8.3. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ОТДЕЛЬНЫХ АУТЕНТИФИКАТОРОВ

N

Содержание меры защиты информации

УДА 1

УДА 2

УДА 3

1. Меры защиты информации при использовании аутентификаторов, основанных на факторе знания: запоминаемый секрет (например, ПИН-код, пароль)

1.1

Служба аутентификации должна позволять устанавливать критерии сложности (длина, размер алфавита, обязательность различных типов символов и так далее) запоминаемого секрета, которые должны определяться на основании анализа рисков поставщиком услуг, осуществлять проверку на сложность запоминаемого секрета в соответствии с установленными критериями сложности, а также информировать получателя услуг об уровне сложности выбранного им запоминаемого секрета

О

О

О

1.2

Служба аутентификации должна скрывать вводимые символы запоминаемого секрета

О

О

О

1.3

Служба аутентификации должна осуществлять контроль смены запоминаемого секрета, сгенерированного службой аутентификации при первичной идентификации получателя услуг или после истечения его срока действия, определяемого на основании анализа рисков поставщиком услуг

О

О

О

1.4

Служба аутентификации должна ограничивать максимальное количество неудачных попыток аутентификации с использованием запоминаемого секрета, которое определяется на основании анализа рисков поставщиком услуг

О

О

О

1.5

Служба аутентификации должна применять механизм CAPTCHA (или аналогичные меры защиты от перебора) после установленного количества неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг

О

О

О

1.6

Служба аутентификации должна требовать изменения запоминаемого секрета при получении информации о его компрометации, в том числе из открытых источников информации

О

О

О

1.7

Служба аутентификации должна обеспечить невозможность повторного использования запоминаемых секретов получателя услуг, количество неповторяемых запоминаемых секретов определяется на основании анализа рисков поставщиком услуг

О

О

О

1.8

Служба аутентификации должна хранить запоминаемые секреты в форме, которая является стойкой к офлайн-атакам на запоминаемый секрет

О

О

О

2. Меры защиты информации при использовании аутентификаторов, основанных на аутентификации по отдельному каналу связи: внеполосный аутентификатор (физическое устройство, которое имеет однозначную адресацию и может безопасно связываться со службой аутентификации по отдельному каналу связи)

2.1

Служба аутентификации должна аутентифицировать внеполосный аутентификатор с помощью либо случайно сгенерированного зашитого ключа, либо сим-карты (IMSI)

О

О

О

2.2

Внеполосный аутентификатор должен иметь однозначную адресацию по каждому каналу взаимодействия со службой аутентификации

О

О

О

2.3

Внеполосный аутентификатор должен обеспечивать возможность подтверждения факта владения внеполосным аутентификатором

О

О

О

2.4

Служба аутентификации должна ограничивать период ответа на запрос аутентификации на внеполосный аутентификатор, определяемый на основании анализа рисков поставщиком услуг

О

О

О

2.5

Служба аутентификации должна ограничивать количество использований внеполосного аутентификатора в период времени, определяемый на основании анализа рисков поставщиком услуг

О

О

О

2.6

Служба аутентификации при аутентификации внеполосного аутентификатора должна осуществлять дополнительные проверки на несоответствие параметров внеполосного аутентификатора или повторного воспроизведения внеполосного аутентификатора

О

О

О

3. Меры защиты информации при использовании аутентификаторов, основанных на биометрических характеристиках человека <13>

3.1

Служба аутентификации в случае использования изображения лица человека или записи голоса человека должна обеспечивать соответствие биометрических образцов требованиям приказа Минцифры России от 12.05.2023 N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц" [14], для иных модальностей необходимо применять критерии качества, установленные российскими и международными стандартами и практиками

О

О

О

3.2

Служба аутентификации должна обеспечить вероятность ложного или ложноположительного результата аутентификации с использованием биометрических характеристик на уровне, не превышающем установленные законодательством показатели, а в случае отсутствия таких показателей на уровне, установленном российскими и международными стандартами и практиками

О

О

О

3.3

Служба аутентификации должна использовать методы обнаружения атак на биометрическое предъявление в процессе биометрического предъявления и сбора соответствующих биометрических параметров в соответствии со стандартами ГОСТ Р 58624 <14>

О

О

О

3.4

Служба аутентификации должна обеспечивать защиту от несанкционированного доступа хранилища биометрических образцов <15> и векторов биометрических параметров

О

О

О

3.5

Служба аутентификации должна обеспечивать защиту каналов взаимодействия между внутренними датчиками, системой извлечения признаков (биометрических векторов) и прикладным программным обеспечением

О

О

О

4. Меры защиты информации при использовании аутентификаторов, основанных на генерации одноразового пароля:

- поисковый секрет (физическая или электронная запись, в которой хранится набор одноразовых паролей);

- средство аутентификации, реализующее передачу одноразового пароля через альтернативный канал;

- однофакторный генератор одноразовых паролей, основанный на криптографических методах;

- многофакторный генератор одноразовых паролей, основанный на криптографических методах

4.1

Служба аутентификации должна использовать надежный генератор случайных чисел, соответствующий требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля

О

-

-

4.2

Служба аутентификации должна использовать генератор случайных чисел, прошедший процедуру оценки соответствия требованиям <16>, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля

-

О

О

4.3

Служба аутентификации должна обеспечивать использование технологии, обеспечивающей невозможность раскрытия одноразового пароля третьим лицам при его передаче

О

О

О

4.4

Служба аутентификации должна использовать одноразовые пароли с учетом сложности (длина, размер алфавита, обязательность различных типов символов и так далее), которая должна определяться на основании анализа рисков поставщиком услуг

О

О

О

4.5

Одноразовый пароль должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг

О

О

О

4.6

Служба аутентификации должна ограничивать количество запросов одноразового пароля за период, определяемый на основании анализа рисков поставщиком услуг

О

О

О

4.7

Служба аутентификации должна хранить одноразовые пароли в форме, которая является устойчивой к офлайн-атакам

О

О

О

4.8

Служба аутентификации должна передавать одноразовый пароль только на устройства, имеющие однозначную адресацию по каждому каналу взаимодействия со службой аутентификации

О

О

О

4.9

Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были аутентифицированы службой аутентификации

Н

О

О

4.10

Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были верифицированы службой идентификации при первичной идентификации

Н

Н

О

4.11

В случае использования программного датчика случайных чисел служба аутентификации должна обеспечить защиту инициализирующей последовательности такого генератора случайных чисел от атак на повторное воспроизведение

Н

О

О

5. Меры защиты информации при использовании криптографических программных аутентификаторов:

- однофакторное криптографическое программное средство аутентификации или софт-токен;

- многофакторное криптографическое программное средство аутентификации

5.1

Криптографический ключ должен храниться в безопасном хранилище, доступном только для приложения криптографического программного средства аутентификации

О

О

О

5.2

Криптографический ключ криптографического программного средства аутентификации должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг

О

О

О

5.3

Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, соответствующего требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля

О

ФЛ

-

5.4

Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям <17>, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля

-

ЮЛ

О

6. Меры защиты информации при использовании криптографических технических аутентификаторов:

- однофакторное криптографическое техническое средство аутентификации;

- многофакторное криптографическое техническое средство аутентификации;

- многофакторное криптографическое техническое средство аутентификации с неизвлекаемым ключом

6.1

Служба аутентификации должна обеспечивать ведение реестра и фильтрацию по указанному реестру криптографических технических аутентификаторов

О

О

О

6.2

Криптографический ключ криптографического технического аутентификатора должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг

О

О

О

6.3

Криптографический ключ должен храниться в безопасном хранилище криптографического технического средства аутентификации

О

О

О

6.4

Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям <17>, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля

Н

ЮЛ

О