Василий Мамаев 21/02/24
В ноябре в Москве в рамках Форума All-over-IP 2023 прошли две заинтересовавшие меня конференции – "Академия СКУД. Технологии и системы для решения задач бизнеса и безопасности" и "Биометрия в системах контроля и управления" [1], [2]. Для тех, кто не имел возможности на них присутствовать, будет полезно ознакомиться с основными тезисами и итогами мероприятий.
Общее впечатление, которое оставляют обсуждения, проходившие в рамках конференций, таково: ситуация с биометрическими системами контроля и управления доступом достаточно сложная. Далее я буду приводить мнения экспертов, выступивших на этих конференциях, естественно, в моем понимании, для того, чтобы как можно точнее охарактеризовать текущую ситуацию.
Новые особенности транзакционного взаимодействия
Алексей Мунтян, СЕО компании Privacy Advocates и соучредитель "Сообщества профессионалов в области приватности" (RPPA), в своем выступлении отметил, что при транзакционном взаимодействии между комплексом биометрической системы контроля и управления доступом (БиоСКУД) и Единой биометрической системой (ЕБС) необходимо проводить оплату, в зависимости от числа совершенных успешных операций сравнения. То есть то, что раньше для предприятия было бесплатным, стало иметь стоимость. В некоторых случаях, как подсчитали отдельные банки, транзакционное взаимодействие может обойтись им в стоимость порядка миллиарда рублей.
В Центре Биометрических Технологий (ЦБТ), операторе Единой биометрической системы, подчеркнули, что указанная в презентации цифра завышена и нереалистична. На сегодняшний день стоимость транзакции в сценарии БиоСКУД составляет около 1 руб. При такой стоимости "миллиардные затраты" могут возникнуть только в том случае, если через СКУД проходит миллиард человек. Подобная ситуация исключена, убеждены в ЦБТ, поскольку предприятий такого масштаба просто не существует.
Важно отметить, что на сегодняшний момент помимо транзакционного взаимодействия законодательство предлагает также векторную модель.
На практике обычно используется "подписочная" схема оплаты услуг со стороны клиента, предусмотренная нормативными актами. В большинстве ситуаций она позволяет обеспечить оплату взаимодействия на уровне существенно ниже стоимости технического обслуживания используемых устройств.
Таким образом, для взаимодействия между пользователями БиоСКУД и ЕБС предлагается в основном использовать векторную модель, где БиоСКУД взаимодействуют с КБС.
Однако следует отметить, что согласно ст. 13 Федерального закона № 572 идентификация и (или) аутентификация с использованием БиоСКУД при проходе на территории организаций оборонно-промышленного, атомного энергопромышленного, ядерного, оружейного, химического, топливно-энергетического комплексов, транспортной инфраструктуры и КИИ возможна только через ГИС ЕБС.
Следует также обратить внимание на необходимость обеспечить наличие средств криптографической защиты (СКЗИ) класса КС1. Требования к каналам связи определены приказом Минцифры России от 05.05.2023 г. № 446 и указанием ЦБ РФ от 25.09.2023 г. № 6541-У.
На рис. 2 показана схема взаимодействия между СКУД организации и КБС. Между терминалом БиоСКУД и ИС КБС здесь необходимо обеспечить передачу со степенью класса защиты КС1.
Рис. 1. Транзакционная и векторная модели взаимодействия с ГИС ЕБС
Рис. 2. Схема организации взаимодействия с КБС аккредитованной организации
В соответствии с готовящимися изменениями нормативно-правовых актов требование по использованию средств криптографической защиты информации класса КС1 при организации БиоСКУД переносится на 01.07.2024 г.
Такое послабление связано с тем, что в сегодня в действующих системах БиоСКУД используется достаточно большое количество китайских устройств, в связи с чем необходимо дополнительное время на их доработку для установки на них сертифицированных российских СКЗИ или замены на устройства отечественных производителей.
В настоящее время практикуется два варианта: либо организация закупает средства защиты самостоятельно, либо аккредитованная компания предоставляет эти средства в рамках оказания услуг по аутентификации.
Какие терминалы для БиоСКУД можно использовать?
По комментариям специалистов ЦБТ, ограничений на технические средства (производители, поставщики и т.д.) по БиоСКУД нет. Единственное условие – требование по информационной безопасности в части защиты по требованиям регуляторов (класс КС1).
Срок переходного периода, в течение которого необходимо было настроиться на взаимодействие с ЕБС и импортировать имеющиеся у предприятия биометрические персональные данные, истек 28.11.2023 г. Теперь Роскомнадзор начнет привлекать к ответственности всех, кто использует проход по фото-/видеоизображению и голосу, не перейдя на работу по новой схеме. Необходимо еще раз отметить, что сегодняшние нормативно-правовые акты не обязывают все организации переходить на прямое взаимодействие с ЕБС. Тем, кто не является режимными объектами или субъектом КИИ, возможно использовать подключение к аккредитованным организациям – коммерческим биометрическим системам (КБС). Актуальный перечень организаций можно найти на сайте Минцифры России. На сегодняшний день таких аттестованных в соответствии с 572-ФЗ организаций не так много, и в связи с тем, что аттестация у них прошла совсем недавно, можно предположить, что количество СКУД, которые перешли на новое взаимодействие с ЕБС, весьма незначительное.
Индивидуальный подход
Хочется обратить внимание на интересное выступление Олега Евсеева [2], директора дивизиона "Биометрия" ПАО Сбербанк. Докладчик рассказал о том, что у Сбера имеются решения для организации работы по 572-ФЗ для отдельных клиентов. В тех ситуациях, когда необходимы решения для крупных клиентов, у которых могут возникнуть проблемы с организацией удаленного взаимодействия с КБС, возможно использовать решения по установке локального модуля обработки непосредственно на предприятии.
Аналогичное решение по оперативной передаче биометрических данных в КБС и организации локальной (на предприятии) обработки информации в соответствии с требованием 572-ФЗ предложила на конференции одна из коммерческих фирм, правда стоимость такого решения более 50 млн руб. Про стоимость решения Сбера неизвестно, однако, по словам Олега Евсеева, данное решение появится не раньше II квартала 2024 г.
Необходимо отметить, что, по мнению сотрудников ЦБТ, стратегически важно, чтобы на рынках БиоСКУД развивалась конкуренция и были обеспечены равноудаленные возможности для всех компаний, поэтому в приоритете ЦБТ ставится расширение как числа кейсов на КБС, так и самих КБС.
Биометрии быть!
Таким образом, резюмируя состояние дел по биометрическим СКУД, можно отметить, что:
- срок перехода на взаимодействие с ЕБС окончился, далее может быть проведена проверка Роскомнадзора и назначены штрафы;
- предприятиям, использующим биометрические СКУД и не перешедшим на работу в соответствии с 572-ФЗ, стоит озаботиться и оперативно осуществить интеграцию с ГИС ЕБС или аккредитованными КБС. Со стороны единой биометрической системы для интеграции реализованы все необходимые условия и сервисы;
- судя по данным, представленным Сбером, их продукты и услуги по подключению к ГИС ЕБС через КБС следует ждать не ранее I квартала 2024 г. Однако на сегодняшний день некоторые аккредитованные КБС уже подключают клиентов и разворачивают БиоСКУД с использованием своих биометрических систем.
Востребованность биометрических СКУД есть, и, отвечая на вопрос, быть или не быть биометрическим СКУД, можно сказать, что БиоСКУД быть, и в скором времени быть везде – с использованием биометрии из ГИС ЕБС.
Выражаю искреннюю благодарность генеральному директору АО ЦБТ Владиславу Юрьевичу Поволоцкому за ценные комментарии при подготовке данной статьи.
Список литературы
Опубликовано в журнале "Системы безопасности" № 6/2023
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Поделитесь вашими идеями