С 30 июня 2018 года некоторые (единичные) банки начали собирать записи голоса и изображения лиц россиян и отправлять их в Единую биометрическую систему (ЕБС). ЕБС позволит гражданам подтверждать личность без предъявления паспорта и удаленно получать некоторые банковские услуги.
Большинство банков на текущий момент находятся пока еще в стадии разработки проекта по подключению к ЕБС и формирования бюджета.
Одним из вариантов Плана мероприятий (Дорожная карта) банка по реализации проекта подключения
к Единой биометрической системе может быть следующий:
План мероприятий (Дорожная карта) Банка по реализации проекта подключения
к Единой биометрической системе
№ п/п
|
Этап
|
Мероприятия и документы, подтверждающие их
исполнение
|
Срок реализации,
рабочие дни[1] |
финальный срок реализации
|
|||
1.
|
Организация защищённых
каналов связи
|
1.1.
Организовать защищенный канал связи между Банком и ЕБС
|
15
|
1.2.
Реализовать протокол OpenID Connect 1.0 с поддержкой ГОСТ с
использованием программных СКЗИ
|
20
|
||
1.3.
Провести тематические исследования реализации OpenID Connect 1.0 с поддержкой
ГОСТ с использованием СКЗИ класса КС1/КС2
|
40
|
||
1.4.
Реализовать протокол OpenID Connect 1.0 с поддержкой ГОСТ с
использованием HSM для обеспечения защиты с использованием СКЗИ класса КВ
|
40
|
||
1.5.
Провести тематические исследования встраивания HSM в процесс удаленной
идентификации
|
40
|
||
2.
|
Выбор
существующего/ разработка нового банковского продукта для удаленной
идентификации[2]
|
||
3.
|
Интеграция
(тестовый контур)
|
3.1.
Встроить SDK в мобильное приложение Банка
|
10
|
3.2.
Протестировать интеграцию мобильного приложения Банка в тестовом
контуре ЕБС и в тестовом контуре ЕСИА
|
5
|
||
3.3.
Доработать web-версию сайта Банка
|
7
|
||
3.4.
Встроить web-форму для сбора и передачи биометрических образцов в
web-сайт Банка
|
5
|
||
3.5.
Протестировать интеграцию web-формы с тестовым контуром ЕБС и с тестовым
контуром ЕСИА
|
5
|
||
3.6.
Обеспечить на стороне бэк-систем Банка получение результатов
верификации
|
7
|
||
4.
|
Интеграция (продуктивный контур)
|
4.1.
Подключить ИС Банка к ЕСИА с целью интеграции по методу Oauth 2.0[3]
|
10
|
4.2.
Зарегистрировать ИС Банка в ЕБС в качестве Потребителя
|
4
|
||
4.3.
Протестировать верификацию через web-сайт Банка
|
5
|
||
4.4.
Протестировать верификацию через мобильное приложение
|
5
|
||
5.
|
Отработка процесса получения банковского продукта
на сотрудниках Банка
|
5
|
|
6.
|
Подготовка необходимых инструкций для сотрудников
банка в части верификации, в том числе для Call-центра и техподдержки,
подготовка внутренних приказов/регламентов
|
5 (без учета времени на
согласование)
|
|
7.
|
Адаптация и размещение инструкции Ростелеком[4]
для граждан по прохождению верификации
|
3
|
|
8.
|
PR. Разработка формата и контента для оповещения
клиентов на сайте банка и в других каналах коммуникаций о новой услуге Банка
|
10
|
|
9.
|
Регистрация
До
31.12.2018 оборудовать не менее 20% отделений Банка для сбора биометрии.
До 30.06.2019
не менее 60%.
До
31.12.2019 – все отделения.
|
9.1.
Приобретение оборудования
|
40
|
9.2.
Организация защищённых каналов связи
|
|||
9.2.1.
Организовать защищенный канал связи до СМЭВ
|
20
|
||
9.2.2.
Организовать защищенный канал связи внутри сети Банка от АРМ оператора
в отделении до ИС Банка, в которой подписываются собранные биометрические персональные
данные перед отправкой в СМЭВ
|
>20
|
||
9.2.3.
Закупить и настроить средства криптографической защиты HSM класса КВ
|
40
|
||
9.2.4.
Получить усиленную квалифицированную подпись (УКЭП) у ФГБУ НИИ
«Восход»
|
5
|
||
9.2.5.
Обеспечить встраивание HSM в процесс сбора и регистрации
биометрических персональных данных
|
15
|
||
9.2.6.
Провести тематические исследования встраивания HSM в процесс сбора и
регистрации биометрических персональных данных
|
40
|
||
9.3.
Доставка оборудования в отделения Банка, где будет происходить
биометрическая регистрация
|
>5
|
||
9.4.
Настройка рабочих мест в отделениях Банка для проведения
биометрической регистрации
|
2 рабочих дня для 1-го
отделения
|
||
9.5.
Направление Банком документов в Минкомсвязь РФ для оценки соответствия[5]
|
5
|
||
9.6.
Аттестация по ИСПДн рабочих мест в отделениях Банка (при
необходимости)
|
от 5 до 20
|
||
10.
|
Интеграция (тестовый контур)
|
10.1.
Получить тестовую ЭП
|
3
|
10.2.
Зарегистрировать ИС Банка в тестовом контуре СМЭВ
|
8
|
||
10.3.
Получить доступ к тестовым ВС[6] ЕСИА и ВС ЕБС
|
1
|
||
10.4.
Зарегистрировать ИС в тестовом контуре ЕБС
|
4
|
||
10.5.
Провести тестирование ИС Банка в тестовом контуре ЕБС
|
10
|
||
10.6.
Внедрить интеграционное решение для сбора биометрических образцов
|
15
|
||
10.7.
Встроить Библиотеку контроля качества, размещённую на портале ЕБС
|
10
|
||
11.
|
Тарификация
до 31.12.2018
|
11.1.
Подписать договоры (или акцептовать оферту) с ПАО «Ростелеком»
|
5 (в случае оферты - 1)
|
11.2.
Прислать уставные документы Банка в ПАО «Ростелеком»
|
1
|
||
11.3.
Зарегистрироваться в личном кабинете (ЛК)
|
1
|
||
11.4.
Обеспечить обмен документами в эл. виде через ЛК
|
2
|
||
12.
|
Интеграция (продуктивный контур)
|
12.1.
Получить сертификат ЭП ИС Банка
|
0-10
|
12.2.
Зарегистрировать ИС Банка в продуктивном контуре СМЭВ
|
5
|
||
12.3.
Получить доступ к продуктивному контуру ВС ЕСИА и ВС ЕБС
|
15
|
||
12.4.
Зарегистрировать ИС в продуктивном контуре ЕБС в качестве Поставщика
|
4
|
||
12.5.
Провести тестирование ИС в продуктивном контуре ЕБС
|
3
|
||
13.
|
Отработка процесса регистрации на сотрудниках
Банка
|
5
|
|
14.
|
Обучение сотрудников Банка
|
14.1.
Провести обучение операционистов Банка, которые будут производить
биометрическую регистрацию
|
2
|
14.2.
Провести обучение сотрудников Банка, взаимодействующих с клиентами, в
части информирования граждан об использовании ЕБС для получения банковских
продуктов/услуг
|
2
|
||
14.3.
Адаптировать необходимые инструкции ПАО «Ростелеком», в том числе, для
сотрудников Call-центра, подготовить внутренние приказы/регламенты
|
3 (без учета времени на
согласование)
|
||
15.
|
PR. Разработка формата и контента для оповещения
клиентов на сайте Банка и в других каналах коммуникаций о новой услуге Банка
|
5
|
Дополнение от 12.05.2019
29.04.2019 Банк России от имени Департамента информационной безопасности разослал через личные кабинеты кредитных организаций Информационное письмо от 26.04.2019 № 56-2-4/228, в котором предлагает:
29.04.2019 Банк России от имени Департамента информационной безопасности разослал через личные кабинеты кредитных организаций Информационное письмо от 26.04.2019 № 56-2-4/228, в котором предлагает:
п.1: в срок до 17.05.2019 предоставить План мероприятий по реализации требований ИБ в ЕБС с учетом отправленной ранее информации о выбранном способе подписания;
п.2: начиная с 20.05.2019 раз в две неделе отчитываться об исполнении этого плана по форме Приложения к Письму.
Ниже представлен примерный План (Дорожная карта) по реализации требований ИБ в ЕБС (пункт 1 Письма). По пункту 2 Письма сложностей быть не должно (банки уже отправляли ранее похожую форму в Банк России).
План мероприятий
(Дорожная карта) Банка (роль Банка – поставщик услуг) по реализации требований информационной
безопасности в Единой биометрической системе (ЕБС)
№ п/п
|
Этап
(согласно Методическим рекомендациям Банка России
от 14.02.2019 № 4‑МР[*])
|
Мероприятия
|
Срок реализации
|
1.
|
Выбор
типового решения для сбора биометрических ПДн
|
1.1.
Для сбора и регистрации биометрических ПДн в ЕБС Банк использует интеграционное решение от
компании-партнера <Наименование компании-партнера>
|
Реализовано
|
1.1.1.
Внедрить интеграционное решение для сбора биометрических ПДн от компании-партнера <Наименование компании-партнера>
|
Реализовано
|
||
1.1.2.
Встроить Библиотеку контроля качества, размещённую на портале ЕБС
|
Реализовано
в решении от <Наименование компании-партнера>
|
||
1.1.3.
Обеспечить синхронизацию библиотек контроля качества в Банке с
библиотекой контроля качества (БКК), установленной в ЕБС
|
Решение от <Наименование компании-партнера> поддерживает актуальную
БКК
|
||
2.
|
Контроль
встраивания и тематические исследования
|
2.1.
Провести тематические исследования встраивания HSM в процесс сбора и
регистрации биометрических ПДн.
Банк для сбора и
регистрации биометрических ПДн в ЕБС использует интеграционное решение от
компании-партнера <Наименование
компании-партнера>. Планируется, что подтверждение ФСБ России о корректности встраивания
HSM в собственное ПО будет получено компанией-партнером - <Наименование компании-партнера>
|
-до <месяц, год> <Наименование
компании-партнера> планирует получить согласование с ФСБ России системного
проекта по типовому решению для регистрации биометрических ПДн в ЕБС
- до <месяц, год> <Наименование
компании-партнера> планирует получить подтверждение ФСБ России о
корректности встраивания по типовому решению для регистрации биометрических ПДн в ЕБС
|
3.
|
Обеспечение
требований ИБ на технологическом
участке сбора биометрических ПДн
физических лиц – клиентов Банка
|
3.1.
Провести закупку оборудования и настройку рабочих мест сбора
биометрических ПДн (АРМ оператора/АРМ администратора) в отделениях Банка для
защиты биометрических ПДн физических лиц
|
<месяц, год>
|
3.1.1.
провести закупку для оборудования рабочих мест в отделениях Банка
сертифицированными аппаратно-программными модулями доверенной загрузки;
|
<месяц, год>
|
||
3.1.2.
провести закупку для оборудования рабочих мест в отделениях Банка
средствами криптографической защиты информации;
|
<месяц, год>
|
||
3.1.3.
провести закупку для обеспечения операторов сбора биометрических ПДн в
отделениях Банка индивидуальными аппаратными идентификаторами
|
<месяц, год>
|
||
4.
|
Обеспечение требований ИБ на технологическом участке передачи
собранных биометрических ПДн физических лиц между структурными
подразделениями Банка
|
4.1.
Организовать защищенный канал связи внутри сети Банка от АРМ оператора
в отделении до централизованной системы Банка, в которой
подписываются собранные биометрические ПДн перед отправкой в СМЭВ. Для этого
требуется:
|
до <месяц, год> Банк планирует обеспечить
защиту каналов связи между отделениями Банка и централизованной системой Банка
|
4.1.1.
закупить межсетевой экран не ниже 5-го класса;
|
<месяц, год>
|
||
4.1.2.
закупить средства
защиты информации
|
<месяц, год>
|
||
5.
|
Обеспечение
требований ИБ на технологическом
участке обработки собранных биометрических ПДн физических лиц с целью
передачи в ЕБС с использованием СМЭВ
|
5.1.
Закупить и настроить модуль криптографии, для этого:
|
<месяц, год>
|
5.1.1.
закупить и настроить средства криптографической защиты HSM класса не ниже КВ (средства электронной
подписи класса не ниже КВ2);
|
Реализовано. Закуплен HSM <наименование HSM, вариант исполнения>
|
||
5.1.2.
закупить и настроить средства криптографической защиты;
|
<месяц, год>
|
||
5.1.3.
закупить оборудование для модуля криптографии (сервер под Astra Linux Special Edition);
|
<месяц, год>
|
||
5.1.4.
закупить ОС для модуля криптографии (операционная система Astra Linux Special Edition)
|
Реализовано
|
||
5.2.
Получить усиленную квалифицированную подпись (УКЭП) у ФГБУ НИИ
«Восход»
|
<месяц, год>
|
||
5.3.
Закупить и настроить систему обнаружения вторжений и межсетевой экран
3-го класса
|
<месяц, год>
|
||
6.
|
Обеспечение требований ИБ
на технологическом участке передачи биометрических персональных данных
физических лиц в ЕБС с использованием СМЭВ
|
6.1.
Подключить Банк к ЕСИА/ЕБС по защищенному каналу
|
Реализовано.
Используется уже имеющийся в Банке VipNet Coordinator. Дополнительные траты не требуются (роль Банка – поставщик услуг)
|
7.
|
Информирование Банка
России и ежегодные работы по приведению в соответствие
|
7.1.
Информировать Банк России о выявленных инцидентах в максимально
короткие сроки (по возможности, не превышающие одного рабочего дня с момента
выявления инцидента)
|
в случае инцидента
|
7.2.
Провести ежегодную оценку соответствия требований по защите информации
(321 Приказ[**])
|
ежегодно
|
||
7.3.
Провести оценку эффективности реализованных в рамках системы защиты
мер по обеспечению безопасности персональных данных (ИСПДн раз в 3 года)
|
раз в 3 года
- при необходимости
|
[*]
«Методические рекомендации по нейтрализации банками угроз безопасности,
актуальных при обработке, включая сбор и хранение, биометрических персональных
данных, их проверке и передаче информации о степени их соответствия
предоставленным биометрическим персональным данным гражданина Российской
Федерации»
[**]
Приказ
Министерства цифрового развития, связи и массовых коммуникаций Российской
Федерации от 25.06.2018 № 321 «Об утверждении порядка обработки, включая сбор и
хранение, параметров биометрических персональных данных в целях идентификации,
порядка размещения и обновления биометрических персональных данных в Единой
биометрической системе, а также требований к информационным технологиям и
техническим средствам, предназначенным для обработки биометрических
персональных данных в целях проведения идентификации» (зарегистрирован
Министерством юстиции Российской Федерации 04.07.2018 № 51532)
[1] Некоторые мероприятия могут исполняться
параллельно
[2]
Открыть счет, вклад, выпустить карту, оформить кредит и т.д.
[3] Oauth 2.0– открытый протокол
авторизации. В ЕСИА создан механизм аутентификации пользователей, основанный на
спецификациях OAuth 2.0 и расширении OpenID Connect 1.0
[4] Распоряжением
Правительства Российской Федерации от 22 февраля 2018 года №293-р функции
оператора единой биометрической системы возложены на публичное акционерное
общество междугородной и международной электрической связи «Ростелеком» (ПАО «Ростелеком»)
[5] Пункт 5 из Приказа Минкомсвязи от 25.06.2018 №321
[6] Вид сведений (ВС) - протокол передачи сведений определённого вида между информационной системой поставщика и информационной системой потребителя
[5] Пункт 5 из Приказа Минкомсвязи от 25.06.2018 №321
[6] Вид сведений (ВС) - протокол передачи сведений определённого вида между информационной системой поставщика и информационной системой потребителя
Комментариев нет:
Отправить комментарий