|
ДТС |
– |
доверенная третья сторона |
|
УДА |
– |
уровень доверия к аутентификации |
|
УДИ |
– |
уровень доверия к идентификации |
[1]– В рамках данного стандарта термин используется в отношении протоколов взаимодействия, реализующих процессы идентификации и аутентификации.
В случаях, когда поставщик услуг делегирует проведение идентификации и/или аутентификации ДТС, он должен руководствоваться следующими подходами для минимизации риска использования сторонних поставщиков услуг:
Состав мер защиты информации, применяемый при делегировании идентификации и/или аутентификации, приведен в таблице 8.
Таблица 8. Состав мер защиты информации, применяемый при делегировании идентификации и/или аутентификации
|
№ |
Содержание меры защиты информации |
|
1 |
Поставщик услуг должен предоставить получателю услуг информацию о намерении проведения идентификации и/или аутентификации с использованием сервиса ДТС до перенаправления на ресурсы ДТС, после чего получатель услуги должен подтвердить намерение пройти идентификацию и/или аутентификацию с использованием сервиса ДТС |
|
2 |
Поставщик услуг при переадресации на сервис ДТС должен передавать необходимый УДИ и/или УДА, по которому должна проводиться идентификация и/или аутентификация получателя услуг, если договором предусмотрено проведение идентификации и/или аутентификации по различным УДИ и/или УДА |
|
3 |
Перенаправление на сторонний ресурс (ресурсы поставщика услуг или ДТС) должно осуществляться защищенным образом в соответствии с российскими и международными стандартами и практиками |
|
4 |
Поставщик услуг должен вести закрытый перечень адресов ресурсов ДТС, на которые осуществляется перенаправление, и обеспечивать перенаправление только на ресурсы из данного перечня |
|
5 |
Канал взаимодействия между поставщиком услуг и ДТС должен обеспечивать криптографическую защиту сетевого взаимодействия и взаимную аутентификацию сторон |
|
6 |
Поставщик услуг и ДТС при передаче идентификационной и/или аутентификационной информации, а также сведений об идентификации и/или аутентификации, должны обеспечить целостность и достоверность передаваемой информации |
|
7 |
Поставщик услуг и ДТС должны обмениваться состоянием идентификационной и/или аутентификационной информации получателя услуг с периодичностью, определенной на основании анализа рисков поставщиком услуг и предусмотренной договором между поставщиком услуг и ДТС |
|
8 |
Поставщик услуг должен установить в договоре с ДТС минимальный и достаточный состав идентификационной информации, предоставляемой получателем услуг в процессе первичной идентификации |
|
9 |
При делегировании идентификации поставщик услуг должен обеспечить получение от ДТС факта получения согласия на обработку персональных данных получателя услуг, содержащее согласие на передачу персональных данных поставщику услуг |
|
10 |
Поставщик услуг при переадресации на сервис ДТС может передавать наименование верифицирующей стороны (перечень верифицирующих сторон), с использованием которых должна проводиться верификация получателя услуг |
|
11 |
Поставщик услуг должен обеспечить получение от ДТС журналов событий идентификации, в том числе содержащие записи о создании цифровой идентичности, изменении, блокировке и уничтожении идентификационных данных, фактах попыток прохождения вторичной идентификации, а также инцидентов, произошедших по причине ошибок идентификации или нарушения пользовательского сеанса |
|
12 |
Поставщик услуг при переадресации на сервис ДТС может передавать необходимый тип (список типов) или наименование аутентификатора, по которому должна проводиться аутентификация получателя услуг |
|
13 |
Поставщик услуг должен обеспечить получение от ДТС журналов событий аутентификации, в том числе содержащие записи об изменении аутентификационной информации, привязке или отзыве аутентификаторов, источниках неудачных попыток аутентификации, а также инцидентов, произошедших по причине ошибок аутентификации или нарушения пользовательского сеанса |