Технологии банков для защиты биометрических данных не соответствуют требованиям ФСБ
Сейчас нет необходимого рынку отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты - на уровне гостайны - определен приказом ФСБ №378, пишет "КоммерсантЪ" со ссылкой на первого заместителя главы департамента информационной безопасности ЦБ Артема Сычева.
Банкиры подтверждают, что выполнить требования ФСБ не могут: чтобы шифровать направляемые в единую биометрическую систему собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ. Ключи класса КВ выпускает только ФГБУ НИИ "Восход", а порядок выдачи ключей утвердили лишь в середине октября. Как сообщили в "Ростелекоме", "Восход" обладает нужным количеством ключей. Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ. Но без методики получить заключение ФСБ нереально. По данным "Ростелекома", внедрение HSM идет в 26 банках, но нигде не закончено.
ЦБ готов предложить банкам несколько вариантов решений по информационной безопасности при сборе биометрии. Как пояснил Сычев, в настоящее время есть стандартизированное решение, которое отвечает требованиям информационной безопасности для подключения к ЕБС. Банк России совместно с ФСБ также проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований. По словам Сычева, вариант облачного и типового решения по подключению банков к ЕБС является дополнительным и разрабатывается в целях снижения издержек банков. Выполнить требования по информационной безопасности банки должны к концу 2019 года.
Но по словам собеседников издания в банках, уже работающих по стандартному решению, шифрования по классу КВ нет. Типовое решение "Ростелекома", по которому коммерческое предложение было направлено банкам, еще не сертифицировано. Облачное решение и вовсе находится на стадии проработки.
Банки готовы выполнить требования ФСБ, когда появится хоть одно полноценное решение. Впрочем, санкции от силовиков участникам рынка не грозят - согласовывать все вопросы с ФСБ придется регулятору, иначе сбор данных просто остановится, отмечают эксперты.
