По требованиям регулятора, банки должны защищать ИТ-инфраструктуру и каналы связи при сборе биометрических данных (БДн) населения и удаленной идентификации клиентов в мобильном и онлайн-банкинге. Опубликованные в феврале 2018 года методические рекомендации для банков по обеспечению информационной безопасности при работе с Единой биометрической системой не накладывают принципиально новых требований на банки. Каковы все-таки ключевые рекомендации регулятора и как их реализовать на практике?
- Введение
- Первичный сбор биометрических данных
- Удаленная идентификация с помощью биометрических данных
- Общие требования по ИБ
- Защита конечных станций и прикладного программного обеспечения
- Криптографическая защита
- Логирование и мониторинг ИБ
- Выводы
Введение
14 февраля Банк России выпустил методические рекомендации 4-МР для кредитных организаций по обеспечению информационной безопасности при работе с Единой биометрической системой (ЕБС), получившие на прошедшем Уральском банковском форуме прозвище «валентинка» из-за даты выхода. Документ разъясняет, как банки должны защищать ИТ-инфраструктуру и каналы связи при сборе биометрических данных (БДн) населения и удаленной идентификации клиентов в системах дистанционного обслуживания — мобильном и онлайн-банкинге. Оба эти процесса разделены на технологические участки, для каждого из которых определены меры защиты от киберугроз. В этой статье мы разберем ключевые рекомендации регулятора и поделимся видением их практической реализации.
Первичный сбор биометрических данных
Процесс первичного сбора биометрических данных включает четыре технологических участка: сбор изображений лиц и записей голосов граждан в филиальной сети банка, передача цифровых образов в главный офис кредитной организации, их обработка в банковском ЦОДе и последующая передача в ЕБС через Систему межведомственного электронного взаимодействия (СМЭВ).
Рисунок 1. Технологические участки первичного сбора биометрических персональных данных
Прежде всего, банки должны уделить внимание технологическим участкам сбора и обработки биометрических данных — этих этапов касается основная часть методических рекомендаций регулятора. Так, технологический участок обработки, на котором происходит удостоверение, контроль целостности и подтверждение подлинности биометрических данных, необходимо защищать с помощью криптографических средств класса КВ. Такой класс решений, к примеру, используется для защиты гостайны. Банки могут самостоятельно встроить специальный HSM-модуль в криптографическое ядро ИТ-инфраструктуры, а также воспользоваться «типовым» коробочным или облачным решением. В первом случае кредитным организациям придется подтвердить корректность интеграции сертификацией в спецлаборатории, а на само решение получить положительное заключение ФСБ. Поскольку это достаточно сложный процесс, мы ожидаем, что большинство кредитных организаций будут пользоваться «типовыми» решениями.
На момент написания статьи собственное решение разрабатывает «Тинькофф Банк», Ростелеком защитил проект типового решения в ФСБ (ряд компаний пытается сделать то же). Облачные решения появятся, видимо, чуть позже. Над ними трудятся, например, ЦФТ и тот же Ростелеком.
Конкретная реализация требований к ИБ при первичном сборе БДн во многом будет зависеть от пути распространения данных по инфраструктуре банка: именно он определяет, какие элементы ИТ-ландшафта нужно защищать. Рассмотрим выполнение рекомендаций регулятора на примере. В качестве средства защиты технологического участка обработки будем использовать «типовое решение» как наиболее простое. На рисунке 2видно, что данные с автоматизированного рабочего места (АРМ) операциониста передаются в подписанном виде по защищенному каналу связи на участок обработки, откуда впоследствии поступают по VPN-туннелям через СМЭВ в ЕБС.
Рисунок 2. Защита технологических участков первичного сбора БДн
Важный нюанс: сами по себе цифровые образы не хранятся в инфраструктуре банка. Однако вся прочая технологическая информация может передаваться и храниться в банковских системах: логи, сведения о результатах аутентификации и т. д.
Удаленная идентификация с помощью биометрических данных
Процесс удаленной идентификации содержит три технологических участка (см. рисунок 3).
Рисунок 3. Технологические участки удаленной идентификации
Эти технологические участки отвечают соответственно за:
- взаимодействие клиента кредитной организации с банковским мобильным приложением или другим средством ДБО;
- взаимодействие средства ДБО с ЕСИА (Единой системой идентификации и аутентификации на базе системы Госуслуги) и опосредованно с ЕБС для проверки результатов идентификации;
- взаимодействие банка с ЕБС и ЕСИА через СМЭВ для получения результатов удаленной идентификации.
При удаленной идентификации биометрические данные граждан не передаются через инфраструктуру банка. Это значительно упрощает задачу кредитной организации по обеспечению ИБ за счет сокращения объема защищаемой инфраструктуры. На рисунке 4 представлена схема удаленной идентификации клиентов банка.
Рисунок 4. Удаленная идентификация клиентов банков с помощью БДн
Отдельный блок рекомендаций регулятора касается защиты мобильного приложения, с помощью которого клиенты банка будут проходить удаленную идентификацию. Для этих целей кредитная организация может разработать собственное приложение или использовать готовое решение, например, «Ключ» от Ростелекома. При самостоятельной реализации банк должен в соответствии с требованиями Методических рекомендаций ЦБ РФ, помимо прочего, провести анализ приложения на наличие уязвимостей и недекларированных возможностей (НДВ) либо проанализировать разработку в соответствии с ОУД4 — оценочным уровнем доверия 4 (ГОСТ Р 15408-3-2013).
Общие требования по ИБ
Основные рекомендации к защите инфраструктуры банка при работе с ЕБС — это соблюдение ГОСТ Р 57580.1-2017, содержащего более 300 различных требований к ИБ финансовых операций, размещение АРМ сбора БДн и центрального компонента технологического участка обработки в выделенных сетевых сегментах вычислительных сетей, а также использование сертифицированных СЗИ.
На рисунке 5 общие требования по ИБ для технологических участков сбора и обработки собраны в одну таблицу.
Рисунок 5. Общие требования по ИБ
Рекомендации по обеспечению ИБ технологических участков передачи заключаются в использовании криптографических средств защиты каналов связи и подписании передаваемых данных, а также в использовании сертифицированных межсетевых экранов и средств обнаружения вторжений.
Для защиты АРМ сбора возможно использовать программные клиенты со встроенным межсетевым экраном или же выделять сетевой сегмент на уровень филиала кредитной организации.
Защита конечных станций и прикладного программного обеспечения
В документе также оговариваются требования к защите конечных станций — точек сбора и серверов, используемых на технологическом участке обработки. Так, регулятор рекомендует (напрямую в МР-4 и ссылаясь на ГОСТ) использовать сертифицированный антивирус, второй фактор аутентификации, средства защиты от НСД и в ряде случаев аппаратный модуль доверенной загрузки (АМДЗ), а также систему защиты от утечек данных (DLP) и сканер уязвимостей. У большинства российских банков такие решения уже есть, и здесь вопрос стоит, скорее, в их масштабировании на новые участки.
Рисунок 6. Защита конечных станций и прикладного программного обеспечения
Криптографическая защита
Средства криптографической защиты рекомендуется использовать как для обеспечения информационной безопасности каналов связи, так и для средств электронной подписи, поскольку каждый образец биометрических данных и дополнительные данные, например, сведения об операторе, осуществлявшем сбор БДн, должны быть подписаны.
Согласно документу, требования криптографической защиты распространяются и на устройства клиентов банков. Мобильные телефоны и компьютеры пользователей рекомендуется защищать с помощью СКЗИ класса КС1. В то же время важно учитывать, что п. 21. ст. 14.1 149-ФЗ «Об информации, информационных технологиях и о защите информации» разрешает отказаться от использования СКЗИ на персональных компьютерах при согласии пользователей принять возможные риски. Это значительно упрощает банкам внедрение средств защиты при работе с ЕБС.
Еще один момент, на который хотелось бы обратить внимание, — защита канала передачи данных до филиалов банка. На первый взгляд, в реализации этой задачи нет ничего сложного, ведь в большинстве банков СКЗИ уже установлены. Тем не менее в отдельных случаях может потребоваться повышение класса СКЗИ. Даже если для этого будет достаточно перепрошить существующие СКЗИ, это означает необходимость доставки ПАК к производителю. Таким образом, если банк располагает крупной филиальной сетью, этот процесс может оказаться небыстрым.
Рисунок 7. Криптографическая защита
Логирование и мониторинг ИБ
Мониторинг ИБ составляет значительную часть методических рекомендаций Центробанка, что, по нашему мнению, очень важно. В частности, потому, что большинство утечек и нарушений ИБ связано с человеческим фактором. Согласно документу, рекомендуется осуществлять логирование не только технических данных от прикладного программного обеспечения и средств защиты, событий взаимодействия с ЕСИА и ЕБС и событий проверки результатов идентификации, но и каждого действия сотрудников банка.
Выполнить эти требования организационными мерами и расширенным логированием вряд ли получится — документ ссылается на банковский ГОСТ, который, хоть и не предписывает напрямую использовать SIEM-систему, но предъявляет требования, которые без нее закрыть достаточно непросто. Кроме того, в методических рекомендациях сказано, что кредитные организации должны сообщать об инцидентах ИБ в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT ЦБ РФ) в течение 1 рабочего дня.
Рисунок 8. Логирование и мониторинг ИБ при работе с ЕБС
Выводы
В целом, методические рекомендации Центробанка по обеспечению информационной безопасности при работе с ЕБС не накладывают принципиально новых требований на банки. Мы условно разбили документ на 66 блоков требований. Большая часть из них встречалась ранее в других нормативно-правовых актах. Так, 22 блока требований можно найти в ГОСТ Р 57580.1-2017, еще 20 — в Стандарте Банка России по обеспечению информационной безопасности организаций банковской системы РФ (СТО БР ИББС). Помимо этого, 19 блоков требований встречаются в Положении Банка России от 9 июня 2012 г. № 382-П, 8 блоков приходятся на ФЗ-152 «О персональных данных» и его подзаконные акты.
Уникальные требования в основном сконцентрированы в части самостоятельной реализации технологического участка обработки. Однако если банки будут использовать «типовое» коробочное или облачное решение, то эти новшества их не коснутся.
На практике внедрение подсистем ИБ для условного банка с филиальной сетью, насчитывающей около 200 отделений, может занять, по нашему опыту, от трех месяцев до полугода. В эти сроки входит обследование инфраструктуры кредитной организации, проектирование и внедрение решения, подготовка организационно-распорядительной документации (ОРД) и построение процессов. В приведенных оценках учтена возможность задержки поставок того или иного оборудования и другие накладки в ходе проекта.
В дальнейшем банкам предстоит два вида регулярных работ: ежегодный внешний аудит (требование приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 25.06.2018 г. № 321, должен выполняться лицензиатом ФСТЭК России) и ежегодное тестирование на проникновение (требование ГОСТ Р 57580.1-2017, также выполняет лицензиат ФСТЭК России).