EBS. En bas à droite - Scanner d'empreintes digitalesLes banques russes sont en pleine connexion avec le
système biométrique unifié (EBS) et commencent à collecter les données biométriques de leurs clients. Les informations sont stockées dans une seule base de données centralisée gérée par Rostelecom. Par exemple, Sberbank a récemment déclaré avoir collecté des données biométriques
dans 20% de ses succursales .
Bien que le processus de collecte, de traitement et de transmission des données biométriques à l'EBS soit réglementé depuis longtemps, la Banque centrale n'a publié des
directives sur la
façon de protéger ces informations que le 14 février 2019.
La Banque centrale recommande que les banques assurent la protection des informations aux banques à l'aide d'outils de protection des informations cryptographiques conformes au
règlement PCZ-2005 , approuvé par arrêté du FSB. Cette disposition réglemente en détail le développement et la production d'outils de protection des informations cryptographiques (outils de protection des informations cryptographiques), qui comprennent:
- outils de chiffrement;
- moyens de protection contre les imitations;
- moyens de signature numérique électronique;
- outils d'encodage;
- moyens de produire des documents clés;
- documents clés.
En outre, la Banque centrale décrit les mesures de sécurité des informations en cours de collecte de données personnelles biométriques et en cours de transmission à Rostelecom dans l'EBS, ainsi que les exigences de déclaration obligatoire des incidents.
En particulier, pour assurer la sécurité de l'information dans le processus de collecte d'informations, il est recommandé d'utiliser des systèmes de protection des informations cryptographiques d'une classe non inférieure à KB, y compris des moyens de signature électronique d'une classe non inférieure à KB2.
Les banques peuvent travailler avec toutes les solutions - leur propre production, des solutions standard ou le cloud. Pour chacun d'eux, des recommandations sont écrites. Par exemple, si vous utilisez votre propre solution, il est recommandé de fournir:
- obtenir un certificat qualifié d'une clé pour vérifier la signature électronique d'une banque créée par un centre de certification accrédité par le ministère des Communications de la Russie (FSBI Research Institute "Voskhod") en utilisant un centre de certification d'une classe non inférieure à KV2;
- l'intégration du module logiciel et matériel de protection cryptographique (HSM), certifié en tant que système de protection des informations cryptographiques avec une classe non inférieure à KV (moyen de signature électronique d'une classe non inférieure à KV2), dans le sous-système de traitement des données personnelles biométriques des individus conformément aux exigences énoncées dans la documentation opérationnelle du logiciel module matériel de protection cryptographique (HSM), en interne, avec la licence appropriée du FSB de Russie, ou par des organisations tierces qui ont la licence correspondante du FSB de Russie;
- création et utilisation d'un environnement de confiance pour le fonctionnement d'un système d'information qui interagit (forme des appels) avec un module de protection cryptographique (HSM) logiciel et matériel certifié au moins HF dans le processus de signature de messages électroniques contenant des données personnelles biométriques des individus, UKEP mis en œuvre par la classe de protection des informations cryptographiques pas inférieur à KB (au moyen de la signature électronique d'une classe non inférieure à KB2).
À son tour, l'environnement de confiance devrait:
- travailler sur un OS approprié (qui répond aux exigences du FSB en classe AK3) ou aux exigences de la Commission Technique d'Etat pour la 3e classe de sécurité et le 2e niveau de contrôle);
- appliquer des pare-feu certifiés par le FSTEC de Russie pour la conformité aux exigences pour les appareils tels qu'un pare-feu d'au moins 3ème classe de sécurité, en utilisant SZI de VVK destiné à être utilisé sur les serveurs de systèmes d'information (type "B") et certifié par le FSTEC de Russie pour la conformité aux exigences produits antivirus d'au moins la 2e classe de sécurité;
- appliquer une protection contre les attaques informatiques certifiées par le FSTEC de Russie pour la conformité aux exigences relatives aux logiciels, logiciels, matériels ou matériels tels qu'un «système de détection d'intrusion» d'au moins 3ème classe de sécurité;
- à appliquer dans le système d'information qui interagit (passe des appels) avec le module matériel et logiciel de protection cryptographique (HSM), les modules matériels et logiciels de cartes d'extension de niveau de démarrage de confiance certifiées par le FSTEC de Russie pour la conformité aux exigences pour les modules matériels et logiciels de chargement sécurisé par ordinateur en classe 2 protection;
- utiliser un logiciel d'application qui a été testé pour l'absence de capacités non déclarées et correspond au 4ème niveau de contrôle pour l'absence de fonctionnalités non déclarées ou certifié dans le système de certification du FSTEC de Russie pour la conformité aux exigences de sécurité de l'information, y compris les exigences pour l'analyse des vulnérabilités et le contrôle de l'absence de fonctionnalités non déclarées, ou pour lesquelles une analyse a été effectuée les vulnérabilités selon les exigences du niveau de confiance estimé ne sont pas inférieures à OUD 4.
Un environnement de confiance peut être créé à l'aide d'un adaptateur spécialisé qui fournit des informations et une interaction technologique entre les objets d'infrastructure d'information de la banque et le module de protection cryptographique logiciel et matériel (HSM) et correspondant à la description ci-dessus, la Banque centrale le permet.
Probablement, maintenant les citoyens peuvent être tranquilles que leurs données biométriques dans le système EBS sont protégées de manière fiable.