Экспертиза

22
февраля
2023 год

Краткий обзор проекта Стандарта СТО БР БФБО-1.8-2023

Кобец Дмитрий
Эксперт в сфере информационной безопасности

Банк России, опубликовал проект нового Стандарта СТО БР БФБО-1.8-2023 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».

Данным стандартом, регулятор объединяет в одном документе с состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов финансовых организаций (кредитных и некредитных), только при дистанционном обслуживании, предоставлении финансовых услуг.

Положения данного стандарта носят рекомендательный характер и не являются обязательными к исполнению, т.к. обязательность его применения не установлена законодательством Российской Федерации.

Настоящий стандарт детализирует и расширяет положения ГОСТ Р 58833-2020 в части организации процессов и применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.

Субъекты – участники взаимодействия в идентификации и аутентификации, выделены в следующие роли:

  • Поставщики услуг – финансовые организации;
  • Получатели услуг – физические и/или юридические лица – клиенты финансовых организаций;
  • Доверенная третья сторона – организация, предоставляющая один или более сервисов, участвующих в идентификации и аутентификации, и которой доверяют другие участники взаимодействия в отношении данных сервисов.

Для финансовых организаций устанавливается три Уровня Доверия к Идентификации (УДИ) и Уровни Доверия к Аутентификации (УДА). Где самые низкие уровни доверия (УДИ1 и УДА1) требуют минимальных данных для соотнесения заявленным данным к верифицированным. А высокие уровни, требуют верификации с использованием государственных информационных систем и применение криптографии.

Также в данном стандарте, в отдельных таблицах, указаны:

  • состав и содержание мер защиты информации, применяемые к процессу идентификации в зависимости от уровней доверия;
  • состав и содержание мер защиты информации, применяемые при делегировании идентификации;
  • состав и содержание мер защиты информации при проведении дистанционной идентификации;
  • критерии, устанавливающие соответствующие уровни уверенности к результатам аутентификации;
  • критерии применения УДА к сценариям аутентификации получателя услуг;
  • состав и содержание мер защиты информации, применяемые к процессу аутентификации в зависимости от УДА;
  • состав мер защиты информации, применяемый при делегировании аутентификации Доверенной Третьей Стороне;

Выбор уровня доверия осуществляется организациями самостоятельно в рамках системы управления рисками исходя из критичности операции.

Данный стандарт поможет уменьшить количество мошеннических действий связанных с аутентификацией и идентификацией, а также сохранить денежные средства клиентов финансовых организаций.

Источник: RTM GROUP


Вернуться к списку экспертиз

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС