Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024

Настоящий стандарт устанавливает состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов – получателей услуг при дистанционном предоставлении поставщиками финансовых продуктов и услуг в целях реализации требований Банка России на технологическом участке идентификации, аутентификации и авторизации клиентов при осуществлении банковской деятельности, деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (далее – Федеральный закон № 86-ФЗ), и переводов денежных средств (далее при совместном упоминании – финансовые операции).
Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона № 86-ФЗ, субъектами национальной платежной системы (далее при совместном упоминании – финансовые организации). Также положения настоящего стандарта могут применяться иными организациями, реализующими технологические процессы, связанные с проведением идентификации или аутентификации при дистанционном предоставлении продуктов и услуг. 
Настоящий стандарт служит для целей содействия соблюдению требований нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации и технологии безопасной обработки защищаемой информации, при осуществлении финансовых операций, в том числе:

Настоящий стандарт не распространяется на отношения, регулируемые Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Федеральный закон № 115-ФЗ) [2]. При проведении идентификации клиента, представителя клиента и (или) выгодоприобретателя в соответствии с требованиями Федерального закона № 115-ФЗ положения настоящего стандарта могут применяться в дополнение к требованиям Федерального закона
№ 115-ФЗ.
Положения настоящего стандарта носят рекомендательный характер, если только обязательность применения отдельных из них не установлена нормативными правовыми актами, в том числе нормативными актами Банка России. Настоящий стандарт может быть использован для включения ссылок на него и (или) прямого включения содержащихся в нем положений во внутренние документы финансовых организаций, а также в договоры, заключенные между финансовыми организациями.

В настоящем стандарте использованы нормативные ссылки на следующие документы:

В настоящем стандарте термины «аутентификационная информация», «аутентификация», «верификация», «верифицирующая сторона», «вторичная идентификация», «доверие», «идентификационная информация», «идентификационный атрибут», «идентификация», «первичная идентификация», «протокол аутентификации», «среда функционирования», «средство аутентификации (аутентификатор)», «уверенность», «уровень доверия», «устройство аутентификации», «фактор» применены в значениях, определенных ГОСТ Р 58833-2020 и ГОСТ Р 70262.1-2022, а также используются следующие термины с соответствующими определениями:

Делегирование идентификации/аутентификации – процесс передачи поставщиком услуг обязанности или права проведения идентификации или аутентификации получателя услуг доверенной третьей стороне.

Доверенная третья сторона – организация, предоставляющая один сервис или более, участвующий при проведении идентификации или аутентификации получателя услуг, которой доверяют другие участники взаимодействия в отношении данных сервисов (поставщик услуг и получатель услуг).

Канал взаимодействия – физическое или логическое соединение, которое обеспечивает взаимодействие между сторонами информационного взаимодействия.

Метка времени – достоверная информация о моменте создания электронного сообщения, которая присоединена к нему или иным образом связана с ним.

Перенаправление (redirect) – процесс автоматической переадресации с одного URL-адреса на другой.

Получатель услуг – физическое или юридическое лицо, являющееся клиентом поставщика услуг в целях получения финансовых продуктов и услуг; поставщика услуг.

Поставщик услуг – финансовая организация, предоставляющая финансовые продукты и услуги дистанционным способом, для получения которых клиентам финансовой организации необходимо пройти идентификацию и аутентификацию.

Программный сервис – программный компонент, выполняющий операции от имени цифровой идентичности получателя услуг и с его разрешения, но без его личного участия.

Протокол взаимодействия* – прикладной протокол, в рамках которого стороны информационного взаимодействия последовательно выполняют определенные действия и обмениваются сообщениями в соответствии с заданным форматом.

Процедура** – установленный способ осуществления процесса.

Процесс*** – совокупность взаимосвязанных и (или) взаимодействующих видов деятельности, использующих входы для получения намеченного результата.

Сведения об идентификации/аутентификации – данные о фактах и результатах проведения идентификации/аутентификации получателя услуг в рамках цифровой идентичности и цифровой среды.

Служба идентификации/аутентификации – компонент собственной информационной системы поставщика услуг, осуществляющий проведение идентификации/аутентификации получателей услуг.

Сервис идентификации/аутентификации – компонент информационной системы идентификации/аутентификации доверенной третьей стороны, дистанционно предоставляемый для проведения идентификации/аутентификации получателей услуг при их делегировании доверенной третьей стороне.
Состояние идентификационной/аутентификационной информации – характеристика идентификационной/аутентификационной информации, определяющая, на каком этапе жизненного цикла находится идентификационная или аутентификационная информация.
Цифровая идентичность – цифровое представление получателя услуг в виде набора атрибутов, характеризующих данного получателя услуг, и их значений, каждый из которых имеет свой уникальный идентификатор в рамках конкретной цифровой среды.
Цифровая среда – среда функционирования, в которой поставщиком услуг осуществляется предоставление получателям финансовых продуктов и услуг.
----------
* - В рамках данного стандарта термин используется в отношении протоколов взаимодействия, реализующих процессы идентификации и аутентификации.
** - В рамках данного стандарта термин используется в отношении процедур, устанавливающих процессы идентификации и аутентификации.
*** - В рамках данного стандарта термин используется в отношении процессов идентификации и аутентификации. 

ГИС – государственная информационная система
ДТС – доверенная третья сторона
ЕСИА – федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»
СКЗИ – средство криптографической защиты информации
УДА – уровень доверия аутентификации
УДИ – уровень доверия идентификации
ФЛ – физическое лицо
ЮЛ – юридическое лицо
CAPTCHA – completely automated public Turing test to tell computers and humans apart (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей)
DFP – device fingerprint (цифровой отпечаток устройства)
IMSI – international mobile subscriber identity (международный идентификатор мобильного абонента, индивидуальный номер абонента)
OSI – open systems interconnection (взаимодействие открытых систем)
PIN – personal identification number (персональный идентификационный номер, ПИН-код)
SIM – subscriber identification module (модуль идентификации абонента, сим)
TLS – transport layer security (протокол защиты транспортного уровня)

Под средой доверия при проведении идентификации и аутентификации в целях предоставления финансовых продуктов и услуг понимают такое состояние среды взаимодействия между финансовой организацией – поставщиком услуг и клиентом – получателем услуг, а также при возможном участии организаций, предоставляющих один сервис или более, участвующий в идентификации и аутентификации, при котором обеспечена необходимая уверенность в том, что получатель услуги соответствует представленной идентификационной информации (идентифицирован), а также является тем, за кого себя выдает (аутентифицирован).

Настоящий стандарт развивает положения ГОСТ Р 58833-2020 в части организации процессов дистанционной идентификации и аутентификации и обеспечения необходимой уверенности в результатах, а также нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации при осуществлении финансовых операций [5, 6, 7] в части технологии безопасной обработки защищаемой информации на технологическом участке идентификации, аутентификации и авторизации клиентов при осуществлении финансовых операций в целях противодействия осуществлению незаконных финансовых операций.

В рамках настоящего стандарта процессы идентификации и аутентификации применяются в соответствии с описанием, приведенным в ГОСТ Р 58833-2020, и включают в себя следующие составляющие:

Описание указанных процессов, их цели, этапы и ожидаемые результаты установлены ГОСТ Р 58833-2020, если в настоящем стандарте не указано иное.

В рамках настоящего стандарта рассматривается только дистанционное предоставление финансовых продуктов и услуг финансовой организацией, в связи с чем идентификация и аутентификация также являются дистанционными, то есть осуществляются без личного присутствия клиента в финансовой организации. Далее по тексту настоящего стандарта под терминами «идентификация» и «аутентификация» подразумеваются дистанционные процессы.

В процессах идентификации и аутентификации участники взаимодействия могут выступать в следующих ролях: поставщик услуг, получатель услуг, доверенная третья сторона. Наличие или отсутствие указанных ролей в процессах идентификации и аутентификации зависит от конкретной реализации процессов предоставления финансового продукта или услуги.

Настоящий стандарт определяет состав и содержание мер защиты информации для обеспечения доверия к результатам идентификации и аутентификации получателей услуг при осуществлении финансовых операций. Уровень доверия идентификации и аутентификации определяется степенью уверенности в результатах идентификации и степенью уверенности в результатах аутентификации, как определено в ГОСТ Р 58833-2020.

Для использования дифференцированного подхода в рамках системы обеспечения доверия применяются предопределенные уровни доверия, которые определяют уверенность в результатах идентификации и аутентификации получателей услуг. Минимальный состав мер защиты информации, которому должны соответствовать процессы идентификации и аутентификации для достижения необходимой уверенности, определяется для каждого из уровней доверия.

Дополнительно результаты идентификации и аутентификации с учетом выбранного уровня доверия могут применяться в рамках системы управления рисками для определения остаточного риска в целях противодействия осуществлению финансовых услуг без согласия клиента.

Настоящий стандарт определяет состав и содержание мер защиты информации, применяемых к:

Обоснование применения компенсирующих мер защиты информации или неактуальности мер защиты информации должно в том числе содержать:

Данное приложение содержит примеры реализации процесса верификации в разрезе уровней доверия идентификации, определенных в разделе 7. Приведенный перечень примеров не является исчерпывающим, поставщики услуг могут реализовывать иные процессы верификации в рамках процесса идентификации. При этом возможность применения иных процессов верификации в рамках выбранного УДИ должна определяться исходя из разработанной модели угроз безопасности информации и установленных показателей оценки операционного риска, а также устанавливаться во внутренних документах финансовой организации.