Сейчас нет необходимого рынку отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ.

Именно такой класс защиты — на уровне гостайны — определен приказом ФСБ №378, пишет «КоммерсантЪ» со ссылкой на первого заместителя главы департамента информационной безопасности ЦБ Артема Сычева.

Банкиры подтверждают, что выполнить требования ФСБ не могут: чтобы шифровать направляемые в единую биометрическую систему собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ. Ключи класса КВ выпускает только ФГБУ НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября. Как сообщили в «Ростелекоме», «Восход» обладает нужным количеством ключей. Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ. Но без методики получить заключение ФСБ нереально. По данным «Ростелекома», внедрение HSM идет в 26 банках, но нигде не закончено.

ЦБ готов предложить банкам несколько вариантов решений по информационной безопасности при сборе биометрии. Как пояснил Сычев, в настоящее время есть стандартизированное решение, которое отвечает требованиям информационной безопасности для подключения к ЕБС. Банк России совместно с ФСБ также проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований. По словам Сычева, вариант облачного и типового решения по подключению банков к ЕБС является дополнительным и разрабатывается в целях снижения издержек банков. Выполнить требования по информационной безопасности банки должны к концу 2019 года.

Но по словам собеседников издания в банках, уже работающих по стандартному решению, шифрования по классу КВ нет. Типовое решение «Ростелекома», по которому коммерческое предложение было направлено банкам, еще не сертифицировано. Облачное решение и вовсе находится на стадии проработки.

Банки готовы выполнить требования ФСБ, когда появится хоть одно полноценное решение. Впрочем, санкции от силовиков участникам рынка не грозят – согласовывать все вопросы с ФСБ придется регулятору, иначе сбор данных просто остановится, отмечают эксперты.

Источник:  Information Security