9. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ ПРИ ДЕЛЕГИРОВАНИИ ДИСТАНЦИОННЫХ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ
9. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ ПРИ ДЕЛЕГИРОВАНИИ ДИСТАНЦИОННЫХ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ
В случаях когда поставщик услуг делегирует проведение идентификации и (или) аутентификации ДТС, он должен руководствоваться следующими подходами для минимизации риска использования сторонних поставщиков услуг:
- поставщик услуг несет ответственность за управление рисками делегирования идентификации и (или) аутентификации ДТС;
- поставщик услуг должен включить в систему управления рисками сторонних поставщиков услуг риски делегирования проведения идентификации и (или) аутентификации, в том числе в части политики и процессов по выявлению и снижению рисков, управлению ими, мониторингу и отчетности о данных рисках;
- поставщик услуг должен проводить оценку рисков делегирования проведения идентификации и (или) аутентификации до заключения договора, а также периодически проводить оценку рисков после заключения договора;
- поставщик услуг должен получить от ДТС подтверждение наличия действующей лицензии на осуществление лицензируемой деятельности, в случаях если это предусмотрено законодательством Российской Федерации или нормативными актами Банка России;
- поставщик услуг должен определить в договоре с ДТС перечень финансовых операций и соответствующие им УДИ и (или) УДА, которые будут использоваться при делегировании идентификации и (или) аутентификации;
- поставщик услуг должен получить от ДТС документированное подтверждение соответствия составу мер, приведенных в таблицах 3 и (или) 6, 7, для наиболее высокого утвержденного УДИ и (или) УДА или компенсирующим мерам, а также требованиям ГОСТ Р 57580.1-2017, в случаях если это предусмотрено законодательством Российской Федерации или нормативными актами Банка России;
- поставщик услуг совместно с ДТС должен обеспечить реализацию мер, приведенных в таблице 8;
- поставщик услуг должен определить в договоре с ДТС зоны ответственности между поставщиком услуг и ДТС для случаев непреднамеренных ошибок или инцидентов защиты информации при проведении идентификации и (или) аутентификации;
- поставщик услуг должен определить в договоре с ДТС порядок информирования о выявленных инцидентах защиты информации при проведении идентификации и (или) аутентификации и реагирования на них.
Состав мер защиты информации, применяемый при делегировании идентификации и (или) аутентификации, приведен в таблице 8.
Табл. 8
СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ ПРИ ДЕЛЕГИРОВАНИИ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ
|
N
|
Содержание меры защиты информации
|
|
1
|
Поставщик услуг должен предоставить получателю услуг информацию о намерении проведения идентификации и (или) аутентификации с использованием сервиса ДТС до перенаправления на ресурсы ДТС, после чего получатель услуги должен подтвердить намерение пройти идентификацию и (или) аутентификацию с использованием сервиса ДТС
|
|
2
|
Поставщик услуг при переадресации на сервис ДТС должен передавать необходимые УДИ и (или) УДА, по которым должна проводиться идентификация и (или) аутентификация получателя услуг, если договором предусмотрено проведение идентификации и (или) аутентификации по различным УДИ и (или) УДА
|
|
3
|
Перенаправление на сторонний ресурс (ресурсы поставщика услуг или ДТС) должно осуществляться защищенным образом в соответствии с российскими и международными стандартами и практиками
|
|
4
|
Поставщик услуг должен вести закрытый перечень адресов ресурсов ДТС, на которые осуществляется перенаправление, и обеспечивать перенаправление только на ресурсы из данного перечня
|
|
5
|
Канал взаимодействия между поставщиком услуг и ДТС должен обеспечивать криптографическую защиту сетевого взаимодействия и взаимную аутентификацию сторон
|
|
6
|
Поставщик услуг и ДТС при передаче идентификационной и (или) аутентификационной информации, а также сведений об идентификации и (или) аутентификации должны обеспечить целостность и достоверность передаваемой информации
|
|
7
|
Поставщик услуг и ДТС должны обмениваться состоянием идентификационной и (или) аутентификационной информации получателя услуг с периодичностью, определенной на основании анализа рисков поставщиком услуг и предусмотренной договором между поставщиком услуг и ДТС
|
|
8
|
Поставщик услуг должен установить в договоре с ДТС минимальный и достаточный состав идентификационной информации, предоставляемой получателем услуг в процессе первичной идентификации
|
|
9
|
При делегировании идентификации поставщик услуг должен обеспечить получение от ДТС факта получения согласия на обработку персональных данных получателя услуг, содержащее согласие на передачу персональных данных поставщику услуг
|
|
10
|
Поставщик услуг при переадресации на сервис ДТС может передавать наименование верифицирующей стороны (перечень верифицирующих сторон), с использованием которых должна проводиться верификация получателя услуг
|
|
11
|
Поставщик услуг должен обеспечить получение от ДТС журналов событий идентификации, в том числе содержащих записи о создании цифровой идентичности, изменении, блокировке и уничтожении идентификационных данных, фактах попыток прохождения вторичной идентификации, а также инцидентов, произошедших по причине ошибок идентификации или нарушения пользовательского сеанса
|
|
12
|
Поставщик услуг при переадресации на сервис ДТС может передавать необходимый тип (список типов) или наименование аутентификатора, по которому должна проводиться аутентификация получателя услуг
|
|
13
|
Поставщик услуг должен обеспечить получение от ДТС журналов событий аутентификации, в том числе содержащих записи об изменении аутентификационной информации, привязке или отзыве аутентификаторов, источниках неудачных попыток аутентификации, а также инцидентах, произошедших по причине ошибок аутентификации или нарушения пользовательского сеанса
|