ЦБ признал невозможность хранения банками биометрических данных на уровне гостайны

Российский рынок криптографического оборудования не располагает оборудованием, которое позволило бы хранить собираемые банками биометрические данные граждан на уровне гостайны – по классу КВ, как того требует ФСБ. Об этом пишет «Коммерсантъ» со ссылкой на заявление замруководителя департамента информационной безопасности ЦБ Артема Сычева. Требования по информационной безопасности должны быть исполнены к концу 2019 г.

Банкиры не могут выполнить требования ФСБ из-за отсутствия методики корректного встраивания спецоборудования – HSM-модуля – в свои системы, без чего невозможно получить ключи класса КВ. «Методики корректного встраивания HSM нет… но без методики получить заключение ФСБ нереально», — отмечает собеседник издания в крупном банке. По данным «Ростелекома», внедрение HSM идет в 26 банках, однако нигде не завершено. Ключи класса КВ выпускает только ФГУП НИИ «Восход», который располагает их необходимым количеством.

Полностью готовых технических решений, отвечающих требованиям ФСБ к безопасности при сборе биометрии, сейчас нет. Существует стандартизированное решение, которое часть банков уже внедрила, но оно не предполагает шифрования по классу КВ – биометрия отправляется по шифрованному каналу, но без дополнительной защиты. По словам Сычева, ЦБ и ФСБ также проработали варианты «облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований». Типовое решение «Ростелекома» предусматривает требуемый ФСБ уровень шифрования, но пока не сертифицировано. Правда, коммерческое предложение по этому продукту несколько дней назад уже направлено банкам. Облачное решение пока и вовсе находится на стадии проработки: «Ростелеком» согласовал с ФСБ его архитектуру и дорожную карту реализации. Поставлять его на рынок смогут несколько компаний.

«ФСБ не является регулятором для кредитных организаций, ее сотрудники не могут выйти в банк с проверкой»,— говорит консультант по интернет-безопасности Cisco Алексей Лукацкий. Он отмечает, что для банков гораздо важнее позиция ЦБ, который обещает не применять к кредитным организациям карательных мер.