Стандарт Банка России № СТО БР БФБО-1.8-2024 от 01.07.2024

1.1. Служба идентификации должна предоставить получателю услуг информацию о прохождении первичной идентификации, в том числе о цели сбора и составе идентификационной информации, после чего получатель услуги должен подтвердить намерение пройти первичную идентификацию
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

1.2. Служба идентификации должна осуществлять сбор минимально достаточного состава идентификационной информации, необходимой для проведения первичной идентификации получателя услуг, определенного во внутренних документах поставщика услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

1.3. Служба идентификации должна верифицировать идентификационную информацию получателя услуг в соответствии с положениями ГОСТ Р 70262.1-2022 и с использованием сведений как минимум одной верифицирующей стороны
УДИ 1 - Н
УДИ 2 - ПИ
УДИ 3 - "-"

1.4. Служба идентификации должна верифицировать идентификационную информацию получателя услуг в соответствии с положениями ГОСТ Р 70262.1-2022 и с использованием сведений как минимум одной уполномоченной верифицирующей стороны, являющейся информационной системой органов государственной власти, Фонда пенсионного и социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования или иных ГИС
УДИ 1 - Н
УДИ 2 - Н
УДИ 3 - ПИ

1.5. Служба идентификации для определения и поддержки уникальности цифровой идентичности в рамках конкретной цифровой среды должна использовать идентификаторы, которые имеют однозначную связь* с получателем услуг
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - О
----------
* -  В качестве идентификаторов, обеспечивающих однозначную связь с получателем услуг, могут выступать номер документа, удостоверяющего личность, уникальный идентификатор ЕСИА, номер мобильного телефона, подтвержденный у оператора сотовой связи, и другое.

1.6. Служба идентификации должна осуществлять подтверждение номеров мобильных телефонов и адресов электронной почты, предоставленных получателем услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

1.7. Служба идентификации должна осуществлять идентификацию за единый непрерывный пользовательский сеанс* на прикладном уровне модели OSI
----------
* - В качестве параметров, обеспечивающих непрерывность пользовательского сеанса, могут выступать идентификаторы сессии, токены доступа, cookie-идентификаторы и другое.
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

1.8. Служба идентификации должна осуществлять идентификацию за единое непрерывное криптографическое соединение
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - О

1.9. Служба идентификации должна контролировать время пользовательских сеансов при прохождении первичной идентификации и в случае превышения предельного периода, определенного поставщиком услуг на основании анализа рисков, направлять получателя услуг на повторную первичную идентификацию
УДИ 1 - Н
УДИ 2 - ПИ
УДИ 3 - ПИ

1.10. Служба идентификации должна реализовывать механизмы, позволяющие прервать процесс идентификации, в случае получения уведомления от получателя услуг или самостоятельного выявления факта компрометации идентификационной информации получателя услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

1.11. Служба идентификации должна ограничить возможность прохождения первичной идентификации при превышении числа неудачных попыток первичной идентификации, определенного поставщиком услуг на основании анализа рисков, после чего должна проводить первичную идентификацию только при личном присутствии получателя услуг 
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

1.12. Служба идентификации может провести идентификацию по значению другого верифицированного идентификационного атрибута в случае потери получателем услуг идентификатора цифровой идентичности
УДИ 1 - ВИ
УДИ 2 - ВИ
УДИ 3 - "-"

1.13. Служба идентификации должна заново провести первичную идентификацию получателя услуг в случае потери получателем услуг идентификатора цифровой идентичности
УДИ 1 - "-"
УДИ 2 - "-"
УДИ 3 - ВИ

1.14. Служба идентификации должна разрешать обновление идентификационной информации получателя услуг только после аутентификации получателя услуг с УДА, соответствующего УДИ, по которому проводилась первичная идентификация получателя услуг 
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

1.15. Служба идентификации не должна раскрывать факт существования или отсутствия цифровой идентичности, соответствующей идентификатору, при неуспешной попытке вторичной идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

1.16. Служба идентификации должна осуществлять передачу сведений об идентификации получателю услуг по результатам успешной первичной идентификации в том же пользовательском сеансе, в котором проводилась первичная идентификация, или с использованием альтернативного канала взаимодействия с получателем услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

1.17. Служба идентификации должна осуществлять сбор и последующее хранение аутентификационной информации устройства* , на котором выполняется идентификация
----------
* -  В качестве аутентификационной информации могут выступать, например, сведения, идентифицирующие сертификат или публичный ключ устройства, а в случае отсутствия такой информации необходимо использовать цифровой отпечаток устройства, собранный в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств» [13]
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - О

1.18. Служба идентификации должна позволять устанавливать настройки аудита и сроки хранения журнала событий в соответствии с установленными политиками безопасности, в том числе содержащего записи о создании цифровой идентичности, изменении, блокировке и уничтожении идентификационных данных, фактах попыток прохождения вторичной идентификации, а также инцидентов, произошедших по причине ошибок идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

2.1. Служба идентификации должна обеспечивать применение сетевых протоколов, обеспечивающих конфиденциальность и контроль целостности канала взаимодействия, между службой идентификации и получателем услуг 
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

2.2. Служба идентификации должна использовать уникальные ключи сетевого соединения и токены доступа для каждой уникальной сетевой сессии в канале взаимодействия между службой идентификации и получателем услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

2.3. Служба идентификации должна обеспечить использование технологии двухсторонней аутентификации для канала взаимодействия между службой идентификации и получателем услуг
УДИ 1 - Н
УДИ 2 - ЮЛ
УДИ 3 - ЮЛ

2.4. Служба идентификации должна обеспечивать применение сетевых протоколов, обеспечивающих конфиденциальность и контроль целостности канала взаимодействия, между службой идентификации и верифицирующей стороной
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

2.5. Служба идентификации и верифицирующая сторона должны обеспечить использование технологии двухсторонней аутентификации в канале взаимодействия между службой идентификации и верифицирующей стороной
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

3.1. Служба идентификации должна осуществлять структурный и логический контроль получаемых сообщений протокола взаимодействия
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

3.2. Протокол взаимодействия должен предусматривать обязательное направление ответного сообщения на каждый запрос участника взаимодействия
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

3.3. Протокол взаимодействия должен предусматривать обязательную передачу идентификатора цифровой идентичности получателя услуг
УДИ 1 - ВИ
УДИ 2 - ВИ
УДИ 3 - ВИ

3.4. Протокол взаимодействия должен предусматривать обязательную передачу факта получения согласия получателя услуг на обработку его персональных данных
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

3.5. Протокол взаимодействия должен обеспечивать возможность передачи перечня верифицирующих сторон, которые использовались при первичной идентификации получателя услуг
УДИ 1 - ПИ
УДИ 2 - ПИ
УДИ 3 - ПИ

3.6. Протокол взаимодействия должен предусматривать обязательную передачу сведений об идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

3.7. Протокол взаимодействия должен предусматривать обязательную передачу связывающего запрос и ответ параметра при каждой процедуре идентификации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

3.8. Протокол взаимодействия должен обеспечивать возможность передачи аутентификационной информации устройства, на котором выполняется идентификация
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - О

3.9. Протокол взаимодействия должен предусматривать обязательную передачу метки времени при каждой процедуре идентификации с учетом доверительного временного интервала, определенного на основании анализа рисков поставщиком услуг
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

3.10. Протокол взаимодействия должен необратимо связывать идентификатор канала взаимодействия, который был согласован при установлении защищенного канала, с идентификационной информацией получателя услуг
УДИ 1 - Н
УДИ 2 - Н
УДИ 3 - О

3.11. Протокол взаимодействия должен обеспечивать конфиденциальность идентификационной информации путем ее шифрования
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

3.12. Протокол взаимодействия должен обеспечивать криптографическую целостность идентификационной информации
УДИ 1 - О
УДИ 2 - О
УДИ 3 - О

3.13. Протокол взаимодействия должен обеспечивать возможность подписания усиленной электронной подписью идентификационной информации
УДИ 1 - Н
УДИ 2 - ЮЛ
УДИ 3 - ЮЛ

3.14. Протокол взаимодействия должен обеспечивать возможность использования российских криптографических алгоритмов, предназначенных для шифрования и подписания
УДИ 1 - Н
УДИ 2 - О
УДИ 3 - О