Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024

1.1. Служба аутентификации должна требовать предъявления всех необходимых аутентификаторов, определяемых на основании проводимой финансовой операции, УДА и перечня привязанных к учетной записи аутентификаторов
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.2. Служба аутентификации должна осуществлять процедуру аутентификации за единый непрерывный пользовательский сеанс на прикладном уровне модели OSI
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.3. Служба аутентификации должна осуществлять процедуру аутентификации за единое непрерывное криптографическое соединение
УДА 1 - ПС
УДА 2 - ЮЛ, ПС
УДА 3 - О 

1.4. Служба аутентификации должна реализовать механизмы, позволяющие прервать процедуру аутентификации или пользовательский сеанс, в случае получения уведомления от получателя услуг или самостоятельного выявления факта компрометации аутентификатора или канала взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.5. Служба аутентификации должна устанавливать предельное время пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.6. Служба аутентификации должна устанавливать предельное время бездействия получателя услуг в рамках пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.7. Служба аутентификации должна инициировать проведение новой процедуры аутентификации получателя услуг в случае завершения или прерывания пользовательского сеанса
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.8. Служба аутентификации должна прервать все пользовательские сеансы, провести идентификацию и аутентификацию получателя услуг с использованием другого аутентификатора, привязанного к цифровой идентичности получателя услуг, в случае потери или компрометации одного из аутентификаторов, привязанных к цифровой идентичности получателя услуг, а также обеспечить отзыв такого аутентификатора и привязку нового аутентификатора, соответствующего УДА отозванного аутентификатора
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

1.9. Служба аутентификации должна повторно провести первичную идентификацию получателя услуг и осуществить привязку новых аутентификаторов в случае потери или компрометации всех аутентификаторов, привязанных к цифровой идентичности получателя услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.10. Служба аутентификации должна обеспечить временное блокирование возможности прохождения аутентификации при превышении числа неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.11. Служба аутентификации должна требовать предъявления хотя бы одного аутентификатора, требующего конклюдентных действий* от получателя услуги
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ
----------
* - Действий, которые подтверждают намерение получателя услуг предъявить конкретный аутентификатор, например ввод запоминаемого секрета, предъявление биометрических характеристик, активация внеполосного аутентификатора и другие.

1.12. Служба аутентификации позволяет устанавливать настройки аудита и сроки хранения журнала событий, в том числе содержащего записи об изменении аутентификационных данных, привязке или отзыве аутентификаторов, источниках неудачных попыток аутентификации, а также инцидентах, произошедших по причине ошибок аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.13. Служба аутентификации должна вести учет всех аутентификаторов, которые связаны или были связаны с данной цифровой идентичностью на протяжении всего жизненного цикла цифровой идентичности
УДА 1 - О
УДА 2 - О
УДА 3 - О 

1.14. Служба аутентификации должна обеспечить защиту программных интерфейсов от воздействия некорректных или намеренно сформированных нестандартных запросов и ответов
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.15. Служба аутентификации должна учитывать несоответствие аутентификационной информации устройства при выборе УДА, по которому должна быть проведена аутентификация
УДА 1 - Н
УДА 2 - О
УДА 3 - О

2.1. Служба аутентификации должна обеспечивать применение сетевых протоколов, обеспечивающих защиту подлинности и контроль целостности канала взаимодействия, между службой аутентификации и получателем услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.2. Служба аутентификации должна использовать уникальные ключи сетевого соединения и токены доступа для каждой уникальной сетевой сессии в канале взаимодействия между поставщиком услуг и получателем услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.3. Служба аутентификации должна обеспечить использование технологии двухсторонней аутентификации в канале взаимодействия между службой идентификации и получателем услуг
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - О

3.1. Служба аутентификации должна осуществлять структурный и логический контроль получаемых сообщений, предусмотренных протоколом взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.2. Протокол взаимодействия должен предусматривать обязательное направление ответного сообщения на каждый запрос участника взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.3. Протокол взаимодействия должен предусматривать обязательную передачу идентификатора цифровой идентичности получателя услуг при каждой процедуре аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.4. Протокол взаимодействия должен обеспечивать возможность передачи аутентификационной информации устройства, на котором выполняется аутентификация
УДА 1 - Н
УДА 2 - О
УДА 3 - О

3.5. Протокол взаимодействия должен предусматривать обязательную передачу сведений об аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.6. Протокол взаимодействия должен предусматривать обязательную передачу связывающего запрос и ответ параметра при каждой процедуре аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.7. Протокол взаимодействия должен предусматривать обязательную передачу метки времени при каждой процедуре аутентификации с учетом доверительного интервала метки времени, определенного на основании анализа рисков поставщиком услуг
УДА 1 - Н
УДА 2 - О
УДА 3 - О

3.8. Протокол взаимодействия должен необратимо связывать идентификатор канала взаимодействия, который был согласован при установлении защищенного канала, с аутентификационной информацией получателя услуг
УДА 1 - Н
УДА 2 - Н
УДА 3 - О

3.9. Протокол взаимодействия должен предусматривать возможность передачи счетчика процедур аутентификации, в случае если аутентификатор ведет внутренний счетчик процедур аутентификации
УДА 1 - Н
УДА 2 - ЮЛ, ПС
УДА 3 - О

3.10. Протокол взаимодействия должен предусматривать обязательную передачу параметра в виде однократно используемой последовательности алфавитно-цифровых символов при каждой процедуре аутентификации службе аутентификации
УДА 1 - Н
УДА 2 - ЮЛ, ПС
УДА 3 - О

3.11. Протокол взаимодействия должен обеспечивать конфиденциальность аутентификационной информации путем ее шифрования
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.12. Протокол взаимодействия должен обеспечивать криптографическую целостность аутентификационной информации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.13. Протокол взаимодействия должен предусматривать возможность подписания усиленной электронной подписью идентификационной и аутентификационной информации
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - ЮЛ

3.14. Протокол взаимодействия должен обеспечивать возможность использования российских криптографических алгоритмов, применяемых для шифрования и подписания
УДА 1 - Н
УДА 2 - О
УДА 3 - О

4.1. Служба аутентификации должна ознакомить получателя услуг с правилами обращения с аутентификаторами, мерами по обеспечению их безопасности, а также действиями в случае их компрометации или потери
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.2. Служба аутентификации должна поддерживать актуальность состояния аутентификационной информации получателя услуг, в том числе последнего известного состояния аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.3. Служба аутентификации при каждой процедуре аутентификации должна проверять состояние аутентификационной информации получателя услуг и состояние аутентификаторов, в том числе актуальность и срок действия аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.4. Служба аутентификации должна аутентифицировать аппаратные и программные аутентификаторы
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - О

4.5.Служба аутентификации должна использовать список разрешенных аутентификаторов или применять иные механизмы фильтрации аутентификаторов
УДА 1 - ПС
УДА 2 - ЮЛ, ПС
УДА 3 - О

4.6. Служба аутентификации должна использовать аутентификаторы, обеспечивающие устойчивость программных и аппаратных интерфейсов (при их наличии) к воздействию некорректных или намеренно сформированных нестандартных запросов и ответов
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.7. Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

4.8. Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
УДА 1 - Н
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

4.9. Служба аутентификации должна уведомлять получателя услуг о привязке к его цифровой идентичности новых аутентификаторов
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

4.10 Служба аутентификации должна осуществлять проверки безопасности среды, в которой осуществляются привязка или предъявление аутентификатора (например, проверка наличия вредоносных программ, контроль обновлений программного обеспечения и другое)
УДА 1 - О
УДА 2 - О
УДА 3 - О