9. СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ ПРИ ДЕЛЕГИРОВАНИИ ДИСТАНЦИОННЫХ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ

В случаях когда поставщик услуг делегирует проведение идентификации и (или) аутентификации ДТС, он должен руководствоваться следующими подходами для минимизации риска использования сторонних поставщиков услуг:

- поставщик услуг несет ответственность за управление рисками делегирования идентификации и (или) аутентификации ДТС;

- поставщик услуг должен включить в систему управления рисками сторонних поставщиков услуг риски делегирования проведения идентификации и (или) аутентификации, в том числе в части политики и процессов по выявлению и снижению рисков, управлению ими, мониторингу и отчетности о данных рисках;

- поставщик услуг должен проводить оценку рисков делегирования проведения идентификации и (или) аутентификации до заключения договора, а также периодически проводить оценку рисков после заключения договора;

- поставщик услуг должен получить от ДТС подтверждение наличия действующей лицензии на осуществление лицензируемой деятельности, в случаях если это предусмотрено законодательством Российской Федерации или нормативными актами Банка России;

- поставщик услуг должен определить в договоре с ДТС перечень финансовых операций и соответствующие им УДИ и (или) УДА, которые будут использоваться при делегировании идентификации и (или) аутентификации;

- поставщик услуг должен получить от ДТС документированное подтверждение соответствия составу мер, приведенных в таблицах 3 и (или) 6, 7, для наиболее высокого утвержденного УДИ и (или) УДА или компенсирующим мерам, а также требованиям ГОСТ Р 57580.1-2017, в случаях если это предусмотрено законодательством Российской Федерации или нормативными актами Банка России;

- поставщик услуг совместно с ДТС должен обеспечить реализацию мер, приведенных в таблице 8;

- поставщик услуг должен определить в договоре с ДТС зоны ответственности между поставщиком услуг и ДТС для случаев непреднамеренных ошибок или инцидентов защиты информации при проведении идентификации и (или) аутентификации;

- поставщик услуг должен определить в договоре с ДТС порядок информирования о выявленных инцидентах защиты информации при проведении идентификации и (или) аутентификации и реагирования на них.

Состав мер защиты информации, применяемый при делегировании идентификации и (или) аутентификации, приведен в таблице 8.

Табл. 8

СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИМЕНЯЕМЫЙ ПРИ ДЕЛЕГИРОВАНИИ ИДЕНТИФИКАЦИИ И (ИЛИ) АУТЕНТИФИКАЦИИ

N	Содержание меры защиты информации
1	Поставщик услуг должен предоставить получателю услуг информацию о намерении проведения идентификации и (или) аутентификации с использованием сервиса ДТС до перенаправления на ресурсы ДТС, после чего получатель услуги должен подтвердить намерение пройти идентификацию и (или) аутентификацию с использованием сервиса ДТС
2	Поставщик услуг при переадресации на сервис ДТС должен передавать необходимые УДИ и (или) УДА, по которым должна проводиться идентификация и (или) аутентификация получателя услуг, если договором предусмотрено проведение идентификации и (или) аутентификации по различным УДИ и (или) УДА
3	Перенаправление на сторонний ресурс (ресурсы поставщика услуг или ДТС) должно осуществляться защищенным образом в соответствии с российскими и международными стандартами и практиками
4	Поставщик услуг должен вести закрытый перечень адресов ресурсов ДТС, на которые осуществляется перенаправление, и обеспечивать перенаправление только на ресурсы из данного перечня
5	Канал взаимодействия между поставщиком услуг и ДТС должен обеспечивать криптографическую защиту сетевого взаимодействия и взаимную аутентификацию сторон
6	Поставщик услуг и ДТС при передаче идентификационной и (или) аутентификационной информации, а также сведений об идентификации и (или) аутентификации должны обеспечить целостность и достоверность передаваемой информации
7	Поставщик услуг и ДТС должны обмениваться состоянием идентификационной и (или) аутентификационной информации получателя услуг с периодичностью, определенной на основании анализа рисков поставщиком услуг и предусмотренной договором между поставщиком услуг и ДТС
8	Поставщик услуг должен установить в договоре с ДТС минимальный и достаточный состав идентификационной информации, предоставляемой получателем услуг в процессе первичной идентификации
9	При делегировании идентификации поставщик услуг должен обеспечить получение от ДТС факта получения согласия на обработку персональных данных получателя услуг, содержащее согласие на передачу персональных данных поставщику услуг
10	Поставщик услуг при переадресации на сервис ДТС может передавать наименование верифицирующей стороны (перечень верифицирующих сторон), с использованием которых должна проводиться верификация получателя услуг
11	Поставщик услуг должен обеспечить получение от ДТС журналов событий идентификации, в том числе содержащих записи о создании цифровой идентичности, изменении, блокировке и уничтожении идентификационных данных, фактах попыток прохождения вторичной идентификации, а также инцидентов, произошедших по причине ошибок идентификации или нарушения пользовательского сеанса
12	Поставщик услуг при переадресации на сервис ДТС может передавать необходимый тип (список типов) или наименование аутентификатора, по которому должна проводиться аутентификация получателя услуг
13	Поставщик услуг должен обеспечить получение от ДТС журналов событий аутентификации, в том числе содержащих записи об изменении аутентификационной информации, привязке или отзыве аутентификаторов, источниках неудачных попыток аутентификации, а также инцидентах, произошедших по причине ошибок аутентификации или нарушения пользовательского сеанса

8.3. Состав мер защиты информации, применяемый к процессу аутентификации при использовании отдельных аутентификаторов 10. Использование стандарта для реализации требований к подпроцессу "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа" ГОСТ Р 57580.1-2017