Краткий обзор проекта Стандарта СТО БР БФБО-1.8-2023

Банк России, опубликовал проект нового Стандарта СТО БР БФБО-1.8-2023 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».

Данным стандартом, регулятор объединяет в одном документе с состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов финансовых организаций (кредитных и некредитных), только при дистанционном обслуживании, предоставлении финансовых услуг.

Положения данного стандарта носят рекомендательный характер и не являются обязательными к исполнению, т.к. обязательность его применения не установлена законодательством Российской Федерации.

Настоящий стандарт детализирует и расширяет положения ГОСТ Р 58833-2020 в части организации процессов и применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.

Субъекты – участники взаимодействия в идентификации и аутентификации, выделены в следующие роли:

• Поставщики услуг – финансовые организации;
• Получатели услуг – физические и/или юридические лица – клиенты финансовых организаций;
• Доверенная третья сторона – организация, предоставляющая один или более сервисов, участвующих в идентификации и аутентификации, и которой доверяют другие участники взаимодействия в отношении данных сервисов.

Для финансовых организаций устанавливается три Уровня Доверия к Идентификации (УДИ) и Уровни Доверия к Аутентификации (УДА). Где самые низкие уровни доверия (УДИ1 и УДА1) требуют минимальных данных для соотнесения заявленным данным к верифицированным. А высокие уровни, требуют верификации с использованием государственных информационных систем и применение криптографии.

Также в данном стандарте, в отдельных таблицах, указаны:

• состав и содержание мер защиты информации, применяемые к процессу идентификации в зависимости от уровней доверия;
• состав и содержание мер защиты информации, применяемые при делегировании идентификации;
• состав и содержание мер защиты информации при проведении дистанционной идентификации;
• критерии, устанавливающие соответствующие уровни уверенности к результатам аутентификации;
• критерии применения УДА к сценариям аутентификации получателя услуг;
• состав и содержание мер защиты информации, применяемые к процессу аутентификации в зависимости от УДА;
• состав мер защиты информации, применяемый при делегировании аутентификации Доверенной Третьей Стороне;

Выбор уровня доверия осуществляется организациями самостоятельно в рамках системы управления рисками исходя из критичности операции.

Данный стандарт поможет уменьшить количество мошеннических действий связанных с аутентификацией и идентификацией, а также сохранить денежные средства клиентов финансовых организаций.