6. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации" СТО БР БФБО-1.8-2024" (принят и введен в действие приказом Банка России от 28.02.2024 N ОД-326)

Настоящий стандарт определяет состав и содержание мер защиты информации для обеспечения доверия к результатам идентификации и аутентификации получателей услуг при осуществлении финансовых операций. Уровень доверия идентификации и аутентификации определяется степенью уверенности в результатах идентификации и степенью уверенности в результатах аутентификации, как определено в ГОСТ Р 58833-2020.

Для использования дифференцированного подхода в рамках системы обеспечения доверия применяются предопределенные уровни доверия, которые определяют уверенность в результатах идентификации и аутентификации получателей услуг. Минимальный состав мер защиты информации, которому должны соответствовать процессы идентификации и аутентификации для достижения необходимой уверенности, определяется для каждого из уровней доверия.

Выбор уровня доверия осуществляется исходя из критичности финансовой операции, которая будет проведена после идентификации и аутентификации. Основным критерием при выборе наиболее подходящего уровня доверия должен являться результат оценки операционного риска, то есть должен применяться риск-ориентированный подход. Оценка операционного риска критичности операции при выборе уровня доверия должна осуществляться кредитными организациями с учетом требований к системе управления операционным риском, установленных Положением Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" [8], а иными финансовыми организациями - в соответствии с установленной внутренними документами политикой управления операционным риском.

В соответствии с риск-ориентированным подходом финансовые организации должны установить во внутренних документах уровни доверия в разрезе осуществляемых финансовых операций. Также, так как одна и та же финансовая операция в зависимости от ее характера и параметров может иметь различную критичность, финансовые организации должны установить во внутренних документах конкретные показатели оценки операционного риска, характеризующие принадлежность финансовой операции к конкретному уровню доверия (далее - показатели оценки операционного риска).

Дополнительно результаты идентификации и аутентификации с учетом выбранного уровня доверия могут применяться в рамках системы управления рисками для определения остаточного риска в целях противодействия осуществлению финансовых услуг без согласия клиента.

Настоящий стандарт определяет состав и содержание мер защиты информации, применяемых к:

- процессу идентификации в разрезе УДИ;

- делегированию идентификации ДТС;

- процессу аутентификации в разрезе УДА;

- процессу аутентификации при использовании отдельных аутентификаторов (приложение 2 к стандарту);

- делегированию аутентификации ДТС.

Финансовые организации должны учитывать при разработке модели угроз безопасности информации в отношении технологических процессов, реализующих финансовые операции, угрозы безопасности процессов идентификации и аутентификации. Для нейтрализации выявленных угроз финансовые организации должны обеспечивать реализацию мер защиты информации, установленных настоящим стандартом (таблицы 3, 6, 7, 8).

При этом для мер защиты информации, предусматривающих конкретные контрольные значения для реагирования (например, ограничение времени пользовательского сеанса или доверительный интервал метки времени), финансовой организации необходимо установить во внутренних документах конкретные контрольные значения для каждой такой меры защиты исходя из модели угроз безопасности информации, а также из установленных показателей оценки операционного риска.

При невозможности реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности финансовая организация может применять компенсирующие меры, направленные на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из настоящего стандарта, не применяемые финансовой организацией в связи с невозможностью реализации и (или) экономической нецелесообразностью. При этом финансовая организация должна во внутренних документах обосновать применение компенсирующих мер защиты информации, в том числе в части подтверждения нейтрализации определенных угроз безопасности информации, а также определить порядок и периодичность контроля за реализацией компенсирующих мер.

В случае если конкретная мера защиты информации является неактуальной в рамках конкретного технологического процесса, финансовая организация должна во внутренних документах обосновать неактуальность данной меры защиты информации.

Обоснование применения компенсирующих мер защиты информации или неактуальности мер защиты информации должно в том числе содержать:

- наименование технологического процесса, реализующего финансовые операции;

- описание неприменяемой или неактуальной меры защиты информации;

- перечень угроз безопасности информации, которые нейтрализует данная мера защиты информации;

- отсылку (выписку) на модель угроз безопасности информации технологических процессов, реализующих финансовые операции, подтверждающую актуальность или неактуальность данных угроз для технологического процесса;

- для обоснования применения компенсирующих мер защиты информации - перечень и описание компенсирующих мер защиты информации, содержащее в том числе подтверждение факта нейтрализации угроз безопасности информации для технологического процесса, которые были определены для неприменяемой меры защиты информации.

При применении настоящего стандарта также необходимо учитывать следующее.

В случае если идентификационная или аутентификационная информация содержит персональные данные, необходимо применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" [3], постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [9], приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [11] и приказом ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" [12].

Использование СКЗИ и (или) средств электронной подписи при проведении идентификации и аутентификации должно осуществляться в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" [4], приказом ФСБ России от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" [10] и технической документацией на СКЗИ и (или) средство электронной подписи.

Безопасность обработки, предоставления доступа, хранения и уничтожения идентификационной и аутентификационной информации после проведения идентификации и аутентификации необходимо обеспечивать с учетом требований ГОСТ Р 57580.1-2017.