8.1. УРОВНИ ДОВЕРИЯ АУТЕНТИФИКАЦИИ
УДА устанавливаются в рамках процесса аутентификации физических лиц, представителей юридических лиц и программных сервисов.
Для финансовых организаций устанавливается три УДА, определяющих уверенность в результатах аутентификации: низкий (УДА 1), средний (УДА 2) и высокий (УДА 3). В таблице 4 приведены критерии, определяющие соответствующий уровень уверенности в результатах аутентификации, для каждого УДА.
Табл. 4
КРИТЕРИИ, ОПРЕДЕЛЯЮЩИЕ СООТВЕТСТВУЮЩИЙ УРОВЕНЬ УВЕРЕННОСТИ В РЕЗУЛЬТАТАХ АУТЕНТИФИКАЦИИ
|
Критерий
|
Уровни доверия аутентификации
|
||
|
УДА 1
|
УДА 2
|
УДА 3
|
|
|
Уверенность в результатах аутентификации
|
Некоторая уверенность
|
Умеренная уверенность
|
Значительная уверенность
|
|
Протокол аутентификации обеспечивает однофакторную аутентификацию получателя услуг
|
Да
|
Нет
|
Нет
|
|
Протокол аутентификации обеспечивает многофакторную аутентификацию получателя услуг
|
Нет
|
Да
|
Да
|
|
Протокол аутентификации является криптографическим
|
Нет
|
Нет
|
Да
|
|
Протокол аутентификации обеспечивает взаимную аутентификацию поставщика услуг и получателя услуг
|
Нет
|
Нет
|
Да
|
|
Каждый предъявленный аутентификатор <10> соответствует аутентификатору, привязанному к цифровой идентичности
|
Да
|
Да
|
Да
|
|
Хотя бы один из аутентификаторов является криптографическим средством аутентификации
|
Нет
|
Нет
|
Да
|
|
Получателем услуг подтверждены факт обладания и способность распоряжаться аутентификатором
|
Да
|
Да
|
Да
|
--------------------------------
<10> В таблице П-2 приложения 2 к стандарту приведены примеры аутентификаторов в разрезе уровней доверия аутентификации, определенных в данном разделе.
Поставщик услуг должен определять необходимый УДА во внутренних документах для каждой предоставляемой финансовой операции на основании анализа рисков с учетом требований применения УДА к финансовым операциям поставщика услуг, приведенных в таблице 5.
Табл. 5
ПРИМЕНЕНИЕ УДА К ФИНАНСОВЫМ ОПЕРАЦИЯМ ПОСТАВЩИКА УСЛУГ
|
Финансовые операции поставщика услуг
|
Допустимые УДА
|
||
|
УДА 1
|
УДА 2
|
УДА 3
|
|
|
Предоставление информационных сервисов ФЛ
|
+
|
+
|
+
|
|
Предоставление информационных сервисов ЮЛ
|
+
|
+
|
+
|
|
Совершение финансовых операций ФЛ, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска
|
-
|
+
|
+
|
|
Совершение финансовых операций ФЛ, которые законодательно ограничены суммами проведения операции при использовании конкретных средств аутентификации
|
+
|
+
|
+
|
|
Совершение финансовых операций ФЛ в течение ограниченного периода, определенного на основании анализа рисков поставщиком услуг, после проведения на устройстве получателя услуг аутентификации по УДА 2 при условии дополнительной аутентификации устройства получателя услуг и экземпляра приложения
|
+
|
+
|
+
|
|
Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛ
|
-
|
-
|
+
|
|
Совершение регулярных или характерных финансовых операций, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска ЮЛ
|
-
|
+
|
+
|
|
Совершение иных или высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ЮЛ
|
-
|
-
|
+
|
|
Совершение финансовых операций ФЛ и ЮЛ с использованием программных сервисов, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска
|
-
|
+
|
+
|
|
Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛ и ЮЛ с использованием программных сервисов
|
-
|
-
|
+
|
Осуществление финансовой операции при проведении аутентификации в случае несоответствия процесса аутентификации требованиям УДА, установленного для данной финансовой операции, не допускается.