8.2. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ
Состав мер защиты информации, применяемый к процессу аутентификации, приведен в таблице 6 <11>.
--------------------------------
<11> В таблице 6 используются следующие обозначения обязательности реализации мер защиты:
О - обязательная мера защиты для УДА;
ФЛ - обязательная мера защиты для аутентификации получателей услуг - физических лиц, проводимой по УДА;
ЮЛ - обязательная мера защиты для аутентификации получателей услуг - юридических лиц, проводимой по УДА;
ПС - обязательная мера защиты для аутентификации программных сервисов, проводимой по УДА;
Н - необязательная мера защиты для УДА;
"-" - мера защиты неприменима для УДА.
Табл. 6
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ К ПРОЦЕССУ АУТЕНТИФИКАЦИИ
N
|
Содержание меры защиты информации
|
УДА 1
|
УДА 2
|
УДА 3
|
1. Состав мер защиты информации, применяемый к службе аутентификации
|
||||
1.1
|
Служба аутентификации должна требовать предъявления всех необходимых аутентификаторов, определяемых на основании проводимой финансовой операции, УДА и перечня привязанных к учетной записи аутентификаторов
|
О
|
О
|
О
|
1.2
|
Служба аутентификации должна осуществлять процедуру аутентификации за единый непрерывный пользовательский сеанс на прикладном уровне модели OSI
|
О
|
О
|
О
|
1.3
|
Служба аутентификации должна осуществлять процедуру аутентификации за единое непрерывное криптографическое соединение
|
ПС
|
ЮЛ, ПС
|
О
|
1.4
|
Служба аутентификации должна реализовать механизмы, позволяющие прервать процедуру аутентификации или пользовательский сеанс, в случае получения уведомления от получателя услуг или самостоятельного выявления факта компрометации аутентификатора или канала взаимодействия
|
О
|
О
|
О
|
1.5
|
Служба аутентификации должна устанавливать предельное время пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
|
О
|
О
|
О
|
1.6
|
Служба аутентификации должна устанавливать предельное время бездействия получателя услуг в рамках пользовательского сеанса, определяемое на основании анализа рисков поставщиком услуг, и в случае его превышения прерывать пользовательский сеанс
|
О
|
О
|
О
|
1.7
|
Служба аутентификации должна инициировать проведение новой процедуры аутентификации получателя услуг в случае завершения или прерывания пользовательского сеанса
|
О
|
О
|
О
|
1.8
|
Служба аутентификации должна прервать все пользовательские сеансы, провести идентификацию и аутентификацию получателя услуг с использованием другого аутентификатора, привязанного к цифровой идентичности получателя услуг, в случае потери или компрометации одного из аутентификаторов, привязанных к цифровой идентичности получателя услуг, а также обеспечить отзыв такого аутентификатора и привязку нового аутентификатора, соответствующего УДА отозванного аутентификатора
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
1.9
|
Служба аутентификации должна повторно провести первичную идентификацию получателя услуг и осуществить привязку новых аутентификаторов в случае потери или компрометации всех аутентификаторов, привязанных к цифровой идентичности получателя услуг
|
О
|
О
|
О
|
1.10
|
Служба аутентификации должна обеспечить временное блокирование возможности прохождения аутентификации при превышении числа неудачных попыток аутентификации, определенного на основании анализа рисков поставщиком услуг
|
О
|
О
|
О
|
1.11
|
Служба аутентификации должна требовать предъявления хотя бы одного аутентификатора, требующего конклюдентных действий <12> от получателя услуги
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
1.12
|
Служба аутентификации позволяет устанавливать настройки аудита и сроки хранения журнала событий, в том числе содержащего записи об изменении аутентификационных данных, привязке или отзыве аутентификаторов, источниках неудачных попыток аутентификации, а также инцидентах, произошедших по причине ошибок аутентификации
|
О
|
О
|
О
|
1.13
|
Служба аутентификации должна вести учет всех аутентификаторов, которые связаны или были связаны с данной цифровой идентичностью на протяжении всего жизненного цикла цифровой идентичности
|
О
|
О
|
О
|
1.14
|
Служба аутентификации должна обеспечить защиту программных интерфейсов от воздействия некорректных или намеренно сформированных нестандартных запросов и ответов
|
О
|
О
|
О
|
1.15
|
Служба аутентификации должна учитывать несоответствие аутентификационной информации устройства при выборе УДА, по которому должна быть проведена аутентификация
|
Н
|
О
|
О
|
2. Состав мер защиты информации, применяемый к каналу взаимодействия между службой аутентификации и получателем услуг
|
||||
2.1
|
Служба аутентификации должна обеспечивать применение сетевых протоколов, обеспечивающих защиту подлинности и контроль целостности канала взаимодействия, между службой аутентификации и получателем услуг
|
О
|
О
|
О
|
2.2
|
Служба аутентификации должна использовать уникальные ключи сетевого соединения и токены доступа для каждой уникальной сетевой сессии в канале взаимодействия между поставщиком услуг и получателем услуг
|
О
|
О
|
О
|
2.3
|
Служба аутентификации должна обеспечить использование технологии двухсторонней аутентификации в канале взаимодействия между службой идентификации и получателем услуг
|
Н
|
ЮЛ
|
О
|
3. Состав мер защиты информации, применяемый к протоколу взаимодействия между службой аутентификации и получателем услуг
|
||||
3.1
|
Служба аутентификации должна осуществлять структурный и логический контроль получаемых сообщений, предусмотренных протоколом взаимодействия
|
О
|
О
|
О
|
3.2
|
Протокол взаимодействия должен предусматривать обязательное направление ответного сообщения на каждый запрос участника взаимодействия
|
О
|
О
|
О
|
3.3
|
Протокол взаимодействия должен предусматривать обязательную передачу идентификатора цифровой идентичности получателя услуг при каждой процедуре аутентификации
|
О
|
О
|
О
|
3.4
|
Протокол взаимодействия должен обеспечивать возможность передачи аутентификационной информации устройства, на котором выполняется аутентификация
|
Н
|
О
|
О
|
3.5
|
Протокол взаимодействия должен предусматривать обязательную передачу сведений об аутентификации
|
О
|
О
|
О
|
3.6
|
Протокол взаимодействия должен предусматривать обязательную передачу связывающего запрос и ответ параметра при каждой процедуре аутентификации
|
О
|
О
|
О
|
3.7
|
Протокол взаимодействия должен предусматривать обязательную передачу метки времени при каждой процедуре аутентификации с учетом доверительного интервала метки времени, определенного на основании анализа рисков поставщиком услуг
|
Н
|
О
|
О
|
3.8
|
Протокол взаимодействия должен необратимо связывать идентификатор канала взаимодействия, который был согласован при установлении защищенного канала, с аутентификационной информацией получателя услуг
|
Н
|
Н
|
О
|
3.9
|
Протокол взаимодействия должен предусматривать возможность передачи счетчика процедур аутентификации, в случае если аутентификатор ведет внутренний счетчик процедур аутентификации
|
Н
|
ЮЛ, ПС
|
О
|
3.10
|
Протокол взаимодействия должен предусматривать обязательную передачу параметра в виде однократно используемой последовательности алфавитно-цифровых символов при каждой процедуре аутентификации службе аутентификации
|
Н
|
ЮЛ, ПС
|
О
|
3.11
|
Протокол взаимодействия должен обеспечивать конфиденциальность аутентификационной информации путем ее шифрования
|
О
|
О
|
О
|
3.12
|
Протокол взаимодействия должен обеспечивать криптографическую целостность аутентификационной информации
|
О
|
О
|
О
|
3.13
|
Протокол взаимодействия должен предусматривать возможность подписания усиленной электронной подписью идентификационной и аутентификационной информации
|
Н
|
ЮЛ
|
ЮЛ
|
3.14
|
Протокол взаимодействия должен обеспечивать возможность использования российских криптографических алгоритмов, применяемых для шифрования и подписания
|
Н
|
О
|
О
|
4. Состав мер защиты информации, применяемый к аутентификаторам и процедурам их привязки и отзыва
|
||||
4.1
|
Служба аутентификации должна ознакомить получателя услуг с правилами обращения с аутентификаторами, мерами по обеспечению их безопасности, а также действиями в случае их компрометации или потери
|
О
|
О
|
О
|
4.2
|
Служба аутентификации должна поддерживать актуальность состояния аутентификационной информации получателя услуг, в том числе последнего известного состояния аутентификатора
|
О
|
О
|
О
|
4.3
|
Служба аутентификации при каждой процедуре аутентификации должна проверять состояние аутентификационной информации получателя услуг и состояние аутентификаторов, в том числе актуальность и срок действия аутентификатора
|
О
|
О
|
О
|
4.4
|
Служба аутентификации должна аутентифицировать аппаратные и программные аутентификаторы
|
Н
|
ЮЛ
|
О
|
4.5
|
Служба аутентификации должна использовать список разрешенных аутентификаторов или применять иные механизмы фильтрации аутентификаторов
|
ПС
|
ЮЛ, ПС
|
О
|
4.6
|
Служба аутентификации должна использовать аутентификаторы, обеспечивающие устойчивость программных и аппаратных интерфейсов (при их наличии) к воздействию некорректных или намеренно сформированных нестандартных запросов и ответов
|
О
|
О
|
О
|
4.7
|
Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
4.8
|
Служба аутентификации должна обеспечить возможность привязки аутентификаторов к цифровой идентичности получателя услуг только в рамках пользовательского сеанса, в котором была проведена либо первичная идентификация, либо аутентификация по УДА не ниже УДА привязываемого аутентификатора
|
Н
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
4.9
|
Служба аутентификации должна уведомлять получателя услуг о привязке к его цифровой идентичности новых аутентификаторов
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
ФЛ, ЮЛ
|
4.10
|
Служба аутентификации должна осуществлять проверки безопасности среды, в которой осуществляются привязка или предъявление аутентификатора (например, проверка наличия вредоносных программ, контроль обновлений программного обеспечения и другое)
|
О
|
О
|
О
|
--------------------------------
<12> Действий, которые подтверждают намерение получателя услуг предъявить конкретный аутентификатор, например ввод запоминаемого секрета, предъявление биометрических характеристик, активация внеполосного аутентификатора и другие.