Аутентификация субъектов доступа основывается на следующих принципах:
В СКЗИ технических средств информационной инфраструктуры платежной системы должны быть реализованы криптографические механизмы, удовлетворяющие 4.1 и обеспечивающие аутентификацию субъектов и/или процессов доступа, осуществляющих доступ или взаимодействующих с СКЗИ.
При этом для обеспечения удаленной аутентификации при организации защищенной передачи данных и для обеспечения аутентификации при взаимодействии с СКЗИ по каналам удаленного управления должны применяться криптографические механизмы, утвержденные в качестве национальных стандартов Российской Федерации или рекомендаций по стандартизации Росстандарта, или криптографические механизмы, имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований.
Использование паролей для аутентификации субъектов доступа (пользователей), являющихся физическими лицами и осуществляющих доступ к техническим средствам информационной инфраструктуры платежной системы, допускается только для локальной аутентификации СКЗИ.
Для проведения локальной аутентификации с целью изменения настроек безопасности, а также загрузки/смены/уничтожения ключей (администрирования) требуется использовать:
- в платежных устройствах с терминальным ядром (терминалах) не менее двух паролей.
- в банкоматах, аппаратных модулях безопасности информационной инфраструктуры платежных систем (HSM модулях) и иных технических средствах информационной инфраструктуры платежной системы как минимум два аутентифицирующих фактора (знание, владение).
Для обеспечения локальной аутентификации субъектов доступа, являющихся физическими лицами и осуществляющих доступ к СКЗИ в аппаратных модулях безопасности информационной инфраструктуры платежных систем (HSM модулях), должна быть реализована ролевая аутентификация субъектов доступа. При этом требуется поддержка следующих ролей:
- роль пользователя, в рамках которой выполняются реализованные в СКЗИ криптографические функции;
- роль привилегированного пользователя, в рамках которой могут выполняться функции управления СКЗИ (настройка, конфигурирование и т.п.).
Кроме того, в HSM критические функции управления ключами должны выполняться под двойным контролем (т.е. при условии обязательной аутентификации не менее двух привилегированных пользователей). К критическим функциям управления ключами в обязательном порядке должны относиться функции формирования (загрузки) и резервирования локальных мастер-ключей HSM, предназначенных для защищенного хранения ключей держателей карт.
При аутентификации субъектов доступа, являющихся процессами и осуществляющих взаимодействие с СКЗИ, должен быть реализован криптографический механизм взаимной аутентификации.
Для всех классов СКЗИ для любого реализованного механизма аутентификации субъектов доступа должен быть реализован механизм ограничения числа следующих подряд неудачных попыток аутентификации одного субъекта доступа.
При превышении числа следующих подряд неудачных попыток аутентификации одного субъекта доступа установленного предельно допустимого значения доступ этого субъекта доступа к СКЗИ следует блокировать на заданный промежуток времени.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей