Куда я попал?
Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024
Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации"
Таблица 7 / 1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
1.1. Служба аутентификации должна позволять устанавливать критерии сложности (длина, размер алфавита, обязательность различных типов символов и так далее) запоминаемого секрета, которые должны определяться на основании анализа рисков поставщиком услуг, осуществлять проверку на сложность запоминаемого секрета в соответствии с установленными критериями сложности, а также информировать получателя услуг об уровне сложности выбранного им запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.2. Служба аутентификации должна скрывать вводимые символы запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.3. Служба аутентификации должна осуществлять контроль смены запоминаемого секрета, сгенерированного службой аутентификации при первичной идентификации получателя услуг или после истечения его срока действия, определяемого на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.4. Служба аутентификации должна ограничивать максимальное количество неудачных попыток аутентификации с использованием запоминаемого секрета, которое определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.5. Служба аутентификации должна применять механизм CAPTCHA (или аналогичные меры защиты от перебора) после установленного количества неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.6. Служба аутентификации должна требовать изменения запоминаемого секрета при получении информации о его компрометации, в том числе из открытых источников информации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.7. Служба аутентификации должна обеспечить невозможность повторного использования запоминаемых секретов получателя услуг, количество неповторяемых запоминаемых секретов определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.8. Служба аутентификации должна хранить запоминаемые секреты в форме, которая является стойкой к офлайн-атакам на запоминаемый секрет
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.