20.03.2024
При подготовке материала использовались
справочно-правовые системы "Консультант Плюс"
"Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации" СТО БР БФБО-1.8-2024"
Подготовлен стандарт безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации клиентов.
Документ определяет состав и содержание мер защиты информации для обеспечения доверия к результатам идентификации и аутентификации получателей услуг при осуществлении финансовых операций.
Финансовые организации должны установить во внутренних документах конкретные показатели оценки операционного риска, характеризующие принадлежность финансовой операции к конкретному уровню доверия.
Ниже приведем текст документа:
"Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации" СТО БР БФБО-1.8-2024"
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ
ПРЕДИСЛОВИЕ
Принят и введен в действие приказом Банка России от 28.02.2024 N ОД-326.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
1. ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт устанавливает состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов - получателей услуг при дистанционном предоставлении поставщиками финансовых продуктов и услуг в целях реализации требований Банка России на технологическом участке идентификации, аутентификации и авторизации клиентов при осуществлении банковской деятельности, деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон N 86-ФЗ) [1], и переводов денежных средств (далее при совместном упоминании - финансовые операции).
Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона N 86-ФЗ [1], субъектами национальной платежной системы (далее при совместном упоминании - финансовые организации). Также положения настоящего стандарта могут применяться иными организациями, реализующими технологические процессы, связанные с проведением идентификации или аутентификации при дистанционном предоставлении продуктов и услуг.
Настоящий стандарт служит для целей содействия соблюдению требований нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации и технологии безопасной обработки защищаемой информации, при осуществлении финансовых операций, в том числе:
- нормативного акта Банка России, устанавливающего обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, принятого на основании статьи 57.4 Федерального закона N 86-ФЗ [5];
- нормативного акта Банка России, устанавливающего обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, принятого на основании статьи 76.4-1 Федерального закона N 86-ФЗ [6];
- нормативного акта Банка России, устанавливающего требования к обеспечению защиты информации при осуществлении переводов денежных средств и порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств, принятого на основании части 3 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" [7].
Настоящий стандарт не распространяется на отношения, регулируемые Федеральным законом от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - Федеральный закон N 115-ФЗ) [2]. При проведении идентификации клиента, представителя клиента и (или) выгодоприобретателя в соответствии с требованиями Федерального закона N 115-ФЗ положения настоящего стандарта могут применяться в дополнение к требованиям Федерального закона N 115-ФЗ.
Положения настоящего стандарта носят рекомендательный характер, если только обязательность применения отдельных из них не установлена нормативными правовыми актами, в том числе нормативными актами Банка России. Настоящий стандарт может быть использован для включения ссылок на него и (или) прямого включения содержащихся в нем положений во внутренние документы финансовых организаций, а также в договоры, заключенные между финансовыми организациями.
2. НОРМАТИВНЫЕ ССЫЛКИ
В настоящем стандарте использованы нормативные ссылки на следующие документы:
- ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения", утвержденный и введенный в действие приказом Росстандарта от 10.04.2020 N 159-ст (далее - ГОСТ Р 58833-2020);
- ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденный и введенный в действие приказом Росстандарта от 08.08.2017 N 822-ст (далее - ГОСТ Р 57580.1-2017);
- ГОСТ Р 70262.1-2022 "Защита информации. Идентификация и аутентификация. Уровни доверия идентификации", утвержденный и введенный в действие приказом Росстандарта от 05.08.2022 N 740-ст (далее - ГОСТ Р 70262.1-2022);
- ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения", утвержденный и введенный в действие приказом Росстандарта от 22.12.2022 N 1548-ст (далее - ГОСТ Р 57580.3-2022);
- Р 1323565.1.012-2017 "Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации", утвержденные и введенные в действие приказом Росстандарта от 22.12.2017 N 2068-ст (далее - Р 1323565.1.012-2017).
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящем стандарте термины "аутентификационная информация", "аутентификация", "верификация", "верифицирующая сторона", "вторичная идентификация", "доверие", "идентификационная информация", "идентификационный атрибут", "идентификация", "первичная идентификация", "протокол аутентификации", "среда функционирования", "средство аутентификации (аутентификатор)", "уверенность", "уровень доверия", "устройство аутентификации", "фактор" применены в значениях, определенных ГОСТ Р 58833-2020 и ГОСТ Р 70262.1-2022, а также используются следующие термины с соответствующими определениями:
Делегирование идентификации/аутентификации - процесс передачи поставщиком услуг обязанности или права проведения идентификации или аутентификации получателя услуг доверенной третьей стороне.
Доверенная третья сторона - организация, предоставляющая один сервис или более, участвующий при проведении идентификации или аутентификации получателя услуг, которой доверяют другие участники взаимодействия в отношении данных сервисов (поставщик услуг и получатель услуг).
Канал взаимодействия - физическое или логическое соединение, которое обеспечивает взаимодействие между сторонами информационного взаимодействия.
Метка времени - достоверная информация о моменте создания электронного сообщения, которая присоединена к нему или иным образом связана с ним.
Перенаправление (redirect) - процесс автоматической переадресации с одного URL-адреса на другой.
Получатель услуг - физическое или юридическое лицо, являющееся клиентом поставщика услуг в целях получения финансовых продуктов и услуг; поставщика услуг.
Поставщик услуг - финансовая организация, предоставляющая финансовые продукты и услуги дистанционным способом, для получения которых клиентам финансовой организации необходимо пройти идентификацию и аутентификацию.
Программный сервис - программный компонент, выполняющий операции от имени цифровой идентичности получателя услуг и с его разрешения, но без его личного участия.
Протокол взаимодействия <1> - прикладной протокол, в рамках которого стороны информационного взаимодействия последовательно выполняют определенные действия и обмениваются сообщениями в соответствии с заданным форматом.
<1> В рамках данного стандарта термин используется в отношении протоколов взаимодействия, реализующих процессы идентификации и аутентификации.
Процедура <2> - установленный способ осуществления процесса.
<2> В рамках данного стандарта термин используется в отношении процедур, устанавливающих процессы идентификации и аутентификации.
Процесс <3> - совокупность взаимосвязанных и (или) взаимодействующих видов деятельности, использующих входы для получения намеченного результата.
<3> В рамках данного стандарта термин используется в отношении процессов идентификации и аутентификации.
Сведения об идентификации/аутентификации - данные о фактах и результатах проведения идентификации/аутентификации получателя услуг в рамках цифровой идентичности и цифровой среды.
Служба идентификации/аутентификации - компонент собственной информационной системы поставщика услуг, осуществляющий проведение идентификации/аутентификации получателей услуг.
Сервис идентификации/аутентификации - компонент информационной системы идентификации/аутентификации доверенной третьей стороны, дистанционно предоставляемый для проведения идентификации/аутентификации получателей услуг при их делегировании доверенной третьей стороне.
Состояние идентификационной/аутентификационной информации - характеристика идентификационной/аутентификационной информации, определяющая, на каком этапе жизненного цикла находится идентификационная или аутентификационная информация.
Цифровая идентичность - цифровое представление получателя услуг в виде набора атрибутов, характеризующих данного получателя услуг, и их значений, каждый из которых имеет свой уникальный идентификатор в рамках конкретной цифровой среды.
Цифровая среда - среда функционирования, в которой поставщиком услуг осуществляется предоставление получателям финансовых продуктов и услуг.
4. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
ГИС - государственная информационная система
ДТС - доверенная третья сторона
ЕСИА - федеральная государственная информационная система "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"
СКЗИ - средство криптографической защиты информации
УДА - уровень доверия аутентификации
УДИ - уровень доверия идентификации
ФЛ - физическое лицо
ЮЛ - юридическое лицо
CAPTCHA - completely automated public Turing test to tell computers and humans apart (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей)
DFP - device fingerprint (цифровой отпечаток устройства)
IMSI - international mobile subscriber identity (международный идентификатор мобильного абонента, индивидуальный номер абонента)
OSI - open systems interconnection (взаимодействие открытых систем)
PIN - personal identification number (персональный идентификационный номер, ПИН-код)
SIM - subscriber identification module (модуль идентификации абонента, сим)
TLS - transport layer security (протокол защиты транспортного уровня)
5. ОБЩИЕ ПОЛОЖЕНИЯ
Под средой доверия при проведении идентификации и аутентификации в целях предоставления финансовых продуктов и услуг понимают такое состояние среды взаимодействия между финансовой организацией - поставщиком услуг и клиентом - получателем услуг, а также при возможном участии организаций, предоставляющих один сервис или более, участвующий в идентификации и аутентификации, при котором обеспечена необходимая уверенность в том, что получатель услуги соответствует представленной идентификационной информации (идентифицирован), а также является тем, за кого себя выдает (аутентифицирован).
Настоящий стандарт развивает положения ГОСТ Р 58833-2020 в части организации процессов дистанционной идентификации и аутентификации и обеспечения необходимой уверенности в результатах, а также нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации при осуществлении финансовых операций [5, 6, 7] в части технологии безопасной обработки защищаемой информации на технологическом участке идентификации, аутентификации и авторизации клиентов при осуществлении финансовых операций в целях противодействия осуществлению незаконных финансовых операций.
В рамках настоящего стандарта процессы идентификации и аутентификации применяются в соответствии с описанием, приведенным в ГОСТ Р 58833-2020, и включают в себя следующие составляющие:
- первичная идентификация (регистрация);
- вторичная идентификация;
- аутентификация;
- делегирование идентификации или аутентификации;
- передача идентификационной или аутентификационной информации и сведений об идентификации или аутентификации.
Описание указанных процессов, их цели, этапы и ожидаемые результаты установлены ГОСТ Р 58833-2020, если в настоящем стандарте не указано иное.
В рамках настоящего стандарта рассматривается только дистанционное предоставление финансовых продуктов и услуг финансовой организацией, в связи с чем идентификация и аутентификация также являются дистанционными, то есть осуществляются без личного присутствия клиента в финансовой организации. Далее по тексту настоящего стандарта под терминами "идентификация" и "аутентификация" подразумеваются дистанционные процессы.
В процессах идентификации и аутентификации участники взаимодействия могут выступать в следующих ролях: поставщик услуг, получатель услуг, доверенная третья сторона. Наличие или отсутствие указанных ролей в процессах идентификации и аутентификации зависит от конкретной реализации процессов предоставления финансового продукта или услуги.
6. ПОРЯДОК ПРИМЕНЕНИЯ НАСТОЯЩЕГО СТАНДАРТА
Настоящий стандарт определяет состав и содержание мер защиты информации для обеспечения доверия к результатам идентификации и аутентификации получателей услуг при осуществлении финансовых операций. Уровень доверия идентификации и аутентификации определяется степенью уверенности в результатах идентификации и степенью уверенности в результатах аутентификации, как определено в ГОСТ Р 58833-2020.
Для использования дифференцированного подхода в рамках системы обеспечения доверия применяются предопределенные уровни доверия, которые определяют уверенность в результатах идентификации и аутентификации получателей услуг. Минимальный состав мер защиты информации, которому должны соответствовать процессы идентификации и аутентификации для достижения необходимой уверенности, определяется для каждого из уровней доверия.
Выбор уровня доверия осуществляется исходя из критичности финансовой операции, которая будет проведена после идентификации и аутентификации. Основным критерием при выборе наиболее подходящего уровня доверия должен являться результат оценки операционного риска, то есть должен применяться риск-ориентированный подход. Оценка операционного риска критичности операции при выборе уровня доверия должна осуществляться кредитными организациями с учетом требований к системе управления операционным риском, установленных Положением Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" [8], а иными финансовыми организациями - в соответствии с установленной внутренними документами политикой управления операционным риском.
В соответствии с риск-ориентированным подходом финансовые организации должны установить во внутренних документах уровни доверия в разрезе осуществляемых финансовых операций. Также, так как одна и та же финансовая операция в зависимости от ее характера и параметров может иметь различную критичность, финансовые организации должны установить во внутренних документах конкретные показатели оценки операционного риска, характеризующие принадлежность финансовой операции к конкретному уровню доверия (далее - показатели оценки операционного риска).
Дополнительно результаты идентификации и аутентификации с учетом выбранного уровня доверия могут применяться в рамках системы управления рисками для определения остаточного риска в целях противодействия осуществлению финансовых услуг без согласия клиента.
Настоящий стандарт определяет состав и содержание мер защиты информации, применяемых к:
- процессу идентификации в разрезе УДИ;
- делегированию идентификации ДТС;
- процессу аутентификации в разрезе УДА;
- процессу аутентификации при использовании отдельных аутентификаторов (приложение 2 к стандарту);
- делегированию аутентификации ДТС.
Финансовые организации должны учитывать при разработке модели угроз безопасности информации в отношении технологических процессов, реализующих финансовые операции, угрозы безопасности процессов идентификации и аутентификации. Для нейтрализации выявленных угроз финансовые организации должны обеспечивать реализацию мер защиты информации, установленных настоящим стандартом (таблицы 3, 6, 7, 8).
При этом для мер защиты информации, предусматривающих конкретные контрольные значения для реагирования (например, ограничение времени пользовательского сеанса или доверительный интервал метки времени), финансовой организации необходимо установить во внутренних документах конкретные контрольные значения для каждой такой меры защиты исходя из модели угроз безопасности информации, а также из установленных показателей оценки операционного риска.
При невозможности реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности финансовая организация может применять компенсирующие меры, направленные на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из настоящего стандарта, не применяемые финансовой организацией в связи с невозможностью реализации и (или) экономической нецелесообразностью. При этом финансовая организация должна во внутренних документах обосновать применение компенсирующих мер защиты информации, в том числе в части подтверждения нейтрализации определенных угроз безопасности информации, а также определить порядок и периодичность контроля за реализацией компенсирующих мер.
В случае если конкретная мера защиты информации является неактуальной в рамках конкретного технологического процесса, финансовая организация должна во внутренних документах обосновать неактуальность данной меры защиты информации.
Обоснование применения компенсирующих мер защиты информации или неактуальности мер защиты информации должно в том числе содержать:
- наименование технологического процесса, реализующего финансовые операции;
- описание неприменяемой или неактуальной меры защиты информации;
- перечень угроз безопасности информации, которые нейтрализует данная мера защиты информации;
- отсылку (выписку) на модель угроз безопасности информации технологических процессов, реализующих финансовые операции, подтверждающую актуальность или неактуальность данных угроз для технологического процесса;
- для обоснования применения компенсирующих мер защиты информации - перечень и описание компенсирующих мер защиты информации, содержащее в том числе подтверждение факта нейтрализации угроз безопасности информации для технологического процесса, которые были определены для неприменяемой меры защиты информации.
При применении настоящего стандарта также необходимо учитывать следующее.
В случае если идентификационная или аутентификационная информация содержит персональные данные, необходимо применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" [3], постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [9], приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [11] и приказом ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" [12].
Использование СКЗИ и (или) средств электронной подписи при проведении идентификации и аутентификации должно осуществляться в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" [4], приказом ФСБ России от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" [10] и технической документацией на СКЗИ и (или) средство электронной подписи.
Безопасность обработки, предоставления доступа, хранения и уничтожения идентификационной и аутентификационной информации после проведения идентификации и аутентификации необходимо обеспечивать с учетом требований ГОСТ Р 57580.1-2017.
7. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПРОВЕДЕНИИ ДИСТАНЦИОННОЙ ИДЕНТИФИКАЦИИ
7.1. УРОВНИ ДОВЕРИЯ ИДЕНТИФИКАЦИИ
УДИ устанавливаются в рамках процесса идентификации, включающего в себя:
- первичную идентификацию (регистрацию) получателей услуг, являющихся физическими лицами и представителями юридических лиц;
- вторичную идентификацию получателей услуг, являющихся физическими лицами и представителями юридических лиц.
Для финансовых организаций устанавливаются три УДИ, определяющих уверенность в результатах идентификации: низкий (УДИ 1), средний (УДИ 2) и высокий (УДИ 3). В таблице 1 приведены критерии для каждого УДИ, определяющие соответствующий уровень уверенности в результате идентификации.
Полный текст документа
можно найти в следующих справочно-правовых системах "Консультант Плюс":
Вы можете БЕСПЛАТНО отправить запрос
- на полный текст этого документа
- на покупку или демоверсию любой из вышеперечисленных систем "КонсультантПлюс" (в составе которой будет и этот нормативный документ)
Заполнить Форму запроса
|
