8.3. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ОТДЕЛЬНЫХ АУТЕНТИФИКАТОРОВ
8.3. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ОТДЕЛЬНЫХ АУТЕНТИФИКАТОРОВ 
В таблице 7 приведен состав мер, применяемый в случаях использования в процессе аутентификации отдельных аутентификаторов, приведенных в приложении 2 к стандарту.
Табл. 7
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ ПРИ ПРИМЕНЕНИИ ОТДЕЛЬНЫХ АУТЕНТИФИКАТОРОВ
|
N
|
Содержание меры защиты информации
|
УДА 1
|
УДА 2
|
УДА 3
|
|
1. Меры защиты информации при использовании аутентификаторов, основанных на факторе знания: запоминаемый секрет (например, ПИН-код, пароль)
|
||||
|
1.1
|
Служба аутентификации должна позволять устанавливать критерии сложности (длина, размер алфавита, обязательность различных типов символов и так далее) запоминаемого секрета, которые должны определяться на основании анализа рисков поставщиком услуг, осуществлять проверку на сложность запоминаемого секрета в соответствии с установленными критериями сложности, а также информировать получателя услуг об уровне сложности выбранного им запоминаемого секрета
|
О
|
О
|
О
|
|
1.2
|
Служба аутентификации должна скрывать вводимые символы запоминаемого секрета
|
О
|
О
|
О
|
|
1.3
|
Служба аутентификации должна осуществлять контроль смены запоминаемого секрета, сгенерированного службой аутентификации при первичной идентификации получателя услуг или после истечения его срока действия, определяемого на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
1.4
|
Служба аутентификации должна ограничивать максимальное количество неудачных попыток аутентификации с использованием запоминаемого секрета, которое определяется на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
1.5
|
Служба аутентификации должна применять механизм CAPTCHA (или аналогичные меры защиты от перебора) после установленного количества неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
1.6
|
Служба аутентификации должна требовать изменения запоминаемого секрета при получении информации о его компрометации, в том числе из открытых источников информации
|
О
|
О
|
О
|
|
1.7
|
Служба аутентификации должна обеспечить невозможность повторного использования запоминаемых секретов получателя услуг, количество неповторяемых запоминаемых секретов определяется на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
1.8
|
Служба аутентификации должна хранить запоминаемые секреты в форме, которая является стойкой к офлайн-атакам на запоминаемый секрет
|
О
|
О
|
О
|
|
2. Меры защиты информации при использовании аутентификаторов, основанных на аутентификации по отдельному каналу связи: внеполосный аутентификатор (физическое устройство, которое имеет однозначную адресацию и может безопасно связываться со службой аутентификации по отдельному каналу связи)
|
||||
|
2.1
|
Служба аутентификации должна аутентифицировать внеполосный аутентификатор с помощью либо случайно сгенерированного зашитого ключа, либо сим-карты (IMSI)
|
О
|
О
|
О
|
|
2.2
|
Внеполосный аутентификатор должен иметь однозначную адресацию по каждому каналу взаимодействия со службой аутентификации
|
О
|
О
|
О
|
|
2.3
|
Внеполосный аутентификатор должен обеспечивать возможность подтверждения факта владения внеполосным аутентификатором
|
О
|
О
|
О
|
|
2.4
|
Служба аутентификации должна ограничивать период ответа на запрос аутентификации на внеполосный аутентификатор, определяемый на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
2.5
|
Служба аутентификации должна ограничивать количество использований внеполосного аутентификатора в период времени, определяемый на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
2.6
|
Служба аутентификации при аутентификации внеполосного аутентификатора должна осуществлять дополнительные проверки на несоответствие параметров внеполосного аутентификатора или повторного воспроизведения внеполосного аутентификатора
|
О
|
О
|
О
|
|
3. Меры защиты информации при использовании аутентификаторов, основанных на биометрических характеристиках человека <13>
|
||||
|
3.1
|
Служба аутентификации в случае использования изображения лица человека или записи голоса человека должна обеспечивать соответствие биометрических образцов требованиям приказа Минцифры России от 12.05.2023 N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц" [14], для иных модальностей необходимо применять критерии качества, установленные российскими и международными стандартами и практиками
|
О
|
О
|
О
|
|
3.2
|
Служба аутентификации должна обеспечить вероятность ложного или ложноположительного результата аутентификации с использованием биометрических характеристик на уровне, не превышающем установленные законодательством показатели, а в случае отсутствия таких показателей на уровне, установленном российскими и международными стандартами и практиками
|
О
|
О
|
О
|
|
3.3
|
Служба аутентификации должна использовать методы обнаружения атак на биометрическое предъявление в процессе биометрического предъявления и сбора соответствующих биометрических параметров в соответствии со стандартами ГОСТ Р 58624 <14>
|
О
|
О
|
О
|
|
3.4
|
Служба аутентификации должна обеспечивать защиту от несанкционированного доступа хранилища биометрических образцов <15> и векторов биометрических параметров
|
О
|
О
|
О
|
|
3.5
|
Служба аутентификации должна обеспечивать защиту каналов взаимодействия между внутренними датчиками, системой извлечения признаков (биометрических векторов) и прикладным программным обеспечением
|
О
|
О
|
О
|
|
4. Меры защиты информации при использовании аутентификаторов, основанных на генерации одноразового пароля:
- поисковый секрет (физическая или электронная запись, в которой хранится набор одноразовых паролей);
- средство аутентификации, реализующее передачу одноразового пароля через альтернативный канал;
- однофакторный генератор одноразовых паролей, основанный на криптографических методах;
- многофакторный генератор одноразовых паролей, основанный на криптографических методах
|
||||
|
4.1
|
Служба аутентификации должна использовать надежный генератор случайных чисел, соответствующий требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля
|
О
|
-
|
-
|
|
4.2
|
Служба аутентификации должна использовать генератор случайных чисел, прошедший процедуру оценки соответствия требованиям <16>, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
|
-
|
О
|
О
|
|
4.3
|
Служба аутентификации должна обеспечивать использование технологии, обеспечивающей невозможность раскрытия одноразового пароля третьим лицам при его передаче
|
О
|
О
|
О
|
|
4.4
|
Служба аутентификации должна использовать одноразовые пароли с учетом сложности (длина, размер алфавита, обязательность различных типов символов и так далее), которая должна определяться на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
4.5
|
Одноразовый пароль должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
4.6
|
Служба аутентификации должна ограничивать количество запросов одноразового пароля за период, определяемый на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
4.7
|
Служба аутентификации должна хранить одноразовые пароли в форме, которая является устойчивой к офлайн-атакам
|
О
|
О
|
О
|
|
4.8
|
Служба аутентификации должна передавать одноразовый пароль только на устройства, имеющие однозначную адресацию по каждому каналу взаимодействия со службой аутентификации
|
О
|
О
|
О
|
|
4.9
|
Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были аутентифицированы службой аутентификации
|
Н
|
О
|
О
|
|
4.10
|
Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были верифицированы службой идентификации при первичной идентификации
|
Н
|
Н
|
О
|
|
4.11
|
В случае использования программного датчика случайных чисел служба аутентификации должна обеспечить защиту инициализирующей последовательности такого генератора случайных чисел от атак на повторное воспроизведение
|
Н
|
О
|
О
|
|
5. Меры защиты информации при использовании криптографических программных аутентификаторов:
- однофакторное криптографическое программное средство аутентификации или софт-токен;
- многофакторное криптографическое программное средство аутентификации
|
||||
|
5.1
|
Криптографический ключ должен храниться в безопасном хранилище, доступном только для приложения криптографического программного средства аутентификации
|
О
|
О
|
О
|
|
5.2
|
Криптографический ключ криптографического программного средства аутентификации должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
5.3
|
Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, соответствующего требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля
|
О
|
ФЛ
|
-
|
|
5.4
|
Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям <17>, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
|
-
|
ЮЛ
|
О
|
|
6. Меры защиты информации при использовании криптографических технических аутентификаторов:
- однофакторное криптографическое техническое средство аутентификации;
- многофакторное криптографическое техническое средство аутентификации;
- многофакторное криптографическое техническое средство аутентификации с неизвлекаемым ключом
|
||||
|
6.1
|
Служба аутентификации должна обеспечивать ведение реестра и фильтрацию по указанному реестру криптографических технических аутентификаторов
|
О
|
О
|
О
|
|
6.2
|
Криптографический ключ криптографического технического аутентификатора должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
6.3
|
Криптографический ключ должен храниться в безопасном хранилище криптографического технического средства аутентификации
|
О
|
О
|
О
|
|
6.4
|
Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям <17>, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
|
Н
|
ЮЛ
|
О
|
--------------------------------
<13> Исходя из российской и международной практики использование биометрических характеристик человека в качестве единственного фактора аутентификации при проведении финансовых операций не допускается. Настоящий стандарт допускает использование биометрических характеристик человека в качестве единственного фактора аутентификации только в случаях проведения финансовых операций, в которых для данного аутентификатора законодательно ограничены суммы проведения операции.
<14> ГОСТ Р 58624.1-2019 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 1. Структура" [15], ГОСТ Р 58624.2-2019 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных" [16], ГОСТ Р 58624.3-2019 "Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний" [17].
<15> Биометрические образцы, хранимые для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных.
<16> Р 1323565.1.012-2017.
<17> Р 1323565.1.012-2017.
