Документ не вступил в силу. Подробнее см. Справку
"Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации" СТО БР БФБО-1.8-2024" (принят и введен в...

Приложение 2

(ОБЯЗАТЕЛЬНОЕ)

ПРИМЕРЫ

АУТЕНТИФИКАТОРОВ В РАЗРЕЗЕ УРОВНЕЙ ДОВЕРИЯ АУТЕНТИФИКАЦИИ

Данное приложение содержит примеры аутентификаторов в разрезе уровней доверия аутентификации, определенных в разделе 8. Приведенный перечень примеров аутентификаторов не является исчерпывающим, поставщики услуг могут использовать иные аутентификаторы в рамках процесса аутентификации. При этом возможность применения иных аутентификаторов в рамках выбранного УДА должна определяться исходя из разработанной модели угроз безопасности информации и установленных показателей оценки операционного риска, а также устанавливаться во внутренних документах финансовой организации.

Табл. П-2

ПРИМЕРЫ АУТЕНТИФИКАТОРОВ В РАЗРЕЗЕ УРОВНЕЙ ДОВЕРИЯ АУТЕНТИФИКАЦИИ

Аутентификаторы

УДА 1

УДА 2

УДА 3

Запоминаемый секрет (например, ПИН-код, пароль)

+

-

-

Поисковый секрет (физическая или электронная запись, в которой хранится набор одноразовых паролей)

+

-

-

Внеполосный аутентификатор (физическое устройство, которое имеет однозначную адресацию и может безопасно связываться со службой аутентификации по отдельному каналу связи)

+

-

-

Биометрические характеристики человека

+

-

-

Средство аутентификации, реализующее передачу одноразового пароля через альтернативный канал

+

-

-

Однофакторный генератор одноразовых паролей, основанный на криптографических методах

+

-

-

Однофакторное криптографическое техническое средство аутентификации

+

-

-

Однофакторное криптографическое программное средство аутентификации или софт-токен (при наличии дополнительной аутентификации на устройстве для доступа к криптографическому программному средству аутентификации или софт-токену)

+

+

-

Комбинация средств аутентификации (не менее двух аутентификаторов), разных по факторам

+

+

-

Многофакторный генератор одноразовых паролей, основанный на криптографических методах

+

+

+

Многофакторное криптографическое программное средство аутентификации

+

+

+

Многофакторное криптографическое техническое средство аутентификации

+

+

+

Многофакторное криптографическое техническое средство аутентификации с неизвлекаемым ключом

+

+

+

Комбинации средств аутентификации (не менее двух), одно из которых является криптографическим, а второе отличается от первого по фактору аутентификации

+

+

+

Приложение 1. Примеры реализаций процесса верификации в разрезе уровней доверия идентификации