Geekly articles weekly

Die Zentralbank veröffentlichte Empfehlungen zum kryptografischen Schutz von EBS


EBS. Unten rechts - Fingerabdruckscanner

Russische Banken sind in vollem Gange und mit dem Unified Biometric System (EBS) verbunden. Sie beginnen, biometrische Daten von ihren Kunden zu sammeln. Informationen werden in einer einzigen zentralen Datenbank gespeichert, die von Rostelecom verwaltet wird. Beispielsweise hat die Sberbank kürzlich berichtet, dass sie in 20% ihrer Filialen biometrische Daten gesammelt hat.

Obwohl der Prozess der Erfassung, Verarbeitung und Übermittlung biometrischer Daten an die EBS seit langem geregelt ist, hat die Zentralbank erst am 14. Februar 2019 Richtlinien zum Schutz dieser Informationen veröffentlicht.

Die Zentralbank empfiehlt den Banken, Banken mit Hilfe von Tools zum Schutz kryptografischer Informationen, die der auf Anordnung des FSB genehmigten Verordnung PCZ-2005 entsprechen , einen Informationsschutz zu bieten. Diese Bestimmung regelt detailliert die Entwicklung und Produktion von Tools zum Schutz kryptografischer Informationen (Tools zum Schutz kryptografischer Informationen), zu denen gehören:

  • Verschlüsselungswerkzeuge;
  • Mittel zum Schutz der Nachahmung;
  • Mittel zur elektronischen digitalen Signatur;
  • Codierungswerkzeuge;
  • Mittel zur Erstellung von Schlüsseldokumenten;
  • Schlüsseldokumente.

Darüber hinaus beschreibt die Zentralbank Informationssicherheitsmaßnahmen bei der Erhebung biometrischer personenbezogener Daten und bei deren Übermittlung an Rostelecom in der EBS sowie die Anforderungen für die obligatorische Meldung von Vorfällen.

Insbesondere um die Informationssicherheit beim Sammeln von Informationen zu gewährleisten, wird empfohlen, kryptografische Informationsschutzsysteme der Klasse nicht niedriger als KB zu verwenden, einschließlich der elektronischen Signatur einer Klasse nicht niedriger als KB2.

Banken können mit allen Lösungen arbeiten - mit ihrer eigenen Produktion, Standardlösungen oder der Cloud. Für jeden von ihnen werden Empfehlungen geschrieben. Wenn Sie beispielsweise Ihre eigene Lösung verwenden, wird Folgendes empfohlen:

  • Erhalt eines qualifizierten Zertifikats eines Schlüssels zur Überprüfung der elektronischen Signatur einer Bank, das von einem vom russischen Kommunikationsministerium (FSBI-Forschungsinstitut „Voskhod“) akkreditierten Zertifizierungszentrum unter Verwendung eines Zertifizierungszentrums einer Klasse von mindestens KV2 erstellt wurde;
  • Einbettung des kryptografischen Schutzsoftware- und Hardwaremoduls (HSM), das als kryptografisches Informationsschutzsystem mit einer Klasse von nicht weniger als KV (elektronische Signatur einer Klasse von nicht weniger als KV2) zertifiziert ist, in das Subsystem zur Verarbeitung biometrischer personenbezogener Daten von Personen gemäß den Anforderungen in der Betriebsdokumentation für Software Hardware-Modul für kryptografischen Schutz (HSM), intern, mit der entsprechenden Lizenz des FSB von Russland oder von Drittorganisationen, die über die entsprechende Lizenz des FSB von Russland verfügen;
  • Erstellung und Verwendung einer vertrauenswürdigen Umgebung für das Funktionieren eines Informationssystems, das mit einem Software- und Hardware-Kryptografieschutzmodul (HSM) interagiert (Anrufe tätigt), das mindestens HF-zertifiziert ist, um elektronische Nachrichten mit biometrischen personenbezogenen Daten von Personen zu signieren. UKEP wird von der kryptografischen Informationsschutzklasse implementiert nicht niedriger als KB (mittels elektronischer Signatur einer Klasse nicht niedriger als KB2).

Die vertrauenswürdige Umgebung sollte wiederum:

  • Arbeit an einem geeigneten Betriebssystem (das die Anforderungen des FSB in Klasse AK3 erfüllt) oder den Anforderungen der staatlichen technischen Kommission für die 3. Sicherheitsklasse und die 2. Kontrollebene);
  • Wenden Sie Firewalls an, die von der FSTEC Russlands für die Einhaltung der Anforderungen für Geräte wie eine Firewall der 3. Sicherheitsklasse zertifiziert sind. Verwenden Sie dazu SZI von VVK, das für die Verwendung auf Servern von Informationssystemen (Typ „B“) vorgesehen ist, und zertifizieren Sie die FSTEC Russlands für die Einhaltung der Anforderungen Antivirenprodukte der 2. Sicherheitsklasse;
  • Schutz vor Computerangriffen, die von der FSTEC Russlands zertifiziert wurden, um die Anforderungen an Software, Software, Hardware oder Hardware zu erfüllen, z. B. ein „Intrusion Detection System“ der 3. Sicherheitsklasse;
  • gelten in dem Informationssystem, das mit dem Hardware- und Softwaremodul für kryptografischen Schutz (HSM), den Hardware- und Softwaremodulen vertrauenswürdiger Erweiterungskarten auf Boot-Ebene, die von der FSTEC von Russland zertifiziert wurden, für die Einhaltung der Anforderungen an Hardware- und Softwaremodule für das vertrauenswürdige Laden von Computern in Klasse 2 interagiert (Formulare für Anrufe) Schutz;
  • Verwenden Sie Anwendungssoftware, die auf das Fehlen nicht deklarierter Funktionen getestet wurde und der 4. Kontrollebene für das Fehlen nicht deklarierter Merkmale entspricht oder im Zertifizierungssystem der FSTEC von Russland für die Einhaltung der Anforderungen an die Informationssicherheit zertifiziert ist, einschließlich Anforderungen für die Analyse von Schwachstellen und die Kontrolle des Fehlens nicht deklarierter Merkmale, oder für die eine Analyse durchgeführt wurde Schwachstellen gemäß den Anforderungen für das geschätzte Vertrauensniveau sind nicht niedriger als OUD 4.

Eine vertrauenswürdige Umgebung kann mithilfe eines speziellen Adapters erstellt werden, der die Informations- und Technologieinteraktion zwischen der Informationsinfrastruktur der Bank und dem Hardware-Software-Modul für kryptografischen Schutz (HSM) ermöglicht und der obigen Beschreibung entspricht, wie die Zentralbank zulässt.

Wahrscheinlich können die Bürger jetzt ruhig sein, dass ihre biometrischen Daten im EBS-System zuverlässig geschützt sind.

Source: https://habr.com/ru/post/de440670/

More articles:


All Articles