Остановимся на одном довольно специфическом вопросе, касающемся выбора средств удаленной идентификации клиентов Банков в рамках функционирования Единой Биометрической системы (ЕБС). Банкам, подключающимся к ЕБС, важно не забыть про этот момент.
Как обычно, обратимся сначала за исходными данными к первоисточникам: к 482-ФЗ от 31.12.2017 "О внесении изменений в отдельные зак.акты РФ" (в нашем случае рассматриваются изменения, вносимые в 149-ФЗ) и к Методическим рекомендациям ЦБ по нейтрализации актуальных угроз безопасности при обработке БПДн (4-МР от 14.02.2019), названным с легкой руки некоторых экспертов «Валентинкой».
482-ФЗ (текст пунктов ниже приведен в сокращенном удобочитаемом виде):
19. При предоставлении БПДн физического лица (ФЛ) в целях проведения его идентификации без личного присутствия должны применяться сертифицированные СКЗИ. Банк обязан предложить использовать указанные средства ФЛ.
20. В случае, если ФЛ для предоставления своих БПДн в целях проведения идентификации без личного присутствия использует мобильный телефон, смартфон или планшетный компьютер и отказывается от использования СКЗИ, указанных в части 19 настоящей статьи, Банк обязан отказать такому лицу в проведении указанной идентификации.
21. В случае, если ФЛ при предоставлении своих БПДн в целях проведения идентификации без личного присутствия использует иные устройства, в том числе персональный компьютер, и отказывается от применения СКЗИ, указанных в части 19 настоящей статьи, Банк уведомляет его о рисках, связанных с таким отказом. После подтверждения ФЛ своего решения Банк может провести соответствующую идентификацию ФЛ без использования им указанных СКЗИ.
4-МР:
3.1. В целях обеспечения ИБ на технологическом участке удаленной идентификации клиента банкам (ФЛ) рекомендуется следующее.
3.1.3. Для обеспечения конфиденциальности передаваемой информации при взаимодействии с клиентом рекомендуется применять СКЗИ класса не ниже КС1 на стороне клиента и рекомендуется применять СКЗИ класса не ниже КС3 на стороне банка.
Из полученных исходных данных делаем простые промежуточные выводы:
- Независимо от того, с какого устройства ФЛ собирается провести удаленную идентификацию, оно должно иметь возможность использовать для этого сертифицированное СКЗИ (п.19, 482-ФЗ), причем сертифицированное по классу не ниже КС1, а Банк на своей стороне должен использовать СКЗИ, сертифицированное по классу не ниже КС3 (п. 3.1.3 4-МР).
- Если для удаленной идентификации ФЛ использует мобильник, смартфон или планшет, то он обязан (т.е. не имеет право, а именно обязан) использовать СКЗИ, сертифицированное по классу не ниже КС1. Иначе Банк должен будет отказать ему в удаленной идентификации.
- Если для удаленной идентификации ФЛ использует иное устройство (например, ПК с браузером) и при этом отказывается от использования сертифицированных СКЗИ, то у ФЛ должна быть возможность (а Банк со своей стороны, соответственно, должен обеспечить для ФЛ такую возможность) использовать несертифицированные СКЗИ (в том числе не ГОСТовые).
Из промежуточных выводов вытекает основной вывод для Банков:
Для обеспечения удаленной идентификации ФЛ на технологическом участке удаленной идентификации Банк обязан одновременно обеспечить на своей стороне поддержку как ГОСТового TLS, так и зарубежного TLS. При этом СКЗИ, реализующее на стороне Банка ГОСТовый TLS, должно быть сертифицировано по классу не ниже КС3. Это в свою очередь накладывает серьезные ограничения на перечень технических средств, удовлетворяющих указанным требованиям и которые можно использовать для решения поставленной задачи. Так, например, одновременная поддержка ГОСТового и не ГОСТового TLS в настоящее время реализована в продуктах КриптоПро и уже даже несколько месяцев обеспечивается при доступе к сайту cryptopro.ru (можно попробовать самостоятельно, предварительно установив на свое устройство КриптоПро CSP 4.0 и, например, Яндекс.Браузер). Новость об этом можно почитать тут. В частности, решение КриптоПро NGate, сертифицированное по классу КС3, способно решить поставленную задачу по идентификации ФЛ с соблюдением всех необходимых требований.
Павел Луцик
директор по продажам и развитию бизнеса
ООО «КРИПТО-ПРО»