Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024

Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации"

8.3. Состав мер защиты информации, применяемый к процессу аутентификации при использовании отдельных аутентификаторов

Для проведения оценки соответствия по документу войдите в систему.

Список требований

8. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПРОВЕДЕНИИ ДИСТАНЦИОННОЙ АУТЕНТИФИКАЦИИ
8.3. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ОТДЕЛЬНЫХ АУТЕНТИФИКАТОРОВ
В таблице 7 приведен состав мер, применяемый в случаях использования в процессе аутентификации отдельных аутентификаторов, приведенных в приложении 2 к стандарту.
Таблица 7. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ ПРИ ПРИМЕНЕНИИ ОТДЕЛЬНЫХ АУТЕНТИФИКАТОРОВ
1. Меры защиты информации при использовании аутентификаторов, основанных на факторе знания: запоминаемый секрет (например, ПИН-код, пароль)
1.1. Служба аутентификации должна позволять устанавливать критерии сложности (длина, размер алфавита, обязательность различных типов символов и так далее) запоминаемого секрета, которые должны определяться на основании анализа рисков поставщиком услуг, осуществлять проверку на сложность запоминаемого секрета в соответствии с установленными критериями сложности, а также информировать получателя услуг об уровне сложности выбранного им запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
1.2. Служба аутентификации должна скрывать вводимые символы запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
1.3. Служба аутентификации должна осуществлять контроль смены запоминаемого секрета, сгенерированного службой аутентификации при первичной идентификации получателя услуг или после истечения его срока действия, определяемого на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
1.4. Служба аутентификации должна ограничивать максимальное количество неудачных попыток аутентификации с использованием запоминаемого секрета, которое определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
1.5. Служба аутентификации должна применять механизм CAPTCHA (или аналогичные меры защиты от перебора) после установленного количества неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
1.6. Служба аутентификации должна требовать изменения запоминаемого секрета при получении информации о его компрометации, в том числе из открытых источников информации
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
1.7. Служба аутентификации должна обеспечить невозможность повторного использования запоминаемых секретов получателя услуг, количество неповторяемых запоминаемых секретов определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
1.8. Служба аутентификации должна хранить запоминаемые секреты в форме, которая является стойкой к офлайн-атакам на запоминаемый секрет
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
2. Меры защиты информации при использовании аутентификаторов, основанных на аутентификации по отдельному каналу связи: внеполосный аутентификатор (физическое устройство, которое имеет однозначную адресацию и может безопасно связываться со службой аутентификации по отдельному каналу связи)
2.1. Служба аутентификации должна аутентифицировать внеполосный аутентификатор с помощью либо случайно сгенерированного зашитого ключа, либо сим-карты (IMSI)
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
2.2. Внеполосный аутентификатор должен иметь однозначную адресацию по каждому каналу взаимодействия со службой аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
2.3. Внеполосный аутентификатор должен обеспечивать возможность подтверждения факта владения внеполосным аутентификатором
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
2.4. Служба аутентификации должна ограничивать период ответа на запрос аутентификации на внеполосный аутентификатор, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
2.5. Служба аутентификации должна ограничивать количество использований внеполосного аутентификатора в период времени, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
2.6. Служба аутентификации при аутентификации внеполосного аутентификатора должна осуществлять дополнительные проверки на несоответствие параметров внеполосного аутентификатора или повторного воспроизведения внеполосного аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - О

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
3. Меры защиты информации при использовании аутентификаторов, основанных на биометрических характеристиках человека*
----------
* - Исходя из российской и международной практики использование биометрических характеристик человека в качестве единственного фактора аутентификации при проведении финансовых операций не допускается. Настоящий стандарт допускает использование биометрических характеристик человека в качестве единственного фактора аутентификации только в случаях проведения финансовых операций, в которых для данного аутентификатора законодательно ограничены суммы проведения операции.
3.1. Служба аутентификации в случае использования изображения лица человека или записи голоса человека должна обеспечивать соответствие биометрических образцов требованиям приказа Минцифры России от 12.05.2023 № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц» [14], для иных модальностей необходимо применять критерии качества, установленные российскими и международными стандартами и практиками

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
3.2. Служба аутентификации должна обеспечить вероятность ложного или ложноположительного результата аутентификации с использованием биометрических характеристик на уровне, не превышающем установленные законодательством показатели, а в случае отсутствия таких показателей на уровне, установленном российскими и международными стандартами и практиками

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
3.3. Служба аутентификации должна использовать методы обнаружения атак на биометрическое предъявление в процессе биометрического предъявления и сбора соответствующих биометрических параметров в соответствии со стандартами ГОСТ Р 58624*
----------
* - ГОСТ Р 58624.1-2019 «Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура» [15], ГОСТ Р 58624.2-2019 «Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных» [16], ГОСТ Р 58624.3-2019 «Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний» [17].

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
3.4. Служба аутентификации должна обеспечивать защиту от несанкционированного доступа хранилища биометрических образцов* и векторов биометрических параметров
----------
* - Биометрические образцы, хранимые для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных.

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
3.5. Служба аутентификации должна обеспечивать защиту каналов взаимодействия между внутренними датчиками, системой извлечения признаков (биометрических векторов) и прикладным программным обеспечением

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4. Меры защиты информации при использовании аутентификаторов, основанных на генерации одноразового пароля:
поисковый секрет (физическая или электронная запись, в которой хранится набор одноразовых паролей);
средство аутентификации, реализующее передачу одноразового пароля через альтернативный канал;
однофакторный генератор одноразовых паролей, основанный на криптографических методах;
многофакторный генератор одноразовых паролей, основанный на криптографических методах
4.1. Служба аутентификации должна использовать надежный генератор случайных чисел, соответствующий требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля

Обязательно для уровня доверия идентификации УДИ 1
4.2. Служба аутентификации должна использовать генератор случайных чисел, прошедший процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017

Обязательно для уровня доверия идентификации УДИ 2 УДИ 3
4.3. Служба аутентификации должна обеспечивать использование технологии, обеспечивающей невозможность раскрытия одноразового пароля третьим лицам при его передаче

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.4. Служба аутентификации должна использовать одноразовые пароли с учетом сложности (длина, размер алфавита, обязательность различных типов символов и так далее), которая должна определяться на основании анализа рисков поставщиком услуг

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.5. Одноразовый пароль должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.6. Служба аутентификации должна ограничивать количество запросов одноразового пароля за период, определяемый на основании анализа рисков поставщиком услуг

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.7. Служба аутентификации должна хранить одноразовые пароли в форме, которая является устойчивой к офлайн-атакам

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.8. Служба аутентификации должна передавать одноразовый пароль только на устройства, имеющие однозначную адресацию по каждому каналу взаимодействия со службой аутентификации

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.9. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были аутентифицированы службой аутентификации

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.10. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были верифицированы службой идентификации при первичной идентификации

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
4.11. В случае использования программного датчика случайных чисел служба аутентификации должна обеспечить защиту инициализирующей последовательности такого генератора случайных чисел от атак на повторное воспроизведение

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
5. Меры защиты информации при использовании криптографических программных аутентификаторов:
однофакторное криптографическое программное средство аутентификации или софт-токен;
многофакторное криптографическое программное средство аутентификации
5.1. Криптографический ключ должен храниться в безопасном хранилище, доступном только для приложения криптографического программного средства аутентификации

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
5.2. Криптографический ключ криптографического программного средства аутентификации должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
5.3. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, соответствующего требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2
5.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017

Обязательно для уровня доверия идентификации УДИ 2 УДИ 3
6. Меры защиты информации при использовании криптографических технических аутентификаторов:
однофакторное криптографическое техническое средство аутентификации;
многофакторное криптографическое техническое средство аутентификации;
многофакторное криптографическое техническое средство аутентификации с неизвлекаемым ключом
6.1. Служба аутентификации должна обеспечивать ведение реестра и фильтрацию по указанному реестру криптографических технических аутентификаторов

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
6.2. Криптографический ключ криптографического технического аутентификатора должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
6.3. Криптографический ключ должен храниться в безопасном хранилище криптографического технического средства аутентификации

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
6.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017

Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.