Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024

Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации"

8.1. Уровни доверия аутентификации

Для проведения оценки соответствия по документу войдите в систему.

Список требований

8. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПРОВЕДЕНИИ ДИСТАНЦИОННОЙ АУТЕНТИФИКАЦИИ
8.1. УРОВНИ ДОВЕРИЯ АУТЕНТИФИКАЦИИ
УДА устанавливаются в рамках процесса аутентификации физических лиц, представителей юридических лиц и программных сервисов.
Для финансовых организаций устанавливается три УДА, определяющих уверенность в результатах аутентификации: низкий (УДА 1), средний (УДА 2) и высокий (УДА 3). В таблице 4 приведены критерии, определяющие соответствующий уровень уверенности в результатах аутентификации, для каждого УДА.
Таблица 4. КРИТЕРИИ, ОПРЕДЕЛЯЮЩИЕ СООТВЕТСТВУЮЩИЙ УРОВЕНЬ УВЕРЕННОСТИ В РЕЗУЛЬТАТАХ АУТЕНТИФИКАЦИИ
1. Протокол аутентификации обеспечивает однофакторную аутентификацию получателя услуг

Обязательно для уровня доверия идентификации УДИ 1
2. Протокол аутентификации обеспечивает многофакторную аутентификацию получателя услуг

Обязательно для уровня доверия идентификации УДИ 2 УДИ 3
3. Протокол аутентификации является криптографическим

Обязательно для уровня доверия идентификации УДИ 3
4. Протокол аутентификации обеспечивает взаимную аутентификацию поставщика услуг и получателя услуг

Обязательно для уровня доверия идентификации УДИ 3
5. Каждый предъявленный аутентификатор* соответствует аутентификатору, привязанному к цифровой идентичности
----------
* - В таблице П-2 приложения 2 к стандарту приведены примеры аутентификаторов в разрезе уровней доверия аутентификации, определенных в данном разделе.

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
6. Хотя бы один из аутентификаторов является криптографическим средством аутентификации

Обязательно для уровня доверия идентификации УДИ 3
7. Получателем услуг подтверждены факт обладания и способность распоряжаться аутентификатором

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
Поставщик услуг должен определять необходимый УДА во внутренних документах для каждой предоставляемой финансовой операции на основании анализа рисков с учетом требований применения УДА к финансовым операциям поставщика услуг, приведенных в таблице 5.

Необязательное требование
Таблица 5. ПРИМЕНЕНИЕ УДА К ФИНАНСОВЫМ ОПЕРАЦИЯМ ПОСТАВЩИКА УСЛУГ
1. Предоставление информационных сервисов ФЛ

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
2. Предоставление информационных сервисов ЮЛ

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
3. Совершение финансовых операций ФЛ, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска

Обязательно для уровня доверия идентификации УДИ 2 УДИ 3
4. Совершение финансовых операций ФЛ, которые законодательно ограничены суммами проведения операции при использовании конкретных средств аутентификации

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
5. Совершение финансовых операций ФЛ в течение ограниченного периода, определенного на основании анализа рисков поставщиком услуг, после проведения на устройстве получателя услуг аутентификации по УДА 2 при условии дополнительной аутентификации устройства получателя услуг и экземпляра приложения

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
6. Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛ

Обязательно для уровня доверия идентификации УДИ 3
7. Совершение регулярных или характерных финансовых операций, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска ЮЛ

Обязательно для уровня доверия идентификации УДИ 2 УДИ 3
8. Совершение иных или высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ЮЛ

Обязательно для уровня доверия идентификации УДИ 3
9. Совершение финансовых операций ФЛ и ЮЛ с использованием программных сервисов, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска

Обязательно для уровня доверия идентификации УДИ 2 УДИ 3
10. Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛ и ЮЛ с использованием программных сервисов

Обязательно для уровня доверия идентификации УДИ 3
Осуществление финансовой операции при проведении аутентификации в случае несоответствия процесса аутентификации требованиям УДА, установленного для данной финансовой операции, не допускается.

Необязательное требование

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.