa (llamadas de formularios) con un módulo de protección criptográfica de software y hardware (HSM) certificado no inferior a HF en el proceso de firma de mensajes electrónicos que contienen datos personales biométricos de individuos, UKEP implementado por clase de protección de información criptográfica no inferior a KB (mediante firma electrónica de una clase no inferior a KB2).

A su vez, el entorno de confianza debería:

• trabajar en un sistema operativo adecuado (que cumpla con los requisitos del FSB en la clase AK3) o los requisitos de la Comisión Técnica del Estado para la tercera clase de seguridad y el segundo nivel de control);
  
• aplicar firewalls certificados por el FSTEC de Rusia para cumplir con los requisitos para dispositivos tales como un firewall de al menos 3a clase de seguridad, utilizando SZI de VVK destinado a usarse en servidores de sistemas de información (tipo "B") y certificado por FSTEC de Rusia para cumplir con los requisitos productos antivirus de no menos de la segunda clase de seguridad;
  
• aplicar protección contra ataques informáticos certificados por la FSTEC de Rusia para cumplir con los requisitos de software, software, hardware o hardware, como un "sistema de detección de intrusiones" de al menos tercera clase de seguridad;
  
• para aplicar en el sistema de información que interactúa (llamadas de formularios) con el módulo de hardware y software de protección criptográfica (HSM), módulos de hardware y software de tarjetas de expansión de nivel de arranque confiables certificadas por el FSTEC de Rusia para cumplir con los requisitos para módulos de hardware y software de carga confiable de computadora en clase 2 protección
  
• use software de aplicación que haya sido probado por la ausencia de capacidades no declaradas y que corresponda al 4to nivel de control por la ausencia de características no declaradas o certificadas en el sistema de certificación de la FSTEC de Rusia para el cumplimiento de los requisitos de seguridad de la información, incluidos los requisitos para el análisis de vulnerabilidades y el control de la ausencia de características no declaradas, o para el cual se realizó un análisis Las vulnerabilidades de acuerdo con los requisitos para el nivel estimado de confianza no son inferiores a OUD 4.

Se puede crear un entorno de confianza utilizando un adaptador especializado que proporciona interacción de información y tecnología entre la infraestructura de información del banco y el módulo de hardware y software de protección criptográfica (HSM) y que corresponde a la descripción anterior, lo permite el Banco Central.

Probablemente, ahora los ciudadanos pueden estar tranquilos de que sus datos biométricos en el sistema EBS estén protegidos de manera confiable.