Проект универсальной электронной карты сложен, а потому интересен с самых разных точек зрения. Поскольку в инфраструктуре УЭК содержится большое количество персональных данных, особое внимание уделено их защите. О деталях работы с персональными данными рассказывает Вадим Щепинов, вице-президент федеральной уполномоченной организации «Универсальная электронная карта». В соответствии с Федеральным законом № 210-ФЗ именно эта организация отвечает за проект УЭК.
/2013-05/05_13/13142107/Direktor_informacionnoj_sluzhby_(CIO.RU)_IMG_9291_(9607).png) |
| «Если для использования банковских карт необходима их верификация с помощью карточного терминала, то для идентификационных карт требуется верификация не только самих карт, но и терминала», Вадим Щепинов, вице-президент ФОУ «Универсальная электронная карта» |
Каковы основные архитектурные компоненты УЭК, в которых присутствуют персональные данные?
Обработка персональных данных граждан начинается на уровне субъектов РФ, где сведения из заявлений граждан на выдачу УЭК вводятся в информационные системы уполномоченных организаций субъектов РФ. В полном составе эти данные попадают в информационную систему эмиссии карт УЭК на достаточно короткое время, которое требуется, чтобы сформировать федеральный пакет сведений. После отправки персонализационного пакета обратно в субъект РФ в информационной системе эмиссии карт остается только сгенерированный номер выпускаемой карты и СНИЛС. В следующий раз данные граждан проходят через систему, когда сформированный пакет сведений из региона для записи на карту идет через нашу систему электронного документооборота в один из центров персонализации. Эти пакеты передаются в зашифрованном виде, проходят обработку в центре персонализации и по истечении времени, отведенного на претензионную работу, уничтожаются. В информационной системе ФУО хранятся номера карточек с относящимися к ним техническими деталями, защита которых организована в соответствии с требованиями российских регуляторов. В информационных системах субъектов РФ данные остаются в полном виде из заявлений.
Какого рода технологии используются для защиты персональных данных в разных сегментах инфраструктуры УЭК?
Мы разработали очень детальный документ — «Модель угроз и нарушителя информационной безопасности Единой платежно-сервисной системы «Универсальная электронная карта»», в нем указывается, какие информационные ресурсы и объекты ИТ-инфраструктуры подлежат защите. Эта модель согласована с ФСБ России. На каналах связи, которые не являются новыми (например, между информационной системой ФУО и системами уполномоченных организаций субъектов РФ), применяются устройства шифрования каналов, имеющие необходимый класс защищенности. На каналах связи, по которым проходит больше персональной информации, чем та, что есть в рамках одного субъекта РФ (например, каналах между нами и центрами персонализации), установлены другие устройства, с гораздо более серьезным классом защищенности.
Много противоречивых дискуссий вызывает защита персональных данных непосредственно в местах использования платежных карт. Как реализована защита персональных данных на терминальных устройствах?
Прежде всего два замечания: во-первых, на картах УЭК персональные данные хранятся в объеме, определенном Федеральным законом № 210-ФЗ, и, во-вторых, та информация, которая есть на карте, защищена с применением отечественных сертифицированных средств криптографической защиты.
Идентификационные карты имеют существенное отличие от банковских. Если для использования банковских карт необходима верификация с помощью карточного терминала, чтобы банк с его помощью удостоверился, что карта не поддельная, то для идентификационных карт требуется верификация и терминала — карта должна убедиться, что терминал является доверенным (недоверенные терминалы не смогут считывать информацию с карты УЭК). Считывание становится возможным только после того, как терминал предъявит карте требуемый сертификат, причем в зависимости от типа терминала карта открывает определенную область данных, позволяя в этой области считывать или записывать. Эти права содержатся в сертификатах, выдаваемых федеральной уполномоченной организацией.
В чем ключевые различия защиты персональных данных в УЭК по сравнению со стандартом платежных карт PCI DSS?
Этот стандарт в большей мере ориентирован на защиту информации, которая может быть использована злоумышленниками для проведения мошеннических платежных операций. И поскольку платежные карты работают, как правило, в международных платежных системах, в них используются зарубежные криптографические алгоритмы и средства защиты. В УЭК используется российская криптография. Защита персональных данных в РФ не организуется в соответствии с требованиями PCI DSS. Как я уже говорил, защита ПД в информационных системах ЕПСС УЭК организована в строгом соответствии с требованиями Роскомнадзора, ФСБ России и ФСТЭК России. О еще одном ключевом отличии, вытекающем из идентификационной специфики карты УЭК, я уже сказал — банковская карта не верифицирует терминал, который с ней работает.
Как распределяется ответственность между операторами персональных данных, участвующими в проекте УЭК?
Распределение ответственности осуществляется согласно действующему законодательству: каждый оператор несет ответственность за свой участок и обеспечивает в своих системах выполнение тех мероприятий по защите, что предусмотрены его моделью угроз и нарушителя. Защита данных, передаваемых между операторами по каналам связи, обеспечивается в соответствии с «Моделью угроз и нарушителя информационной безопасности Единой платежно-сервисной системы «Универсальная электронная карта»». Напомню, что помимо ФУО УЭК операторами персональных данных в нашем проекте являются уполномоченные организации субъектов РФ, пенсионный фонд РФ и фонд обязательного медицинского страхования, центры изготовления и персонализации карт, банки и прочие категории участников.
Используете ли вы субподрядчиков для хранения или обработки персональных данных? И если используете, то как определяется их ответственность?
Так как наша деятельность по ряду параметров близка к банковской, хранение и обработку транзакционных данных мы осуществляем сами и в аутсорсинг не отдаем. Чтобы снизить расходы, мы арендуем ЦОД уровня Tier III, но не вычислительные мощности, а только площади. Эти помещения находятся в физически защищенном контуре, внутрь его допускаются только наши сотрудники.
Какие рекомендации операторам персональных данных удалось сформулировать, опираясь на опыт УЭК?
Все рекомендации для участников нашего проекта содержатся в Правилах единой платежно-сервисной системы УЭК и в разработанной нами модели угроз. Также у нас готовится ряд документов, аналогичных стандартам EMV и PCI DSS, в которых будут перечислены все характеристики и спецификации, включая требования к компонентной архитектуре с точки зрения оборудования и ПО для разных типов терминалов, работающих с картой.