ЦБ ужесточил требования к безопасности биометрических данных

Спустя месяц с запуска Единой биометрической системы (ЕБС, позволяет получать банковские услуги дистанционно), Центробанк издал важный для ее работы документ. Регулятор опубликовал перечень угроз информационной безопасности при работе с биометрическими данными, на основе которого, как следует из ответа пресс-службы ЦБ, банки должны будут выбирать средства криптографической защиты информации.

ЕБС позволяет удаленно открывать счета, брать кредиты или делать переводы в любом банке. Для этого сначала нужно сдать свои биометрические данные в систему – слепок голоса и изображение лица, а также иметь учетную запись на портале госуслуг. Биометрию можно сдать в отделении банка, работающего с ЕБС.

Примерный перечень угроз был опубликован в феврале, когда банки только готовились работать с системой. Утвержденная Минюстом версия (согласованная с ФСБ и Федеральной службой по техническому и экспортному контролю) отличается от первоначальной. Новые требования к безопасности жестче, и ЦБ даже пришлось дать банкам отсрочку для их выполнения.

Угрозы при работе с ЕБС, согласно документу, состоят в нарушении целостности, доступности и конфиденциальности биометрической информации. По новым требованиям каждый банк должен установить по два программно-аппаратных криптографических модуля (hardware security module, HSM), следует из ответа ЦБ. С помощью HSM банк проверяет и подписывает в ЕБС собранные биометрические данные.

Также банки должны обеспечить защиту внутренних каналов передачи информации, говорит представитель ЦБ. Сотрудник одного из банков объясняет, что в основном речь идет о каналах связи, по которым данные передаются из отделений, где собирается биометрия, в информационные системы банка.

Из-за сложности работы, которую предстоит проделать банкам, регулятор решил дать им отсрочку до 31 декабря 2019 г., говорит представитель ЦБ.

Оператор ЕБС - «Ростелеком» - заявил, что соответствует требованиям указания.

Системы Альфа-банка частично соответствуют новым требованиям, указывает главный операционный директор Мария Шевченко. По ее словам, сейчас банк внедряет дополнительные средства криптографической защиты, затраты составят около 7 млн руб.

Росбанк усилил защиту каналов перед запуском ЕБС, а новые требования банк будет выполнять к установленному сроку, рассказывает замдиректора по операционной деятельности Марина Фролова. Почта-банк установит дополнительное криптографическое оборудование в центрах обработки данных, говорит директор по управлению рисками Святослав Емельянов.

Сейчас биометрию можно сдать в 300 отделениях 16 банков, рассказывала 3 августа управляющий директор ассоциации «Финтех» Татьяна Жаркова, ее слова приводит журнал «Плас». А удаленно получить услуги с помощью ЕБС можно в двух банках: Почта-банке и «Хоум кредите», они выдали примерно 300 продуктов. С июля около 1000 россиян сдали свои данные в ЕБС, сказала Жаркова.