"Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации" СТО БР БФБО-1.8-2024" (принят и введен в...

7.1. УРОВНИ ДОВЕРИЯ ИДЕНТИФИКАЦИИ

УДИ устанавливаются в рамках процесса идентификации, включающего в себя:

- первичную идентификацию (регистрацию) получателей услуг, являющихся физическими лицами и представителями юридических лиц;

- вторичную идентификацию получателей услуг, являющихся физическими лицами и представителями юридических лиц.

Для финансовых организаций устанавливаются три УДИ, определяющих уверенность в результатах идентификации: низкий (УДИ 1), средний (УДИ 2) и высокий (УДИ 3). В таблице 1 приведены критерии для каждого УДИ, определяющие соответствующий уровень уверенности в результате идентификации.

Табл. 1

КРИТЕРИИ, ОПРЕДЕЛЯЮЩИЕ СООТВЕТСТВУЮЩИЙ УРОВЕНЬ УВЕРЕННОСТИ В РЕЗУЛЬТАТАХ ИДЕНТИФИКАЦИИ

Критерий

Уровень доверия идентификации

УДИ 1

УДИ 2

УДИ 3

Уверенность в результатах идентификации

Некоторая уверенность

Умеренная уверенность

Значительная уверенность

Идентификационная информация верифицирована <4>

Нет

Да

Да <5>

Идентификационная информация соответствует получателю услуг, который ее заявил

Да

Да

Да

Идентификационная информация уникальна в контексте конкретной цифровой среды

Да

Да

Да

Цифровая идентичность однозначно определяется соотнесенным с ней предъявленным идентификатором

Да

Да

Да

Идентификатор имеет однозначную связь с получателем услуги

Нет

Да

Да

--------------------------------

<4> В таблице П-1 приложения 1 приведены примеры реализации процесса верификации в разрезе уровней доверия идентификации, определенных в данном разделе.

<5> Для данного УДИ верификация должна проводиться с использованием сведений как минимум одной уполномоченной верифицирующей стороны, являющейся информационной системой органов государственной власти, Фонда пенсионного и социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования или иных ГИС.

Поставщик услуг должен определять необходимый УДИ во внутренних документах для каждой предоставляемой финансовой операции на основании анализа рисков с учетом требований применения УДИ к финансовым операциям поставщика услуг, приведенных в таблице 2.

Осуществление финансовой операции при проведении идентификации в случае несоответствия процесса идентификации требованиям УДИ, установленного для данной финансовой операции, не допускается.

Табл. 2

ПРИМЕНЕНИЕ УДИ К ФИНАНСОВЫМ ОПЕРАЦИЯМ ПОСТАВЩИКА УСЛУГ

Финансовые операции поставщика услуг

Допустимые УДИ

УДИ 1

УДИ 2

УДИ 3

Предоставление информационных сервисов ФЛ

+

+

+

Предоставление информационных сервисов ЮЛ

-

+

+

Совершение финансовых операций ФЛ, оценка операционного риска которых не превышает установленных во внутренних документах показателей оценки операционного риска

-

+

+

Совершение высокорисковых (оценка операционного риска превышает установленные во внутренних документах показатели оценки операционного риска) финансовых операций ФЛ

-

-

+

Совершение финансовых операций ЮЛ

-

-

+

7. Состав мер защиты информации при проведении дистанционной идентификации 7.2. Требования к процессу идентификации