Создание унифицированной платформы безопасности для работы с биометрическими данными финансовых организаций и удостоверяющих центров.

Заказчик
ПАО Ростелеком
Руководитель проекта со стороны заказчика
ИТ-поставщик
АО РТ Лабс
Год завершения проекта
2020
Сроки выполнения проекта
Апрель, 2019 - Сентябрь, 2020
Масштаб проекта
10000 человеко-часов
Цели

Создать универсальное решение по информационной безопасности, которое позволит кредитным организациям и удостоверяющим центрам выполнить требования по информационной безопасности, не размещая средства защиты на своей территории, и снизить тем самым затраты и время на организацию защищенной работы с биометрическими данными в 5-10 раз.


Уникальность проекта

В соответствии с требованиями регуляторов, для обеспечения информационной безопасности при работе с Единой биометрической системой (ЕБС) и обработке биометрических данных необходимо использовать средства защиты информации класса защищенности не ниже КВ (используется при защите государственной тайны).
Ранее организации вынуждены были разрабатывать решения самостоятельно и размещать оборудование на своей территории. Этот процесс был долговременным, дорогостоящим и трудоемким.

Облачное типовое решение ПАО «Ростелеком» (далее ОТИБ) стало первым решением, позволяющим использовать для подписания и отправки биометрических образцов в ЕБС облачный сервис. Оборудование с использованием средств защиты класса КВ размещено в защищенном ЦОДе «Ростелекома» и предоставляется в виде сервиса.
Использованное ПО

Для обеспечения работы сервиса используются отечественные программные и аппаратные средства: операционная система Астра Линукс 1.6 «Смоленск», критпомаршрутизаторы «Континент», средства криптографической защиты информации КриптоПро.

Программное обеспечение сервиса разработано АО «РТ Лабс» с использованием методологий безопасной разработки средств защиты информации. Оно реализует функции проверки и подписания образцов для обеспечения их целостности. ПО соответствует всем требованиям согласованного перед разработкой с ФСБ России системного проекта.

Сложность реализации

При интеграции с ЕБС организациям необходимо выполнить требования к обеспечению информационной безопасности, установленные Указанием Банка России от 09.06.3028 № 4859-У/01/01/782-18 «О перечне угроз безопасности...».

Для создания облачного программного решения, которое бы полностью удовлетворяло данным требованиям, необходимо было реализовать многопользовательскую информационную систему, в который бы выполнялись требования защищенности по уровню защиты государственной тайны.

Кроме того, согласования должны были проводиться на каждом этапе разработки, а по итогам реализации проекта необходимо было с помощью тематических исследований подтвердить, что созданная информационная система соответствует требованиям написанного ранее системного проекта, а также не содержит ошибок, уязвимостей и правильно эксплуатирует все необходимые средства защиты информации.

Описание проекта

Облачное типовое решение по информационной безопасности разработано для того, чтобы банки и удостоверяющие центры могли выполнить требования регуляторов к безопасности передаваемых биометрических данных, не размещая при этом оборудование на своей территории. Защита передаваемых данных обеспечивается с помощью инфраструктуры средств защиты информации класса не ниже КВ, размещенных в защищенных центрах обработки данных «Ростелекома».

Для подключения к ОТИБ была создана защищенная криптографическая сеть уровня защищенности КС3, которая основана на базе отечественного криптографического оборудования и отвечает требованиям ФСБ России по обеспечению конфиденциальности передаваемых биометрических и персональных данных граждан.

Решение проектировалось таким образом, чтобы его можно было переиспользовать для взаимодействия с другими государственными сервисами, реализованными в рамках инфраструктуры электронного правительства.

В дальнейшем ОТИБ может применяться везде, где используется Единая биометрическая система, а также там, где нужна безопасная обработка и передача персональных данных: при идентификации заявителя без паспорта (в банке или МФЦ), при верификации рискованных финансовых операций при дистанционном банковском обслуживании, получении электронных SIM-карт, а также в электронном нотариате, транспорте, покупках товаров по биометрии.

География проекта

К сервису будут подключены участники, планирующие реализовывать использование ресурсов Единой биометрической системы для оказания услуг в удаленных каналах. На данный момент более десяти банков уже начали подключение к ОТИБ и около 70 банков планируют подключиться до конца 2020 года. Процедуру подключения к ОТИБ также начали ведущие коммерческие удостоверяющие центры.

Созданное решение будет применяться организациями по всей стране. Решение может использоваться в сфере транспорта, здравоохранения, образования и других отраслях, где может потребоваться подтверждение личности гражданина.

Коментарии: 3
  • Алексей Лукацкий
    Рейтинг: 120
    Сisco
    Независимый эксперт
    11.12.2020 11:41

    Я более чем уверен, что были выполнены все нормативные требования ФСБ и Банка России по защите биометрических персональных данных, однако не совсем понятно, почему не были упомянуты требования ФСТЭК России, а именно приказа №21, которые гораздо шире, чем требования ФСБ, больше подходят для защиты ПДн, и не ограничиваются отечественной ОС и средствами криптографической защиты информации. Тем более, что требования Банка России применимы только к финансовым организациям, а описанный проект имеет более широкое применение - в МФЦ, в нотариате, при работе с операторами связи и т.п. Второй, не менее важный вопрос, каким образом данная система защита от такой угрозы как Deep Fake, которая не учитывается Банком России в своих нормативных актах и также не учитывается в описываемом проекте, перекладывая данную ответственность на банки.

  • Дмитрий Улыбин
    Рейтинг: 56
    ПАО Ростелеком
    Директор проекта
    24.12.2020 14:44

    Добрый день, Алексей!

    Система спроектирована в соответствии с требованиями 21 приказа ФСТЭК России согласно требованиям к информационным системам 3 уровня защищенности ИСПДн. В данный момент идут работы по сертификации программного обеспечения по требованиям нормативных документов ФСТЭК России. Соответственно, данные исследования подтвердят выполнение всех требований положений документов данного регулятора.
    Облачное решение по информационной безопасности является только средством защищенного взаимодействия с Единой биометрической системой. В его функции не входит выполнение биометрической идентификации и аутентификации. Вопросы борьбы с DeepFake относятся к самой Единой биометрической Системе в которой успешно решаются.

  • Максим Часовиков
    Рейтинг: 1020
    МГУ имени М.В.Ломоносова, Центр цифровой экономики
    Заместитель руководителя службы управления проектами
    06.01.2021 03:52

    Инетерсное решение, которое будет сопособтвовать переходу на безбумажный документоборот и принятие юридическизначимых решений гражданином без непосредственного присутвия. Хотелось бы что бы быстрее были бы отменены бумажные документы, подтверждающие личнсть граданина.

Год
Предметная область
Отрасль
Управление