3 декабря, 2018, BIS Journal №4(31)/2018

Дорого и сложно, но можно и нужно


Аксаков Анатолий

председатель комитета по финансовому рынку (Государственная Дума РФ)

Особенности выполнения финансовыми организациями норм безопасности работы с биометрическими персональными данными

Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» регулирует, как организации финансовой сферы должны обеспечивать безопасность работы с биометрическими данными граждан. Для информирования участников отрасли об оптимальном решении вопросов, возникающих на этом пути, проводятся различные мероприятия. Одним из них стало совещание в ПАО «Ростелеком» ‑ официальном операторе Единой биометрической системы (ЕБС), проведённое в конце лета 2018 года.

БИОМЕТРИЯ: И УДОБСТВА, И БЕЗОПАСНОСТЬ

Интерес финансовых организаций к вопросам безопасности работы с биометрией понятен: от своевременных ответов на них зависит многое. Информационные технологии в финансовой сфере выполняют всё больше функций, помогают при помощи новых математических моделей и алгоритмов более широко оптимизировать бизнес-процессы. Но высокотехнологичному банку, применяющему цифровые технологии, приходится уделять повышенное внимание их безопасности.

Внедрение системы биометрической идентификации и аутентификации позволяет не только сокращать издержки на операционную деятельность, ускорять проведение транзакций и предоставлять клиентам новые сервисы. Есть и такой плюс, как снятие ряда информационных рисков. Например, возможностей компрометации пользовательского пароля или PIN-кода, которые злоумышленники могут подобрать или прочитать в случае неосторожной записи на видном месте.

Для финансовых организаций важно и выполнение требований информационной безопасности к работе с самими биометрическими данными. Каждой организации необходимо выстроить систему защиты информации, которая должна соответствовать как общим законодательным требованиям, так и учитывать специфику обрабатываемых биометрических персональных данных. Эти данные являются наиболее чувствительными к нарушениям режима обработки и потому подлежат усиленной защите.

Все эти вопросы требуют детальной проработки и очень аккуратной реализации. Чтобы получать «обратную связь» и давать ответы на вопросы, возникающие у финансовых организаций, проводятся различные мероприятия. Одним из них стало проведённое в конце лета 2018 года совещание ПАО «Ростелеком», который является официальным оператором Единой биометрической системы (ЕБС).

МНОГОСТОРОНЕЕ РЕГУЛИРОВАНИЕ

Одна из причин многочисленных вопросов, возникших у финансовых организаций, в том, что дистанционная биометрическая идентификация физических лиц регулируется не только ФЗ-482, который устанавливает базовый механизм. Также существуют многочисленные подзаконные требования государственных ведомств ‑ регуляторов информационной безопасности ФСБ России и ФСТЭК России. Кроме того, есть отраслевой государственный регулятор финансовой сферы ‑ Банк России, который тоже формулирует свои требования по обеспечению информационной безопасности.

Подробнее. Применение дистанционной удаленной идентификации клиентов в финансовой сфере в своих основных чертах регламентировано Федеральным законом № 482-ФЗ от 31 декабря 2017 года. Этим актом были внесены изменения сразу в несколько других федеральных законов: №115-ФЗ «О противодействии легализации…», №149-ФЗ «Об информации…», №126-ФЗ «О связи» и №152-ФЗ «О персональных данных».

Кроме того, был определен круг необходимых для принятия подзаконных актов – всего более двадцати. Соответственно главные регуляторные требования к системе защиты информации и технической реализации ЕБС были установлены именно на подзаконном уровне – Правительством РФ, Минкомсвязи РФ, ФСБ России, ФСТЭК России и Банком России. Таким образом, «удельный вес» требований, содержащихся в подзаконных нормативных актах регуляторов, существенно выше, чем законодательных.

Не могу не отметить, что на стадии обсуждения законопроекта и депутаты, и государственные регуляторы по ряду аспектов предлагали более мягкие требования, чем закрепленные в итоге в подзаконных ведомственных нормативных актах. Ужесточение было вызвано необходимостью более тщательно контролировать риски при обработке биометрических персональных данных. Но, как следствие, привело к усложнению процесса технической реализации установленных требований и удорожанию этого процесса.

Основные трудности для кредитных организаций при внедрении дистанционной биометрии заключаются в том, что необходимо выполнить все требования к информационной безопасности. Учесть сразу несколько нормативных актов, скоординировать с ними организационно-технические решения и при этом уложиться в сжатые сроки.

ЦЕЙТНОТ ПРЕОДОЛИМ

Ситуация усложняется тем, что подзаконная нормативная база, призванная урегулировать сбор, обработку и передачу биометрических персональных данных, продолжает находиться в стадии технической и юридической доработки. В этой связи завершение всех необходимых мероприятий в 20% офисов в установленный срок, не позднее 31 декабря 2018 года, представляется непростой задачей для любого банка.

Есть мнение участников рынка, что снять остроту цейтнота можно было бы, сократив число банков, обязанных осуществлять съем биометрических образцов, до, например, ста крупнейших. Предоставив таким образом другим банкам возможность делать это на своё усмотрение, или к более поздней дате.

Также предлагается вернуться к более гибкой модели нормативного регулирования доли офисов, в которых банки обязаны обеспечить снятие биометрии в каждом регионе присутствия. А именно дать банкам возможность самим выбрать офисы, наиболее технически подготовленные и экономически подходящие для этого. Такая возможность обсуждалась в ходе работы над ФЗ-482 на стадии законопроекта.

Представители финансовых организаций формулируют и ряд других проблем: не доверенную среду пользователей, угрозу заражения мобильных устройств и компьютеров через интернет, возможные уязвимости средств защиты, встроенных в программные продукты разработчиками систем дистанционного банковского обслуживания и интернет-банкинга.

Еще одна важная проблема – использование злоумышленниками для атаки на клиентов финансовых организаций социальной инженерии, попросту мошенничества. Чтобы противодействовать таким покушениям, крайне важна осведомлённость пользователей о необходимости выполнения элементарных требований личной компьютерной безопасности.

ЦЕНА ВОПРОСА ПРИЕМЛЕМА

Многие структурные подразделения, офисы кредитно-финансовых организаций пока не располагают техническими условиями, необходимыми для обеспечения требуемого класса защиты информации. В ряде случаев применение таких решений для получения биометрических образцов оказывается слишком дорогостоящим, что ставит под вопрос экономическую целесообразность.

Насколько значительны и посильны для участников финансового рынка затраты на соответствие законодательству о биометрии и соответствующей нормативной базе? Участникам проведённого в Ростелекоме совещания был представлен базовый перечень элементов, необходимых для сбора биометрических данных. В него входят: сервер с HSM-модулем, операционная система и средства подписи снимаемой биометрии, антивирусное программное обеспечение и межсетевой экран.

Перечень базовых элементов позволяет рассчитать минимальные затраты. Так, для сбора биометрических данных и отправки их в ЕБС цена подключения банка с одним отделением начинается с 3 млн рублей. Из этой суммы на киберзащиту приходится половина затрат, так как один HSM-модуль стоит 1,5 млн рублей. Остальные расходы связаны с покупкой оборудования для снятия биометрических данных и передачи их в ЕБС.

За каждое следующее отделение придется доплатить примерно 130 тыс. рублей, из которых 30 тыс. рублей – это средства защиты, 60 тыс. рублей – оборудование для снятия биометрических данных для одного рабочего места, 40 тыс. рублей – производительный компьютер для сотрудника. Кроме того, работы по настройке оборудования, аттестация системы ЕБС, разработка модели угроз и модели нарушений, а также годовое обслуживание потребуют еще около 1,2 млн рублей. Большую часть из них, около 800 тыс. рублей, составляет стоимость годового обслуживания. В целом, такие затраты для основной части банков представляются посильными и обоснованными.

Специалисты Государственной Думы РФ ведут постоянный мониторинг всех перечисленных вопросов. Предложения, поступающие от участников финансовой сферы, готовятся и обсуждаются с профильными государственными регуляторами. Создаваемая единая система дистанционной биометрической идентификации и аутентификации клиентов – важное и перспективное новшество для финансовой сферы. Цель нашей работы в том, чтобы результаты для всех ‑ и граждан, и государства, и банков – оказались наилучшими при максимальной защищенности и разумных затратах.