10. ИСПОЛЬЗОВАНИЕ СТАНДАРТА ДЛЯ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ К ПОДПРОЦЕССУ "ИДЕНТИФИКАЦИЯ, АУТЕНТИФИКАЦИЯ, АВТОРИЗАЦИЯ (РАЗГРАНИЧЕНИЕ ДОСТУПА) ПРИ ОСУЩЕСТВЛЕНИИ ЛОГИЧЕСКОГО ДОСТУПА" ГОСТ Р 57580.1-2017

10. ИСПОЛЬЗОВАНИЕ СТАНДАРТА ДЛЯ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ К ПОДПРОЦЕССУ "ИДЕНТИФИКАЦИЯ, АУТЕНТИФИКАЦИЯ, АВТОРИЗАЦИЯ (РАЗГРАНИЧЕНИЕ ДОСТУПА) ПРИ ОСУЩЕСТВЛЕНИИ ЛОГИЧЕСКОГО ДОСТУПА" ГОСТ Р 57580.1-2017

Положения настоящего стандарта могут применяться в сценариях, отличных от предоставления финансовых продуктов и услуг клиентам финансовой организации. Одним из альтернативных сценариев применения может выступать реализация требований ГОСТ Р 57580.1-2017 к подпроцессу "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа":

- при проведении идентификации и (или) аутентификации работников или программных сервисов финансовой организации с целью предоставления финансовых услуг из-за пределов вычислительных сетей финансовой организации;

- при проведении идентификации и (или) аутентификации работников, эксплуатационного персонала или программных сервисов финансовой организации при осуществлении логического доступа к инфраструктуре финансовой организации из-за пределов вычислительных сетей финансовой организации;

- при проведении идентификации и (или) аутентификации представителей аутсорсинговых организаций при осуществлении логического доступа к инфраструктуре финансовой организации из-за пределов вычислительных сетей финансовой организации;

- при проведении идентификации и (или) аутентификации работников, эксплуатационного персонала или программных сервисов при осуществлении логического доступа к совместно используемым физическим или виртуальным (облачным) ресурсам;

- при проведении идентификации и (или) аутентификации в рамках других сценариев, определяемых организациями.

Выбор уровня доверия осуществляется организациями самостоятельно в рамках системы управления рисками исходя из критичности операции. В таблице 9 приведены рекомендованные критерии применения УДИ и УДА к указанным сценариям.

Табл. 9

ПРИМЕНЕНИЕ УДИ И УДА К СЦЕНАРИЯМ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ РАБОТНИКОВ ФИНАНСОВОЙ ОРГАНИЗАЦИИ, ЭКСПЛУАТАЦИОННОГО ПЕРСОНАЛА И ПРЕДСТАВИТЕЛЕЙ АУТСОРСИНГОВЫХ ОРГАНИЗАЦИЙ

Субъекты доступа
Осуществление логического доступа
к некритичным процессам
к критичным процессам
Работники финансовой организации
УДИ 1, УДА 1
УДИ 2, УДА 2
Эксплуатационный персонал
УДИ 2, УДА 2
УДИ 3, УДА 3
Представители аутсорсинговых организаций
УДИ 2, УДА 2
УДИ 3, УДА 3
Программные сервисы
УДА 2
УДА 2

Состав мер защиты информации, применяемый к процессам идентификации и аутентификации, к указанным УДИ и УДА, приведен в разделах 7 и 8 настоящего стандарта. Организации самостоятельно принимают решение о необходимости реализации той или иной меры на основе результатов анализа рисков для конкретного процесса, к которому предоставляется доступ.

БИБЛИОГРАФИЯ

1. Федеральный закон от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".

2. Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".

3. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

4. Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи".

5. Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

6. Положение Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

7. Положение Банка России от 04.06.2020 N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", документ утрачивает силу с 1 апреля 2024 года в связи с изданием Положения Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

8. Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".

9. Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

10. Приказ ФСБ России от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".

11. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

12. Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

13. БФБО-1.7-2023 "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств".

14. Приказ Минцифры России от 12.05.2023 N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц".

15. ГОСТ Р 58624.1-2019 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура".

16. ГОСТ Р 58624.2-2019 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных".

17. ГОСТ Р 58624.3-2019 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний".