Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024

1. Протокол аутентификации обеспечивает однофакторную аутентификацию получателя услуг 

2. Протокол аутентификации обеспечивает многофакторную аутентификацию получателя услуг 

3. Протокол аутентификации является криптографическим 

4. Протокол аутентификации обеспечивает взаимную аутентификацию поставщика услуг и получателя услуг 

5. Каждый предъявленный аутентификатор* соответствует аутентификатору, привязанному к цифровой идентичности
----------
* -  В таблице П-2 приложения 2 к стандарту приведены примеры аутентификаторов в разрезе уровней доверия аутентификации, определенных в данном разделе. 

6. Хотя бы один из аутентификаторов является криптографическим средством аутентификации 

7. Получателем услуг подтверждены факт обладания и способность распоряжаться аутентификатором 

Поставщик услуг должен определять необходимый УДА во внутренних документах для каждой предоставляемой финансовой операции на основании анализа рисков с учетом требований применения УДА к финансовым операциям поставщика услуг, приведенных в таблице 5. 

1. Предоставление информационных сервисов ФЛ 

2. Предоставление информационных сервисов ЮЛ 

3. Совершение финансовых операций ФЛ, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска 

4. Совершение финансовых операций ФЛ, которые законодательно ограничены суммами проведения операции при использовании конкретных средств аутентификации 

5. Совершение финансовых операций ФЛ в течение ограниченного периода, определенного на основании анализа рисков поставщиком услуг, после проведения на устройстве получателя услуг аутентификации по УДА 2 при условии дополнительной аутентификации устройства получателя услуг и экземпляра приложения 

6. Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛ 

7. Совершение регулярных или характерных финансовых операций, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска ЮЛ 

8. Совершение иных или высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ЮЛ 

9. Совершение финансовых операций ФЛ и ЮЛ с использованием программных сервисов, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска 

10. Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛ и ЮЛ с использованием программных сервисов 

Осуществление финансовой операции при проведении аутентификации в случае несоответствия процесса аутентификации требованиям УДА, установленного для данной финансовой операции, не допускается. 

1.1. Служба аутентификации должна требовать предъявления всех необходимых аутентификаторов, определяемых на основании проводимой финансовой операции, УДА и перечня привязанных к учетной записи аутентификаторов
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.2. Служба аутентификации должна осуществлять процедуру аутентификации за единый непрерывный пользовательский сеанс на прикладном уровне модели OSI
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.3. Служба аутентификации должна осуществлять процедуру аутентификации за единое непрерывное криптографическое соединение
УДА 1 - ПС
УДА 2 - ЮЛ, ПС
УДА 3 - О 

1.4. Служба аутентификации должна реализовать механизмы, позволяющие прервать процедуру аутентификации или пользовательский сеанс, в случае получения уведомления от получателя услуг или самостоятельного выявления факта компрометации аутентификатора или канала взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.5. Служба аутентификации должна устанавливать предельное время пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.6. Служба аутентификации должна устанавливать предельное время бездействия получателя услуг в рамках пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.7. Служба аутентификации должна инициировать проведение новой процедуры аутентификации получателя услуг в случае завершения или прерывания пользовательского сеанса
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.8. Служба аутентификации должна прервать все пользовательские сеансы, провести идентификацию и аутентификацию получателя услуг с использованием другого аутентификатора, привязанного к цифровой идентичности получателя услуг, в случае потери или компрометации одного из аутентификаторов, привязанных к цифровой идентичности получателя услуг, а также обеспечить отзыв такого аутентификатора и привязку нового аутентификатора, соответствующего УДА отозванного аутентификатора
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

1.9. Служба аутентификации должна повторно провести первичную идентификацию получателя услуг и осуществить привязку новых аутентификаторов в случае потери или компрометации всех аутентификаторов, привязанных к цифровой идентичности получателя услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.10. Служба аутентификации должна обеспечить временное блокирование возможности прохождения аутентификации при превышении числа неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.11. Служба аутентификации должна требовать предъявления хотя бы одного аутентификатора, требующего конклюдентных действий* от получателя услуги
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ
----------
* - Действий, которые подтверждают намерение получателя услуг предъявить конкретный аутентификатор, например ввод запоминаемого секрета, предъявление биометрических характеристик, активация внеполосного аутентификатора и другие.

1.12. Служба аутентификации позволяет устанавливать настройки аудита и сроки хранения журнала событий, в том числе содержащего записи об изменении аутентификационных данных, привязке или отзыве аутентификаторов, источниках неудачных попыток аутентификации, а также инцидентах, произошедших по причине ошибок аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.13. Служба аутентификации должна вести учет всех аутентификаторов, которые связаны или были связаны с данной цифровой идентичностью на протяжении всего жизненного цикла цифровой идентичности
УДА 1 - О
УДА 2 - О
УДА 3 - О 

1.14. Служба аутентификации должна обеспечить защиту программных интерфейсов от воздействия некорректных или намеренно сформированных нестандартных запросов и ответов
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.15. Служба аутентификации должна учитывать несоответствие аутентификационной информации устройства при выборе УДА, по которому должна быть проведена аутентификация
УДА 1 - Н
УДА 2 - О
УДА 3 - О

2.1. Служба аутентификации должна обеспечивать применение сетевых протоколов, обеспечивающих защиту подлинности и контроль целостности канала взаимодействия, между службой аутентификации и получателем услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.2. Служба аутентификации должна использовать уникальные ключи сетевого соединения и токены доступа для каждой уникальной сетевой сессии в канале взаимодействия между поставщиком услуг и получателем услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.3. Служба аутентификации должна обеспечить использование технологии двухсторонней аутентификации в канале взаимодействия между службой идентификации и получателем услуг
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - О

3.1. Служба аутентификации должна осуществлять структурный и логический контроль получаемых сообщений, предусмотренных протоколом взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.2. Протокол взаимодействия должен предусматривать обязательное направление ответного сообщения на каждый запрос участника взаимодействия
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.3. Протокол взаимодействия должен предусматривать обязательную передачу идентификатора цифровой идентичности получателя услуг при каждой процедуре аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.4. Протокол взаимодействия должен обеспечивать возможность передачи аутентификационной информации устройства, на котором выполняется аутентификация
УДА 1 - Н
УДА 2 - О
УДА 3 - О

3.5. Протокол взаимодействия должен предусматривать обязательную передачу сведений об аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.6. Протокол взаимодействия должен предусматривать обязательную передачу связывающего запрос и ответ параметра при каждой процедуре аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.7. Протокол взаимодействия должен предусматривать обязательную передачу метки времени при каждой процедуре аутентификации с учетом доверительного интервала метки времени, определенного на основании анализа рисков поставщиком услуг
УДА 1 - Н
УДА 2 - О
УДА 3 - О

3.8. Протокол взаимодействия должен необратимо связывать идентификатор канала взаимодействия, который был согласован при установлении защищенного канала, с аутентификационной информацией получателя услуг
УДА 1 - Н
УДА 2 - Н
УДА 3 - О

3.9. Протокол взаимодействия должен предусматривать возможность передачи счетчика процедур аутентификации, в случае если аутентификатор ведет внутренний счетчик процедур аутентификации
УДА 1 - Н
УДА 2 - ЮЛ, ПС
УДА 3 - О

3.10. Протокол взаимодействия должен предусматривать обязательную передачу параметра в виде однократно используемой последовательности алфавитно-цифровых символов при каждой процедуре аутентификации службе аутентификации
УДА 1 - Н
УДА 2 - ЮЛ, ПС
УДА 3 - О

3.11. Протокол взаимодействия должен обеспечивать конфиденциальность аутентификационной информации путем ее шифрования
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.12. Протокол взаимодействия должен обеспечивать криптографическую целостность аутентификационной информации
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.13. Протокол взаимодействия должен предусматривать возможность подписания усиленной электронной подписью идентификационной и аутентификационной информации
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - ЮЛ

3.14. Протокол взаимодействия должен обеспечивать возможность использования российских криптографических алгоритмов, применяемых для шифрования и подписания
УДА 1 - Н
УДА 2 - О
УДА 3 - О

4.1. Служба аутентификации должна ознакомить получателя услуг с правилами обращения с аутентификаторами, мерами по обеспечению их безопасности, а также действиями в случае их компрометации или потери
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.2. Служба аутентификации должна поддерживать актуальность состояния аутентификационной информации получателя услуг, в том числе последнего известного состояния аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.3. Служба аутентификации при каждой процедуре аутентификации должна проверять состояние аутентификационной информации получателя услуг и состояние аутентификаторов, в том числе актуальность и срок действия аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.4. Служба аутентификации должна аутентифицировать аппаратные и программные аутентификаторы
УДА 1 - Н
УДА 2 - ЮЛ
УДА 3 - О

4.5.Служба аутентификации должна использовать список разрешенных аутентификаторов или применять иные механизмы фильтрации аутентификаторов
УДА 1 - ПС
УДА 2 - ЮЛ, ПС
УДА 3 - О

4.6. Служба аутентификации должна использовать аутентификаторы, обеспечивающие устойчивость программных и аппаратных интерфейсов (при их наличии) к воздействию некорректных или намеренно сформированных нестандартных запросов и ответов
УДА 1 - О
УДА 2 - О
УДА 3 - О

4.7. Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

4.8. Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
УДА 1 - Н
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

4.9. Служба аутентификации должна уведомлять получателя услуг о привязке к его цифровой идентичности новых аутентификаторов
УДА 1 - ФЛ, ЮЛ
УДА 2 - ФЛ, ЮЛ
УДА 3 - ФЛ, ЮЛ

4.10 Служба аутентификации должна осуществлять проверки безопасности среды, в которой осуществляются привязка или предъявление аутентификатора (например, проверка наличия вредоносных программ, контроль обновлений программного обеспечения и другое)
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.1. Служба аутентификации должна позволять устанавливать критерии сложности (длина, размер алфавита, обязательность различных типов символов и так далее) запоминаемого секрета, которые должны определяться на основании анализа рисков поставщиком услуг, осуществлять проверку на сложность запоминаемого секрета в соответствии с установленными критериями сложности, а также информировать получателя услуг об уровне сложности выбранного им запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.2. Служба аутентификации должна скрывать вводимые символы запоминаемого секрета
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.3. Служба аутентификации должна осуществлять контроль смены запоминаемого секрета, сгенерированного службой аутентификации при первичной идентификации получателя услуг или после истечения его срока действия, определяемого на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.4. Служба аутентификации должна ограничивать максимальное количество неудачных попыток аутентификации с использованием запоминаемого секрета, которое определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.5. Служба аутентификации должна применять механизм CAPTCHA (или аналогичные меры защиты от перебора) после установленного количества неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.6. Служба аутентификации должна требовать изменения запоминаемого секрета при получении информации о его компрометации, в том числе из открытых источников информации
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.7. Служба аутентификации должна обеспечить невозможность повторного использования запоминаемых секретов получателя услуг, количество неповторяемых запоминаемых секретов определяется на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

1.8. Служба аутентификации должна хранить запоминаемые секреты в форме, которая является стойкой к офлайн-атакам на запоминаемый секрет
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.1. Служба аутентификации должна аутентифицировать внеполосный аутентификатор с помощью либо случайно сгенерированного зашитого ключа, либо сим-карты (IMSI)
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.2. Внеполосный аутентификатор должен иметь однозначную адресацию по каждому каналу взаимодействия со службой аутентификации
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.3. Внеполосный аутентификатор должен обеспечивать возможность подтверждения факта владения внеполосным аутентификатором
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.4. Служба аутентификации должна ограничивать период ответа на запрос аутентификации на внеполосный аутентификатор, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.5. Служба аутентификации должна ограничивать количество использований внеполосного аутентификатора в период времени, определяемый на основании анализа рисков поставщиком услуг
УДА 1 - О
УДА 2 - О
УДА 3 - О

2.6. Служба аутентификации при аутентификации внеполосного аутентификатора должна осуществлять дополнительные проверки на несоответствие параметров внеполосного аутентификатора или повторного воспроизведения внеполосного аутентификатора
УДА 1 - О
УДА 2 - О
УДА 3 - О

3.1. Служба аутентификации в случае использования изображения лица человека или записи голоса человека должна обеспечивать соответствие биометрических образцов требованиям приказа Минцифры России от 12.05.2023 № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц» [14], для иных модальностей необходимо применять критерии качества, установленные российскими и международными стандартами и практиками 

3.2. Служба аутентификации должна обеспечить вероятность ложного или ложноположительного результата аутентификации с использованием биометрических характеристик на уровне, не превышающем установленные законодательством показатели, а в случае отсутствия таких показателей на уровне, установленном российскими и международными стандартами и практиками 

3.3. Служба аутентификации должна использовать методы обнаружения атак на биометрическое предъявление в процессе биометрического предъявления и сбора соответствующих биометрических параметров в соответствии со стандартами ГОСТ Р 58624*
----------
* - ГОСТ  Р 58624.1-2019 «Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на  биометрическое предъявление. Часть 1. Структура» [15], ГОСТ  Р  58624.2-2019 «Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 2. Форматы данных» [16], ГОСТ Р 58624.3-2019 «Национальный стандарт Российской Федерации. Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 3. Испытания и протоколы испытаний» [17]. 

3.4. Служба аутентификации должна обеспечивать защиту от несанкционированного доступа хранилища биометрических образцов* и векторов биометрических параметров
----------
* - Биометрические образцы, хранимые для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных. 

3.5. Служба аутентификации должна обеспечивать защиту каналов взаимодействия между внутренними датчиками, системой извлечения признаков (биометрических векторов) и прикладным программным обеспечением 

4.1. Служба аутентификации должна использовать надежный генератор случайных чисел, соответствующий требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля 

4.2. Служба аутентификации должна использовать генератор случайных чисел, прошедший процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* -  Р 1323565.1.012-2017 

4.3. Служба аутентификации должна обеспечивать использование технологии, обеспечивающей невозможность раскрытия одноразового пароля третьим лицам при его передаче 

4.4. Служба аутентификации должна использовать одноразовые пароли с учетом сложности (длина, размер алфавита, обязательность различных типов символов и так далее), которая должна определяться на основании анализа рисков поставщиком услуг 

4.5. Одноразовый пароль должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг 

4.6. Служба аутентификации должна ограничивать количество запросов одноразового пароля за период, определяемый на основании анализа рисков поставщиком услуг 

4.7. Служба аутентификации должна хранить одноразовые пароли в форме, которая является устойчивой к офлайн-атакам 

4.8. Служба аутентификации должна передавать одноразовый пароль только на устройства, имеющие однозначную адресацию по каждому каналу взаимодействия со службой аутентификации 

4.9. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были аутентифицированы службой аутентификации 

4.10. Служба аутентификации должна передавать одноразовый пароль только на устройства, которые были верифицированы службой идентификации при первичной идентификации 

4.11. В случае использования программного датчика случайных чисел служба аутентификации должна обеспечить защиту инициализирующей последовательности такого генератора случайных чисел от атак на повторное воспроизведение 

5.1. Криптографический ключ должен храниться в безопасном хранилище, доступном только для приложения криптографического программного средства аутентификации 

5.2. Криптографический ключ криптографического программного средства аутентификации должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг 

5.3. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, соответствующего требованиям безопасности, определяемым на основании анализа рисков поставщиком услуг, для генерации одноразового пароля 

5.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017 

6.1. Служба аутентификации должна обеспечивать ведение реестра и фильтрацию по указанному реестру криптографических технических аутентификаторов 

6.2. Криптографический ключ криптографического технического аутентификатора должен иметь ограниченный период действия, определяемый на основании анализа рисков поставщиком услуг 

6.3. Криптографический ключ должен храниться в безопасном хранилище криптографического технического средства аутентификации 

6.4. Служба аутентификации должна обеспечивать формирование аутентификационной информации с использованием генератора случайных чисел, прошедшего процедуру оценки соответствия требованиям*, установленным федеральным органом исполнительной власти в области обеспечения безопасности, для генерации одноразового пароля
----------
* - Р 1323565.1.012-2017