7.2. ТРЕБОВАНИЯ К ПРОЦЕССУ ИДЕНТИФИКАЦИИ
7.2. ТРЕБОВАНИЯ К ПРОЦЕССУ ИДЕНТИФИКАЦИИ 
Состав мер защиты информации, применяемый к процессу идентификации, приведен в таблице 3 <6>.
--------------------------------
<6> В таблице 3 используются следующие обозначения обязательности реализации мер защиты:
О - обязательная мера защиты для УДИ;
ПИ - обязательная мера защиты для первичной идентификации получателей услуг, проводимой по УДИ; ВИ - обязательная мера защиты для вторичной идентификации получателей услуг, проводимой по УДИ; Н - необязательная мера защиты для УДИ;
"-" - мера защиты неприменима для УДИ.
Табл. 3
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ ИДЕНТИФИКАЦИИ
|
N
|
Содержание меры защиты информации
|
УДИ 1
|
УДИ 2
|
УДИ 3
|
|
1. Состав мер защиты информации, применяемый к службе идентификации
|
||||
|
1.1
|
Служба идентификации должна предоставить получателю услуг информацию о прохождении первичной идентификации, в том числе о цели сбора и составе идентификационной информации, после чего получатель услуги должен подтвердить намерение пройти первичную идентификацию
|
ПИ
|
ПИ
|
ПИ
|
|
1.2
|
Служба идентификации должна осуществлять сбор минимально достаточного состава идентификационной информации, необходимой для проведения первичной идентификации получателя услуг, определенного во внутренних документах поставщика услуг
|
ПИ
|
ПИ
|
ПИ
|
|
1.3
|
Служба идентификации должна верифицировать идентификационную информацию получателя услуг в соответствии с положениями ГОСТ Р 70262.1-2022 и с использованием сведений как минимум одной верифицирующей стороны
|
Н
|
ПИ
|
-
|
|
1.4
|
Служба идентификации должна верифицировать идентификационную информацию получателя услуг в соответствии с положениями ГОСТ Р 70262.1-2022 и с использованием сведений как минимум одной уполномоченной верифицирующей стороны, являющейся информационной системой органов государственной власти, Фонда пенсионного и социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования или иных ГИС
|
Н
|
Н
|
ПИ
|
|
1.5
|
Служба идентификации для определения и поддержки уникальности цифровой идентичности в рамках конкретной цифровой среды должна использовать идентификаторы, которые имеют однозначную связь <7> с получателем услуг
|
Н
|
О
|
О
|
|
1.6
|
Служба идентификации должна осуществлять подтверждение номеров мобильных телефонов и адресов электронной почты, предоставленных получателем услуг
|
ПИ
|
ПИ
|
ПИ
|
|
1.7
|
Служба идентификации должна осуществлять идентификацию за единый непрерывный пользовательский сеанс <8> на прикладном уровне модели OSI
|
О
|
О
|
О
|
|
1.8
|
Служба идентификации должна осуществлять идентификацию за единое непрерывное криптографическое соединение
|
Н
|
О
|
О
|
|
1.9
|
Служба идентификации должна контролировать время пользовательских сеансов при прохождении первичной идентификации и в случае превышения предельного периода, определенного поставщиком услуг на основании анализа рисков, направлять получателя услуг на повторную первичную идентификацию
|
Н
|
ПИ
|
ПИ
|
|
1.10
|
Служба идентификации должна реализовывать механизмы, позволяющие прервать процесс идентификации, в случае получения уведомления от получателя услуг или самостоятельного выявления факта компрометации идентификационной информации получателя услуг
|
О
|
О
|
О
|
|
1.11
|
Служба идентификации должна ограничить возможность прохождения первичной идентификации при превышении числа неудачных попыток первичной идентификации, определенного поставщиком услуг на основании анализа рисков, после чего должна проводить первичную идентификацию только при личном присутствии получателя услуг
|
ПИ
|
ПИ
|
ПИ
|
|
1.12
|
Служба идентификации может провести идентификацию по значению другого верифицированного идентификационного атрибута в случае потери получателем услуг идентификатора цифровой идентичности
|
ВИ
|
ВИ
|
-
|
|
1.13
|
Служба идентификации должна заново провести первичную идентификацию получателя услуг в случае потери получателем услуг идентификатора цифровой идентичности
|
-
|
-
|
ВИ
|
|
1.14
|
Служба идентификации должна разрешать обновление идентификационной информации получателя услуг только после аутентификации получателя услуг с УДА, соответствующего УДИ, по которому проводилась первичная идентификация получателя услуг
|
О
|
О
|
О
|
|
1.15
|
Служба идентификации не должна раскрывать факт существования или отсутствия цифровой идентичности, соответствующей идентификатору, при неуспешной попытке вторичной идентификации
|
О
|
О
|
О
|
|
1.16
|
Служба идентификации должна осуществлять передачу сведений об идентификации получателю услуг по результатам успешной первичной идентификации в том же пользовательском сеансе, в котором проводилась первичная идентификация, или с использованием альтернативного канала взаимодействия с получателем услуг
|
ПИ
|
ПИ
|
ПИ
|
|
1.17
|
Служба идентификации должна осуществлять сбор и последующее хранение аутентификационной информации устройства <9>, на котором выполняется идентификация
|
Н
|
О
|
О
|
|
1.18
|
Служба идентификации должна позволять устанавливать настройки аудита и сроки хранения журнала событий в соответствии с установленными политиками безопасности, в том числе содержащего записи о создании цифровой идентичности, изменении, блокировке и уничтожении идентификационных данных, фактах попыток прохождения вторичной идентификации, а также инцидентов, произошедших по причине ошибок идентификации
|
О
|
О
|
О
|
|
2. Состав мер защиты информации, применяемый к каналу взаимодействия между службой идентификации и получателем услуг
|
||||
|
2.1
|
Служба идентификации должна обеспечивать применение сетевых протоколов, обеспечивающих конфиденциальность и контроль целостности канала взаимодействия, между службой идентификации и получателем услуг
|
О
|
О
|
О
|
|
2.2
|
Служба идентификации должна использовать уникальные ключи сетевого соединения и токены доступа для каждой уникальной сетевой сессии в канале взаимодействия между службой идентификации и получателем услуг
|
О
|
О
|
О
|
|
2.3
|
Служба идентификации должна обеспечить использование технологии двухсторонней аутентификации для канала взаимодействия между службой идентификации и получателем услуг
|
Н
|
ЮЛ
|
ЮЛ
|
|
2.4
|
Служба идентификации должна обеспечивать применение сетевых протоколов, обеспечивающих конфиденциальность и контроль целостности канала взаимодействия, между службой идентификации и верифицирующей стороной
|
ПИ
|
ПИ
|
ПИ
|
|
2.5
|
Служба идентификации и верифицирующая сторона должны обеспечить использование технологии двухсторонней аутентификации в канале взаимодействия между службой идентификации и верифицирующей стороной
|
ПИ
|
ПИ
|
ПИ
|
|
3. Состав мер защиты информации, применяемый к протоколу взаимодействия между службой идентификации и получателем услуг
|
||||
|
3.1
|
Служба идентификации должна осуществлять структурный и логический контроль получаемых сообщений протокола взаимодействия
|
О
|
О
|
О
|
|
3.2
|
Протокол взаимодействия должен предусматривать обязательное направление ответного сообщения на каждый запрос участника взаимодействия
|
О
|
О
|
О
|
|
3.3
|
Протокол взаимодействия должен предусматривать обязательную передачу идентификатора цифровой идентичности получателя услуг
|
ВИ
|
ВИ
|
ВИ
|
|
3.4
|
Протокол взаимодействия должен предусматривать обязательную передачу факта получения согласия получателя услуг на обработку его персональных данных
|
ПИ
|
ПИ
|
ПИ
|
|
3.5
|
Протокол взаимодействия должен обеспечивать возможность передачи перечня верифицирующих сторон, которые использовались при первичной идентификации получателя услуг
|
ПИ
|
ПИ
|
ПИ
|
|
3.6
|
Протокол взаимодействия должен предусматривать обязательную передачу сведений об идентификации
|
О
|
О
|
О
|
|
3.7
|
Протокол взаимодействия должен предусматривать обязательную передачу связывающего запрос и ответ параметра при каждой процедуре идентификации
|
О
|
О
|
О
|
|
3.8
|
Протокол взаимодействия должен обеспечивать возможность передачи аутентификационной информации устройства, на котором выполняется идентификация
|
Н
|
О
|
О
|
|
3.9
|
Протокол взаимодействия должен предусматривать обязательную передачу метки времени при каждой процедуре идентификации с учетом доверительного временного интервала, определенного на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
|
3.10
|
Протокол взаимодействия должен необратимо связывать идентификатор канала взаимодействия, который был согласован при установлении защищенного канала, с идентификационной информацией получателя услуг
|
Н
|
Н
|
О
|
|
3.11
|
Протокол взаимодействия должен обеспечивать конфиденциальность идентификационной информации путем ее шифрования
|
О
|
О
|
О
|
|
3.12
|
Протокол взаимодействия должен обеспечивать криптографическую целостность идентификационной информации
|
О
|
О
|
О
|
|
3.13
|
Протокол взаимодействия должен обеспечивать возможность подписания усиленной электронной подписью идентификационной информации
|
Н
|
ЮЛ
|
ЮЛ
|
|
3.14
|
Протокол взаимодействия должен обеспечивать возможность использования российских криптографических алгоритмов, предназначенных для шифрования и подписания
|
Н
|
О
|
О
|
--------------------------------
<7> В качестве идентификаторов, обеспечивающих однозначную связь с получателем услуг, могут выступать номер документа, удостоверяющего личность, уникальный идентификатор ЕСИА, номер мобильного телефона, подтвержденный у оператора сотовой связи, и другое.
<8> В качестве параметров, обеспечивающих непрерывность пользовательского сеанса, могут выступать идентификаторы сессии, токены доступа, cookie-идентификаторы и другое.
<9> В качестве аутентификационной информации могут выступать, например, сведения, идентифицирующие сертификат или публичный ключ устройства, а в случае отсутствия такой информации необходимо использовать цифровой отпечаток устройства, собранный в соответствии со стандартом Банка России СТО БР БФБО-1.7-2023 "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств" [13].
