Куда я попал?
Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024
Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации"
Принят приказом Банка России от 28.02.2024 № ОД-326
Действует с 01.07.2024
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
38
%
Входящая логистика
69
%
Создание продукта
63
%
Исходящая логистика
79
%
Маркетинг, продажа
66
%
Обслуживание клиента
42
%
Инфраструктура
37
%
HR-менеджмент
86
%
Технологии
54
%
Закупки / Снабжение
89
%
Опыт клиента
Список требований
-
Идентификационная информация соответствует получателю услуг, который ее заявилОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Идентификационная информация уникальна в контексте конкретной цифровой средыОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Цифровая идентичность однозначно определяется соотнесенным с ней предъявленным идентификаторомОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Идентификатор имеет однозначную связь с получателем услугиОбязательно для уровня доверия идентификации УДИ 2 УДИ 3
-
Предоставление информационных сервисов ФЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Предоставление информационных сервисов ЮЛОбязательно для уровня доверия идентификации УДИ 2 УДИ 3
-
Совершение финансовых операций ФЛ, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного рискаОбязательно для уровня доверия идентификации УДИ 2 УДИ 3
-
Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛОбязательно для уровня доверия идентификации УДИ 3
-
Совершение финансовых операций ЮЛОбязательно для уровня доверия идентификации УДИ 3
-
1.1. Служба идентификации должна предоставить получателю услуг информацию о прохождении первичной идентификации, в том числе о цели сбора и составе идентификационной информации, после чего получатель услуги должен подтвердить намерение пройти первичную идентификацию
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.2. Служба идентификации должна осуществлять сбор минимально достаточного состава идентификационной информации, необходимой для проведения первичной идентификации получателя услуг, определенного во внутренних документах поставщика услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.4. Служба идентификации должна верифицировать идентификационную информацию получателя услуг в соответствии с положениями ГОСТ Р 70262.1-2022 и с использованием сведений как минимум одной уполномоченной верифицирующей стороны, являющейся информационной системой органов государственной власти, Фонда пенсионного и социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования или иных ГИС
УДИ 1 - Н
УДИ 2 - Н
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.5. Служба идентификации для определения и поддержки уникальности цифровой идентичности в рамках конкретной цифровой среды должна использовать идентификаторы, которые имеют однозначную связь* с получателем услуг
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - О
----------
* - В качестве идентификаторов, обеспечивающих однозначную связь с получателем услуг, могут выступать номер документа, удостоверяющего личность, уникальный идентификатор ЕСИА, номер мобильного телефона, подтвержденный у оператора сотовой связи, и другое.Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.6. Служба идентификации должна осуществлять подтверждение номеров мобильных телефонов и адресов электронной почты, предоставленных получателем услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.7. Служба идентификации должна осуществлять идентификацию за единый непрерывный пользовательский сеанс* на прикладном уровне модели OSI
----------
* - В качестве параметров, обеспечивающих непрерывность пользовательского сеанса, могут выступать идентификаторы сессии, токены доступа, cookie-идентификаторы и другое.
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.8. Служба идентификации должна осуществлять идентификацию за единое непрерывное криптографическое соединение
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.9. Служба идентификации должна контролировать время пользовательских сеансов при прохождении первичной идентификации и в случае превышения предельного периода, определенного поставщиком услуг на основании анализа рисков, направлять получателя услуг на повторную первичную идентификацию
УДИ 1 - Н
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.10. Служба идентификации должна реализовывать механизмы, позволяющие прервать процесс идентификации, в случае получения уведомления от получателя услуг или самостоятельного выявления факта компрометации идентификационной информации получателя услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.11. Служба идентификации должна ограничить возможность прохождения первичной идентификации при превышении числа неудачных попыток первичной идентификации, определенного поставщиком услуг на основании анализа рисков, после чего должна проводить первичную идентификацию только при личном присутствии получателя услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.12. Служба идентификации может провести идентификацию по значению другого верифицированного идентификационного атрибута в случае потери получателем услуг идентификатора цифровой идентичности
УДИ 1 - ВИ
УДИ 2 - ВИ
УДИ 3 - "-"Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 -
1.13. Служба идентификации должна заново провести первичную идентификацию получателя услуг в случае потери получателем услуг идентификатора цифровой идентичности
УДИ 1 - "-"
УДИ 2 - "-"
УДИ 3 - ВИОбязательно для уровня доверия идентификации УДИ 3 -
1.14. Служба идентификации должна разрешать обновление идентификационной информации получателя услуг только после аутентификации получателя услуг с УДА, соответствующего УДИ, по которому проводилась первичная идентификация получателя услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.15. Служба идентификации не должна раскрывать факт существования или отсутствия цифровой идентичности, соответствующей идентификатору, при неуспешной попытке вторичной идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.16. Служба идентификации должна осуществлять передачу сведений об идентификации получателю услуг по результатам успешной первичной идентификации в том же пользовательском сеансе, в котором проводилась первичная идентификация, или с использованием альтернативного канала взаимодействия с получателем услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.18. Служба идентификации должна позволять устанавливать настройки аудита и сроки хранения журнала событий в соответствии с установленными политиками безопасности, в том числе содержащего записи о создании цифровой идентичности, изменении, блокировке и уничтожении идентификационных данных, фактах попыток прохождения вторичной идентификации, а также инцидентов, произошедших по причине ошибок идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.1. Служба идентификации должна обеспечивать применение сетевых протоколов, обеспечивающих конфиденциальность и контроль целостности канала взаимодействия, между службой идентификации и получателем услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.2. Служба идентификации должна использовать уникальные ключи сетевого соединения и токены доступа для каждой уникальной сетевой сессии в канале взаимодействия между службой идентификации и получателем услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.3. Служба идентификации должна обеспечить использование технологии двухсторонней аутентификации для канала взаимодействия между службой идентификации и получателем услуг
УДИ 1 - Н
УДИ 2 - ЮЛ
УДИ 3 - ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.4. Служба идентификации должна обеспечивать применение сетевых протоколов, обеспечивающих конфиденциальность и контроль целостности канала взаимодействия, между службой идентификации и верифицирующей стороной
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.5. Служба идентификации и верифицирующая сторона должны обеспечить использование технологии двухсторонней аутентификации в канале взаимодействия между службой идентификации и верифицирующей стороной
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.1. Служба идентификации должна осуществлять структурный и логический контроль получаемых сообщений протокола взаимодействия
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.2. Протокол взаимодействия должен предусматривать обязательное направление ответного сообщения на каждый запрос участника взаимодействия
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.3. Протокол взаимодействия должен предусматривать обязательную передачу идентификатора цифровой идентичности получателя услуг
УДИ 1 - ВИ
УДИ 2 - ВИ
УДИ 3 - ВИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.4. Протокол взаимодействия должен предусматривать обязательную передачу факта получения согласия получателя услуг на обработку его персональных данных
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.5. Протокол взаимодействия должен обеспечивать возможность передачи перечня верифицирующих сторон, которые использовались при первичной идентификации получателя услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.6. Протокол взаимодействия должен предусматривать обязательную передачу сведений об идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.7. Протокол взаимодействия должен предусматривать обязательную передачу связывающего запрос и ответ параметра при каждой процедуре идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.8. Протокол взаимодействия должен обеспечивать возможность передачи аутентификационной информации устройства, на котором выполняется идентификация
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.9. Протокол взаимодействия должен предусматривать обязательную передачу метки времени при каждой процедуре идентификации с учетом доверительного временного интервала, определенного на основании анализа рисков поставщиком услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.10. Протокол взаимодействия должен необратимо связывать идентификатор канала взаимодействия, который был согласован при установлении защищенного канала, с идентификационной информацией получателя услуг
УДИ 1 - Н
УДИ 2 - Н
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.11. Протокол взаимодействия должен обеспечивать конфиденциальность идентификационной информации путем ее шифрования
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.12. Протокол взаимодействия должен обеспечивать криптографическую целостность идентификационной информации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.13. Протокол взаимодействия должен обеспечивать возможность подписания усиленной электронной подписью идентификационной информации
УДИ 1 - Н
УДИ 2 - ЮЛ
УДИ 3 - ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1. Протокол аутентификации обеспечивает однофакторную аутентификацию получателя услугОбязательно для уровня доверия идентификации УДИ 1
-
2. Протокол аутентификации обеспечивает многофакторную аутентификацию получателя услугОбязательно для уровня доверия идентификации УДИ 2 УДИ 3
-
3. Протокол аутентификации является криптографическимОбязательно для уровня доверия идентификации УДИ 3
-
4. Протокол аутентификации обеспечивает взаимную аутентификацию поставщика услуг и получателя услугОбязательно для уровня доверия идентификации УДИ 3
-
5. Каждый предъявленный аутентификатор* соответствует аутентификатору, привязанному к цифровой идентичности
----------
* - В таблице П-2 приложения 2 к стандарту приведены примеры аутентификаторов в разрезе уровней доверия аутентификации, определенных в данном разделе.Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
6. Хотя бы один из аутентификаторов является криптографическим средством аутентификацииОбязательно для уровня доверия идентификации УДИ 3
-
7. Получателем услуг подтверждены факт обладания и способность распоряжаться аутентификаторомОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
1. Предоставление информационных сервисов ФЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
2. Предоставление информационных сервисов ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
3. Совершение финансовых операций ФЛ, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного рискаОбязательно для уровня доверия идентификации УДИ 2 УДИ 3
-
4. Совершение финансовых операций ФЛ, которые законодательно ограничены суммами проведения операции при использовании конкретных средств аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
5. Совершение финансовых операций ФЛ в течение ограниченного периода, определенного на основании анализа рисков поставщиком услуг, после проведения на устройстве получателя услуг аутентификации по УДА 2 при условии дополнительной аутентификации устройства получателя услуг и экземпляра приложенияОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
6. Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛОбязательно для уровня доверия идентификации УДИ 3
-
7. Совершение регулярных или характерных финансовых операций, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска ЮЛОбязательно для уровня доверия идентификации УДИ 2 УДИ 3
-
8. Совершение иных или высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ЮЛОбязательно для уровня доверия идентификации УДИ 3
-
9. Совершение финансовых операций ФЛ и ЮЛ с использованием программных сервисов, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного рискаОбязательно для уровня доверия идентификации УДИ 2 УДИ 3
-
1.1. Служба аутентификации должна требовать предъявления всех необходимых аутентификаторов, определяемых на основании проводимой финансовой операции, УДА и перечня привязанных к учетной записи аутентификаторов
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.2. Служба аутентификации должна осуществлять процедуру аутентификации за единый непрерывный пользовательский сеанс на прикладном уровне модели OSI
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.3. Служба аутентификации должна осуществлять процедуру аутентификации за единое непрерывное криптографическое соединение
УДА 1 - ПС
УДА 2 - ЮЛ, ПС
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.4. Служба аутентификации должна реализовать механизмы, позволяющие прервать процедуру аутентификации или пользовательский сеанс, в случае получения уведомления от получателя услуг или самостоятельного выявления факта компрометации аутентификатора или канала взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.5. Служба аутентификации должна устанавливать предельное время пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.6. Служба аутентификации должна устанавливать предельное время бездействия получателя услуг в рамках пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.7. Служба аутентификации должна инициировать проведение новой процедуры аутентификации получателя услуг в случае завершения или прерывания пользовательского сеанса
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.8. Служба аутентификации должна прервать все пользовательские сеансы, провести идентификацию и аутентификацию получателя услуг с использованием другого аутентификатора, привязанного к цифровой идентичности получателя услуг, в случае потери или компрометации одного из аутентификаторов, привязанных к цифровой идентичности получателя услуг, а также обеспечить отзыв такого аутентификатора и привязку нового аутентификатора, соответствующего УДА отозванного аутентификатора
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.9. Служба аутентификации должна повторно провести первичную идентификацию получателя услуг и осуществить привязку новых аутентификаторов в случае потери или компрометации всех аутентификаторов, привязанных к цифровой идентичности получателя услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.10. Служба аутентификации должна обеспечить временное блокирование возможности прохождения аутентификации при превышении числа неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.11. Служба аутентификации должна требовать предъявления хотя бы одного аутентификатора, требующего конклюдентных действий* от получателя услуги
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ
----------
* - Действий, которые подтверждают намерение получателя услуг предъявить конкретный аутентификатор, например ввод запоминаемого секрета, предъявление биометрических характеристик, активация внеполосного аутентификатора и другие.Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.12. Служба аутентификации позволяет устанавливать настройки аудита и сроки хранения журнала событий, в том числе содержащего записи об изменении аутентификационных данных, привязке или отзыве аутентификаторов, источниках неудачных попыток аутентификации, а также инцидентах, произошедших по причине ошибок аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.13. Служба аутентификации должна вести учет всех аутентификаторов, которые связаны или были связаны с данной цифровой идентичностью на протяжении всего жизненного цикла цифровой идентичности
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.14. Служба аутентификации должна обеспечить защиту программных интерфейсов от воздействия некорректных или намеренно сформированных нестандартных запросов и ответов
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.15. Служба аутентификации должна учитывать несоответствие аутентификационной информации устройства при выборе УДА, по которому должна быть проведена аутентификация
УДА 1 - Н
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.1. Служба аутентификации должна обеспечивать применение сетевых протоколов, обеспечивающих защиту подлинности и контроль целостности канала взаимодействия, между службой аутентификации и получателем услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.2. Служба аутентификации должна использовать уникальные ключи сетевого соединения и токены доступа для каждой уникальной сетевой сессии в канале взаимодействия между поставщиком услуг и получателем услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.3. Служба аутентификации должна обеспечить использование технологии двухсторонней аутентификации в канале взаимодействия между службой идентификации и получателем услуг
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.1. Служба аутентификации должна осуществлять структурный и логический контроль получаемых сообщений, предусмотренных протоколом взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.2. Протокол взаимодействия должен предусматривать обязательное направление ответного сообщения на каждый запрос участника взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.3. Протокол взаимодействия должен предусматривать обязательную передачу идентификатора цифровой идентичности получателя услуг при каждой процедуре аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.4. Протокол взаимодействия должен обеспечивать возможность передачи аутентификационной информации устройства, на котором выполняется аутентификация
УДА 1 - Н
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.5. Протокол взаимодействия должен предусматривать обязательную передачу сведений об аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.6. Протокол взаимодействия должен предусматривать обязательную передачу связывающего запрос и ответ параметра при каждой процедуре аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.7. Протокол взаимодействия должен предусматривать обязательную передачу метки времени при каждой процедуре аутентификации с учетом доверительного интервала метки времени, определенного на основании анализа рисков поставщиком услуг
УДА 1 - Н
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.8. Протокол взаимодействия должен необратимо связывать идентификатор канала взаимодействия, который был согласован при установлении защищенного канала, с аутентификационной информацией получателя услуг
УДА 1 - Н
УДА 2 - Н
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.9. Протокол взаимодействия должен предусматривать возможность передачи счетчика процедур аутентификации, в случае если аутентификатор ведет внутренний счетчик процедур аутентификации
УДА 1 - Н
УДА 2 - ЮЛ, ПС
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.10. Протокол взаимодействия должен предусматривать обязательную передачу параметра в виде однократно используемой последовательности алфавитно-цифровых символов при каждой процедуре аутентификации службе аутентификации
УДА 1 - Н
УДА 2 - ЮЛ, ПС
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.11. Протокол взаимодействия должен обеспечивать конфиденциальность аутентификационной информации путем ее шифрования
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.12. Протокол взаимодействия должен обеспечивать криптографическую целостность аутентификационной информации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.13. Протокол взаимодействия должен предусматривать возможность подписания усиленной электронной подписью идентификационной и аутентификационной информации
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.14. Протокол взаимодействия должен обеспечивать возможность использования российских криптографических алгоритмов, применяемых для шифрования и подписания
УДА 1 - Н
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.1. Служба аутентификации должна ознакомить получателя услуг с правилами обращения с аутентификаторами, мерами по обеспечению их безопасности, а также действиями в случае их компрометации или потери
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.2. Служба аутентификации должна поддерживать актуальность состояния аутентификационной информации получателя услуг, в том числе последнего известного состояния аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.3. Служба аутентификации при каждой процедуре аутентификации должна проверять состояние аутентификационной информации получателя услуг и состояние аутентификаторов, в том числе актуальность и срок действия аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.4. Служба аутентификации должна аутентифицировать аппаратные и программные аутентификаторы
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.5.Служба аутентификации должна использовать список разрешенных аутентификаторов или применять иные механизмы фильтрации аутентификаторов
УДА 1 - ПС
УДА 2 - ЮЛ, ПС
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.6. Служба аутентификации должна использовать аутентификаторы, обеспечивающие устойчивость программных и аппаратных интерфейсов (при их наличии) к воздействию некорректных или намеренно сформированных нестандартных запросов и ответов
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.7. Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.8. Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
УДА 1 - Н
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.9. Служба аутентификации должна уведомлять получателя услуг о привязке к его цифровой идентичности новых аутентификаторов
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
4.10 Служба аутентификации должна осуществлять проверки безопасности среды, в которой осуществляются привязка или предъявление аутентификатора (например, проверка наличия вредоносных программ, контроль обновлений программного обеспечения и другое)
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.1. Служба аутентификации должна позволять устанавливать критерии сложности (длина, размер алфавита, обязательность различных типов символов и так далее) запоминаемого секрета, которые должны определяться на основании анализа рисков поставщиком услуг, осуществлять проверку на сложность запоминаемого секрета в соответствии с установленными критериями сложности, а также информировать получателя услуг об уровне сложности выбранного им запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.2. Служба аутентификации должна скрывать вводимые символы запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.3. Служба аутентификации должна осуществлять контроль смены запоминаемого секрета, сгенерированного службой аутентификации при первичной идентификации получателя услуг или после истечения его срока действия, определяемого на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.4. Служба аутентификации должна ограничивать максимальное количество неудачных попыток аутентификации с использованием запоминаемого секрета, которое определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.5. Служба аутентификации должна применять механизм CAPTCHA (или аналогичные меры защиты от перебора) после установленного количества неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.6. Служба аутентификации должна требовать изменения запоминаемого секрета при получении информации о его компрометации, в том числе из открытых источников информации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.7. Служба аутентификации должна обеспечить невозможность повторного использования запоминаемых секретов получателя услуг, количество неповторяемых запоминаемых секретов определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
1.8. Служба аутентификации должна хранить запоминаемые секреты в форме, которая является стойкой к офлайн-атакам на запоминаемый секрет
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.1. Служба аутентификации должна аутентифицировать внеполосный аутентификатор с помощью либо случайно сгенерированного зашитого ключа, либо сим-карты (IMSI)
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.2. Внеполосный аутентификатор должен иметь однозначную адресацию по каждому каналу взаимодействия со службой аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.3. Внеполосный аутентификатор должен обеспечивать возможность подтверждения факта владения внеполосным аутентификатором
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.4. Служба аутентификации должна ограничивать период ответа на запрос аутентификации на внеполосный аутентификатор, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.5. Служба аутентификации должна ограничивать количество использований внеполосного аутентификатора в период времени, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
2.6. Служба аутентификации при аутентификации внеполосного аутентификатора должна осуществлять дополнительные проверки на несоответствие параметров внеполосного аутентификатора или повторного воспроизведения внеполосного аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - ООбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.2. Служба аутентификации должна обеспечить вероятность ложного или ложноположительного результата аутентификации с использованием биометрических характеристик на уровне, не превышающем установленные законодательством показатели, а в случае отсутствия таких показателей на уровне, установленном российскими и международными стандартами и практикамиОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
3.4. Служба аутентификации должна обеспечивать защиту от несанкционированного доступа хранилища биометрических образцов* и векторов биометрических параметров
----------
* - Биометрические образцы, хранимые для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных.Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
3.5. Служба аутентификации должна обеспечивать защиту каналов взаимодействия между внутренними датчиками, системой извлечения признаков (биометрических векторов) и прикладным программным обеспечениемОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.2. Служба аутентификации должна использовать генератор случайных чисел, прошедший процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017Обязательно для уровня доверия идентификации УДИ 2 УДИ 3 -
4.3. Служба аутентификации должна обеспечивать использование технологии, обеспечивающей невозможность раскрытия одноразового пароля третьим лицам при его передачеОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.4. Служба аутентификации должна использовать одноразовые пароли с учетом сложности (длина, размер алфавита, обязательность различных типов символов и так далее), которая должна определяться на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.5. Одноразовый пароль должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.6. Служба аутентификации должна ограничивать количество запросов одноразового пароля за период, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.7. Служба аутентификации должна хранить одноразовые пароли в форме, которая является устойчивой к офлайн-атакамОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.8. Служба аутентификации должна передавать одноразовый пароль только на устройства, имеющие однозначную адресацию по каждому каналу взаимодействия со службой аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.9. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были аутентифицированы службой аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.10. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были верифицированы службой идентификации при первичной идентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
4.11. В случае использования программного датчика случайных чисел служба аутентификации должна обеспечить защиту инициализирующей последовательности такого генератора случайных чисел от атак на повторное воспроизведениеОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
5.1. Криптографический ключ должен храниться в безопасном хранилище, доступном только для приложения криптографического программного средства аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
5.2. Криптографический ключ криптографического программного средства аутентификации должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
5.3. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, соответствующего требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароляОбязательно для уровня доверия идентификации УДИ 1 УДИ 2
-
5.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017Обязательно для уровня доверия идентификации УДИ 2 УДИ 3 -
6.1. Служба аутентификации должна обеспечивать ведение реестра и фильтрацию по указанному реестру криптографических технических аутентификаторовОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
6.2. Криптографический ключ криптографического технического аутентификатора должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услугОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
6.3. Криптографический ключ должен храниться в безопасном хранилище криптографического технического средства аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
6.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3 -
Работники финансовой организации
К некритичным процессам:
УДИ 1, УДА 1
К критичным процессам:
УДИ 2, УДА 2Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 -
Эксплуатационный персонал
К некритичным процессам:
УДИ 2, УДА 2
К критичным процессам:
УДИ 3, УДА 3Обязательно для уровня доверия идентификации УДИ 2 УДИ 3 -
Представители аутсорсинговых организаций
К некритичным процессам:
УДИ 2, УДА 2
К критичным процессам:
УДИ 3, УДА 3Обязательно для уровня доверия идентификации УДИ 2 УДИ 3 -
Программные сервисы
К некритичным процессам:
УДА 2
К критичным процессам:
УДА 2Обязательно для уровня доверия идентификации УДИ 2 -
Подтверждение сведений о получателе услуг через оператора сотовой связи с использованием номера мобильного телефонаОбязательно для уровня доверия идентификации УДИ 1
-
Подтверждение сведений о получателе услуг путем проверки документа, удостоверяющего личность, с использованием видео-конференц-связиОбязательно для уровня доверия идентификации УДИ 1
-
Подтверждение сведений о получателе услуг путем самостоятельной проверки полученных сведений поставщиком услугОбязательно для уровня доверия идентификации УДИ 1
-
Подтверждение сведений о получателе услуг с использованием неподтвержденной учетной записи ЕСИАОбязательно для уровня доверия идентификации УДИ 1
-
Подтверждение сведений о получателе услуг с использованием действующего квалифицированного сертификата электронной подписиОбязательно для уровня доверия идентификации УДИ 1 УДИ 2
-
Подтверждение сведений о получателе услуг с использованием подтвержденной учетной записи ЕСИА с установленной двухфакторной аутентификациейОбязательно для уровня доверия идентификации УДИ 1 УДИ 2
-
Подтверждение сведений о получателе услуг с использованием информационных систем органов государственной власти, Фонда пенсионного и социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования или иных государственных информационных систем, определенных Правительством Российской ФедерацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Подтверждение сведений о получателе услуг с использованием удостоверения личности, содержащего электронный носитель информации с записанными на нем персональными данными владельца паспортаОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Подтверждение сведений о получателе услуг с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»Обязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Запоминаемый секрет (например, ПИН-код, пароль)Обязательно для уровня доверия идентификации УДИ 1
-
Поисковый секрет (физическая или электронная запись, в которой хранится набор одноразовых паролей)Обязательно для уровня доверия идентификации УДИ 1
-
Внеполосный аутентификатор (физическое устройство, которое имеет однозначную адресацию и может безопасно связываться со службой аутентификации по отдельному каналу связи)Обязательно для уровня доверия идентификации УДИ 1
-
Биометрические характеристики человекаОбязательно для уровня доверия идентификации УДИ 1
-
Средство аутентификации, реализующее передачу одноразового пароля через альтернативный каналОбязательно для уровня доверия идентификации УДИ 1
-
Однофакторный генератор одноразовых паролей, основанный на криптографических методахОбязательно для уровня доверия идентификации УДИ 1
-
Однофакторное криптографическое техническое средство аутентификацииОбязательно для уровня доверия идентификации УДИ 1
-
Однофакторное криптографическое программное средство аутентификации или софт-токен (при наличии дополнительной аутентификации на устройстве для доступа к криптографическому программному средству аутентификации или софт-токену)Обязательно для уровня доверия идентификации УДИ 1 УДИ 2
-
Комбинация средств аутентификации (не менее двух аутентификаторов), разных по факторамОбязательно для уровня доверия идентификации УДИ 1 УДИ 2
-
Многофакторный генератор одноразовых паролей, основанный на криптографических методахОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Многофакторное криптографическое программное средство аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Многофакторное криптографическое техническое средство аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Многофакторное криптографическое техническое средство аутентификации с неизвлекаемым ключомОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
-
Комбинации средств аутентификации (не менее двух), одно из которых является криптографическим, а второе отличается от первого по фактору аутентификацииОбязательно для уровня доверия идентификации УДИ 1 УДИ 2 УДИ 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.