26 сентября 2018 г.

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…


Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.
Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим.).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе (Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.
За что сразу цеплятся глаз “бумажного безопасника”? Например, за то, что с 4-ой главы Положения начинает мелькать термин “цифровая инфраструктура”, хотя и в законе №187-ФЗ “О безопасности критической информационной инфраструктуры”, и в ГОСТ Р 57580.1-2017 используется устоявшийся термин “информационная инфраструктура”. Кто-то из рисковиков-разработчиков проекта поддался магии “цифровой экономики”. Но вот в Приложении 2 к Положению всё же встречаем традиционный термин “информационная инфраструктура”, хотя в п.1.3 Приложения 2 опять упоминается “цифровая инфраструктура”.
Глава 1. Общие положения
1.2. Операционный риск присущ (Прим. для нормативного документа - слишком изыскано) всем направлениям КО, процессам и системам.
1.4. Риск информационной безопасности (далее – риск ИБ) определяется в соответствии с главой 7.1* настоящего Положения, риск информационных систем (далее – риск ИС), определяется в соответствии с пунктом 8.1** настоящего Положения.
_____
* 7.1 Банк, в соответствии с ГОСТ 57580.1-2017, Указом Президента РФ от 05 декабря 2016 года “Об утверждении Доктрины ИБ РФ”, определяет порядок управления риском недостатков процессов обеспечения информационной безопасности (Прим. что-то мало понятное!), а также несоответствие указанных процессов характеру и (или) масштабам деятельности Банка, требованиям нормативных актов Банка России, положениям национальных стандартов РФ и иных требований о защите данных (Прим. странно: обычно говорят “о защите информации”), разработанных Банком России в рамках законодательства РФ о техническом регулировании и стандартизации (далее – риск информационной безопасности).
** 8.1 Банк определяет систему управления риском отказов (нарушения функционирования) применяемых КО информационных систем и (или) недостаточности их функциональных возможностей (характеристик) потребностям КО (далее – риск ИС), включающей мероприятия и процедуры по обеспечению требований к непрерывности, безопасности и качеству функционирования информационных систем с учетом главы 7 настоящего Положения, в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ “О безопасности КИИ РФ”, ГОСТ Р 53647 “Менеджмент непрерывности бизнеса”, ГОСТ Р 57580.1-2017 “Защита информации финансовых организаций”, ГОСТ 56939-2016 “Защита информации. Разработка безопасного программного обеспечения”, а также с учетом требований к используемым информационным системам, определение которых установлено пунктом 3 статьи 2 Федерального закона от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”.
Глава 2. Классификации, используемые в системе управления операционным риском
2.3.5 ... опер.риск ... классифицируется по видам риска в зависимости от процессов КО, например:
-риск ИБ;
-риск ИС;
-риск управления проектами (далее – проектный риск);
-риск ошибок и недостатков управленческих процессов (далее – управленческий риск);
-правовой риск;
-риск нарушения процедур контроля;
-риск ошибок процессов разработки, проверки, адаптации, приемки методик и количественных моделей оценки активов и рисков (далее – модельный риск);
-риск персонала.
2.7. Типов событий для целей управления операционным риском ... (далее классификация событий первого уровня):
2.7.1 Внутреннее мошенничество ...
2.7.2 Внешнее мошенничество ...
2.7.3 Нарушения кадровой политики и безопасности труда ...
2.7.4 Нарушения прав клиентов и контрагентов ...
2.7.5 Ущерб материальным (физическим) активам КО ...
2.7.6 Нарушения функционирования и сбои систем ...
2.7.7 Нарушения при организации, исполнении и управлении процессами ...
2.11. Потери КО в результате реализации операционного риска делятся на прямые и непрямые.
Качественные потери включают в себя:
- приостановка деятельности в результате неблагоприятного события (например, технологического сбоя);
- утечка, потеря или искажение защищаемой и (или) коммерческой информации;
Глава 3. Требования к процедурам управления операционным риском
3.2. Процедура выявления и идентификации операционного риска включает:
- проведение ежегодной самооценки операционного риска ...
3.4. Процедура количественной оценки уровня операционного риска включает:
- агрегированную оценку уровня операционного риска по КО в целом ...;
оценку необходимого капитала на покрытие операционного риска в целом по КО и, при необходимости, в разрезе направлений деятельности и видов операционного риска (например, по риску ИБ) ...;
- оценку ожидаемых потерь от реализации операционного риска по бизнес-процессам ....
В случае отсутствия у КО статистики событий операционного риска достаточной для применения процедуры количественной оценки операционного риска, КО в обязательном порядке применяет процедуру качественной оценки.
3.5. Процедура качественной оценки уровня операционного риска, проводимая в отношении выявленных операционных рисков, в дополнение к количественной оценке, включает:
- самооценку операционного риска ...;
- экспертную профессиональную оценку (профессиональное мнение внутренних и внешних экспертов) ...;
- сценарный анализ операционных рисков.
3.6. Процедура выбора и применения способа реагирования на операционный риск по результатам проведенной оценки, включает:
- уклонение от риска (отказ КО от оказания соответствующего вида услуг и банковских операций в связи с высоким уровнем операционного риска в них);
- передача риска (страхование, передача риска другой стороне (контрагенту, клиенту);
- принятие риска (готовность КО принять возможные потери в рамках установленного лимита потерь, с соответствующей процедурой контроля соблюдения лимита);
- меры, направленные на снижение уровня операционного риска (разработка КО форм (способов) контроля и мер, направленных на снижение уровня операционного риска), включающие:
- реинжиниринг бизнес-процессов;
- установление дополнительных форм (способов) контролей;
- обучение персонала, в том числе участников бизнес-процессов;
- применение автоматизированных решений;
- иные меры, направленные на снижение уровня операционного риска
Глава 4. Требования к отдельным элементам системы управления операционным риском
4.1. Система управления операционным риском в КО ... включает следующие отдельные элементы:
4.1.1. Перечень основных бизнес-процессов КО в разрезе направлений деятельности ...;
4.1.2. Политику (положение) по управлению операционным риском и внутренние документы, описывающие процедуры управления операционным риском, включая риски ИБ и ИС, а также процедуры оценки качества функционирования системы управления операционным риском;
4.1.3. Внутренние документы по структуре и организации КО управления операционным риском ...
4.1.4. Порядок оценки КО и (или) внешними экспертами…
КО определяет подразделение, структурно независимое от службы управления рисками, уполномоченное проводить оценку качества функционирования системы управления операционным риском (включая риск ИБ и ИС) …
4.1.5. Систему мер, направленных на снижение уровня операционного риска …
Меры, направленные на ограничение размера потерь от событий операционного риска, включают в том числе:
разработку планов по обеспечению непрерывности ключевых бизнес-процессов и информационных систем, включая цифровую инфраструктуру, а также безопасности и целостности информационных систем и информации, в том числе в соответствии с требованиями главы 8 настоящего Положения;
- разработку планов восстановления деятельности КО, в случае реализации операционного риска и системы быстрого реагирования на события операционного риска с критичным уровнем потерь;
- способ и порядок возмещения потерь от реализации событий операционного риска, с использованием страхования, включая, имущественное страхование …
4.2. Подразделение, ответственное за управление операционным риском, регулярно (не реже одного раза в квартал) формирует и направляет на рассмотрение исполнительному органу КО внутреннюю отчетность по операционному риску.
4.2.1 …
Внутренняя отчетность по операционным рискам должна храниться в КО не менее 10 лет
4.3. КО устанавливает требования к информационной системе, обеспечивающей управление операционным риском, включающую автоматизацию ведения базы событий операционного риска и процедур управления операционным риском.
4.5. КО проводит регулярный (не реже одного раза в год) пересмотр требований политики управления операционным риском
Глава 5. Требования к системе контрольных показателей уровня операционного риска
Глава 6. Требования к ведению базы событий операционного риска
Глава 7. Требования к управлению риском информационной безопасности
7.1. (Прим. процитирован выше).
7.2. Риск ИБ включает в себя:
риск преднамеренного воздействия персонала КО, третьих лиц и(или) сторонних информационных систем, направленного на несанкционированное получение (хищение), изменение, удаление данных и иной цифровой информации и (или) структуры данных, параметров и характеристик систем (в том числе программного кода) и режима доступа, посредством цифровой инфраструктуры и технологий связи (далее – киберриск);
- иные виды рисков ИБ, связанных с обработкой (хранением, уничтожением) информации без использования средств цифровой инфраструктуры.
7.4. Фактическая реализация риска ИБ… фиксируется в базе событий операционного риска, с присвоением отдельного признака.
7.5. КО вправе определить ведение базы событий риска ИБ как в общей базе событий операционного риска, так и в отдельной базе
7.7. КО … определяет во внутренних документах и обеспечивает функционирование системы обеспечения информационной безопасности, включающей:
- стратегию (политику) обеспечения информационной безопасности …
- организационную структуру обеспечения информационной безопасности, в том числе распределение ролей и обязанностей, исключающее конфликт интересов;
- структурное подразделение (его структуру, роли, функционал и полномочия), ответственное за обеспечение информационной безопасности;
- должностное лицо, ответственное за функционирование системы информационной безопасности (не ниже члена коллегиального исполнительного органа управления, а также не участвующего в совершении банковских операций и сделок) и организации бухгалтерского и управленческого учета, обеспечения функционирования информационных систем;
критерии оценки эффективности подразделения, ответственного за обеспечение информационной безопасности;
- требования к квалификации персонала…
- ПО, технические и специальные аппаратные средства обеспечения ИБ;
- процессы обеспечения ИБ и защиты данных;
- систему мер обеспечения ИБ и защиты данных;
требования к качеству ИС и иных технических средств обеспечения ИБ, а также их классификация по уровням соответствия требованиям;
- обеспечение хранения кодов и устройств электронно-цифровой подписи (Прим. ЭЦП - устаревший термин, да и: “хранение кодов и устройств …” – это о чём?) уполномоченных работников КО, исключающая доступ к ним посторонних лиц и возможность несанкционированного использования;
стресс-тестирование на предмет обеспечения ИБ (Прим. почему по аналогии с 382-П не написать "тестирование на проникновение"?) и обнаружения уязвимостей, результаты которого отражаются в отчете о стресс-тестировании обеспечения ИБ;
независимую оценку на соответствие требованиям обеспечения ИБ, проводимой КО (Прим. по 382-П исключается оценка соответствия в форме самооценки) и(или) приглашенным квалифицированным экспертом.
7.10. Внутренняя отчетность КО по рискам ИБ включает:
- информацию о событиях риска ИБ в соответствии с пунктом 4.4. настоящего Положения и контрольных показателей уровня риска ИБ, перечисленных в пункте 2 Приложения 3 к настоящему Положению;
отчеты, в соответствии с требованиями Положения Банка России № 382-П ...;
отчеты, в порядке информирования ФинЦЕРТ, в том числе сводные отчеты должностному лицу, ответственному за обеспечение ИБ и уполномоченному коллегиальному органу о таком информировании.
7.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку, установленных настоящей главой требований.
Глава 8. Требования к управлению риском информационных систем
8.1... (Прим. процитирован выше).
8.2. Для целей управления риском ИС КО во внутренних документах определяет и соблюдает политику по использованию информационных систем (далее – Политика ИС), как взаимосвязанной совокупности, технических и программных средств, и иных элементов цифровой инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, в рамках реализации мер поддержки и обеспечения бесперебойности функционирования основных бизнес-процессов КО.
8.3. КО не реже одного раза в год выносит на рассмотрение исполнительного органа вопрос о пересмотре Политики ИС ...
8.4. Исполнительный орган управления КО обеспечивает соблюдение Политики ИС, в том числе определяет:
- роли и ответственность структурных подразделений по исполнению Политики;
- должностное лицо, ответственное за обеспечение функционирования ИС КО (далее – должностное лицо, ответственное за ИС);
- порядок информационного обмена в рамках реализации Политики ИС;
- порядок и периодичность регулярной отчетности должностного лица, ответственного за ИС и подразделений по исполнению Политики ИС перед исполнительным органом КО.
Далее излагаются:
- Требования к структуре ИС (п.8.7.1);
- Требования к стандартизации и унификации, используемые при создании, модернизации и эксплуатации ИС (п.8.7.2);
- Требования к надежности функционирования ИС (п.8.7.3);
- Требования к обеспечению качества данных (п.8.7.4).
8.7.6. КО не реже одного раза в год пересматривает требования к ИС с учетом текущих и стратегических планов развития, а также оценки уровня операционного риска и их влияния на ключевые бизнес-процессы, отраженной во внутренней отчетности по операционному риску и мер, направленных на снижение уровня операционного риска, внутренней отчетности подразделения, ответственного за обеспечение информационной безопасности и подразделения, ответственного за работу ИС.
(Прим. далее в п.8.8.3 что-то весьма радикальное!):
8.8.3. Регулярное (не реже одного раза в день) резервное копирование данных ключевых бизнес процессов на резервные технические средства, размещенные в иных зданиях чем те, в которых размещены действующие технические средства, обеспечивающие функционирование ИС в текущем рабочем режиме.
8.8.6. Проведение КО регулярных (не реже одного раза в год) оценок состава компонент, архитектуры, инфраструктуры и характеристик ИС на их достаточность и эффективность для обеспечения функционирования ключевых бизнес-процессов КО, по результатам которых принимаются меры по устранению выявленных недостатков в ИС.
8.8.7. Ежегодное тестирование (Прим. на проникновение?) и анализ уязвимостей ИС или их компонент, в том числе разработку комплекса мер, направленных на устранение выявленных уязвимостей.
8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) независимой оценки, установленных настоящей главой требований, включающих оценку качества:
- соблюдения Политики ИС;
- мероприятий, направленных на выявление, регулирование, разработку мер, направленных на снижение риска ИС и сопряженных с ними рисков ИБ, влияющих на ИС;
- требований к ИС в целях управления рисками ИС и их соблюдения;
- требования по обеспечению непрерывности, безопасности и качества функционирования ИС.
Уполномоченное подразделение направляет отчеты по результатам оценки исполнительному органу КО, подразделениям, ответственным за обеспечение функционирования ИС и службе управления рисками.
8.8.10. КО определяет должностное лицо, ответственное за обеспечение непрерывности функционирования ИС в организации, включая его полномочия и требования к его квалификации и сертификации (при необходимости).
8.8.11. КО проводит самооценку рисков ИС в разрезе бизнес-процессов и соблюдения требований настоящей главы, и направляет отчеты по результатам самооценки в подразделение, ответственное за управление операционным риском и(или) иному уполномоченному органу.
8.8.12. Внутренняя отчетность КО по риску информационных систем включает:
- информацию о сбоях ИС;
- информацию о событиях риска ИС в соответствии с пунктом 4.2 настоящего Положения;
- отчеты по результатам самооценки риска ИС в разрезе бизнес-процессов, в том числе ключевых, структурных подразделений КО, категорий ИС.
Глава 9. Порядок надзорной оценки системы управления операционным риском
Глава 10. Заключительные положения
+5 приложений:
Приложение 1 Классификация типов событий операционного риска второго уровня
Приложение 2 Подходы к дополнительной классификации риска ИБ
Приложение 3 Рекомендуемый перечень возможных мер, направленных на снижение уровня операционного риска
Приложение 4 Контрольные показатели уровня операционного риска и риска ИБ
Приложение 5 Подходы к расчету капитала, необходимого на покрытие потерь от реализации операционного риска
Резюме
Документ – пока сырой, но в целом понятен и службам ИБ “на руку”. Процитирую тезис Андрея Бажина, директора по ИБ “ВТБ Капитал”, высказанный на одной из недавних конференций по ИБ: “Повышать персональную ответственность руководителей финансовых организаций или назначенных кураторов из числа членов правления или заместителей генерального директора за реализацию рисков ИБ”. Этому и призвано способствовать Положение Банка России “О требованиях к системе управления операционным риском в кредитной организации и банковской группе”.
Два раздела Положения целиком касаются ИБ (и ИТ) непосредственно – раздел 7 и 8. Кроме понятных требований к Политике ИБ, содержатся требования к Политике ИС (политики по использованию информационных систем).
Текущую Политику по ИБ необходимо дополнить:
- требованием по обмену информацией о событиях риска ИБ и предоставляемых данных в ФинЦЕРТ, в соответствии с нормативными актами Банка России;
- показателями и методиками оценки эффективности обеспечения ИБ и управления риском ИБ (если это не сделано ранее);
- ссылкой на выполнение требований настоящего Положения.
В положение о Службе ИБ необходимо прописать обязанность по направлению информации о событиях риска ИБ в ФинЦЕРТ.
Согласно проекту Положения бизнес должен закладываться на риски ИБ и ИС.
По срокам реализации: кредитная организация должна соответствовать Положению к 01.01.2020.
Основной вывод для службы ИБ: становится больше регулярной отчетности.
Совет дня: из двух зол: риск ИТ & риск ИБ будь меньшим!

14 сентября 2018 г.

План мероприятий (Дорожная карта) банка по реализации проекта подключения к ЕБС


С 30 июня некоторые (единичные) банки начали собирать записи голоса и изображения лиц россиян и отправлять их в Единую биометрическую систему (ЕБС). ЕБС позволит гражданам подтверждать личность без предъявления паспорта и удаленно получать некоторые банковские услуги.
Большинство банков на текущий момент находятся пока еще в стадии разработки проекта по подключению к ЕБС и формирования бюджета.
Одним из вариантов Плана мероприятий (Дорожная карта) банка по реализации проекта подключения к Единой биометрической системе может быть следующий:
 План мероприятий (Дорожная карта) Банка по реализации проекта подключения к Единой биометрической системе
№ п/п
Этап
Мероприятия и документы, подтверждающие их исполнение
Срок реализации,
рабочие дни[1]
финальный срок реализации
1.      
Организация защищённых каналов связи
1.1.    Организовать защищенный канал связи между Банком и ЕБС
15
1.2.    Реализовать протокол OpenID Connect 1.0 с поддержкой ГОСТ с использованием программных СКЗИ
20
1.3.    Провести тематические исследования реализации OpenID Connect 1.0 с поддержкой ГОСТ с использованием СКЗИ класса КС1/КС2
40
1.4.    Реализовать протокол OpenID Connect 1.0 с поддержкой ГОСТ с использованием HSM для обеспечения защиты с использованием СКЗИ класса КВ
40
1.5.    Провести тематические исследования встраивания HSM в процесс удаленной идентификации
40
2.      
Выбор существующего/ разработка нового банковского продукта для удаленной идентификации[2]


3.      
Интеграция (тестовый контур)
3.1.        Встроить SDK в мобильное приложение Банка
10
3.2.        Протестировать интеграцию мобильного приложения Банка в тестовом контуре ЕБС и в тестовом контуре ЕСИА
5
3.3.        Доработать web-версию сайта Банка
7
3.4.        Встроить web-форму для сбора и передачи биометрических образцов в web-сайт Банка
5
3.5.        Протестировать интеграцию web-формы с тестовым контуром ЕБС и с тестовым контуром ЕСИА
5
3.6.        Обеспечить на стороне бэк-систем Банка получение результатов верификации
7
4.      
Интеграция (продуктивный контур)
4.1.        Подключить ИС Банка к ЕСИА с целью интеграции по методу Oauth 2.0[3]
10
4.2.        Зарегистрировать ИС Банка в ЕБС в качестве Потребителя
4
4.3.        Протестировать верификацию через web-сайт Банка
5
4.4.        Протестировать верификацию через мобильное приложение
5
5.      
Отработка процесса получения банковского продукта на сотрудниках Банка

5
6.      
Подготовка необходимых инструкций для сотрудников банка в части верификации, в том числе для Call-центра и техподдержки, подготовка внутренних приказов/регламентов

5 (без учета времени на согласование)
7.      
Адаптация и размещение инструкции Ростелеком[4] для граждан по прохождению верификации

3
8.      
PR. Разработка формата и контента для оповещения клиентов на сайте банка и в других каналах коммуникаций о новой услуге Банка

10
9.      
Регистрация
До 31.12.2018 оборудовать не менее 20% отделений Банка для сбора биометрии.
До 30.06.2019 не менее 60%.
До 31.12.2019 – все отделения.
9.1.         Приобретение оборудования
40
9.2.         Организация защищённых каналов связи

9.2.1.    Организовать защищенный канал связи до СМЭВ
20
9.2.2.    Организовать защищенный канал связи внутри сети Банка от АРМ оператора в отделении до ИС Банка, в которой подписываются собранные биометрические персональные данные перед отправкой в СМЭВ
>20
9.2.3.    Закупить и настроить средства криптографической защиты HSM класса КВ
40
9.2.4.    Получить усиленную квалифицированную подпись (УКЭП) у ФГБУ НИИ «Восход»
5
9.2.5.    Обеспечить встраивание HSM в процесс сбора и регистрации биометрических персональных данных
15
9.2.6.    Провести тематические исследования встраивания HSM в процесс сбора и регистрации биометрических персональных данных
40
9.3.         Доставка оборудования в отделения Банка, где будет происходить биометрическая регистрация
>5
9.4.         Настройка рабочих мест в отделениях Банка для проведения биометрической регистрации
2 рабочих дня для 1-го отделения
9.5.         Направление Банком документов в Минкомсвязь РФ для оценки соответствия
5
9.6.         Аттестация по ИСПДн рабочих мест в отделениях Банка (при необходимости)
от 5 до 20
10.    
Интеграция (тестовый контур)
10.1.      Получить тестовую ЭП
3
10.2.      Зарегистрировать ИС Банка в тестовом контуре СМЭВ
8
10.3.      Получить доступ к тестовым ВС[5] ЕСИА и ВС ЕБС
1
10.4.      Зарегистрировать ИС в тестовом контуре ЕБС
4
10.5.      Провести тестирование ИС Банка в тестовом контуре ЕБС
10
10.6.      Внедрить интеграционное решение для сбора биометрических образцов
15
10.7.      Встроить Библиотеку контроля качества, размещённую на портале ЕБС
10
11.    
Тарификация
до 31.12.2018
11.1.      Подписать договоры (или акцептовать оферту) с ПАО «Ростелеком»
5 (в случае оферты - 1)
11.2.      Прислать уставные документы Банка в ПАО «Ростелеком»
1
11.3.      Зарегистрироваться в личном кабинете (ЛК)
1
11.4.      Обеспечить обмен документами в эл. виде через ЛК
2
12.    
Интеграция (продуктивный контур)
12.1.      Получить сертификат ЭП ИС Банка
0-10
12.2.      Зарегистрировать ИС Банка в продуктивном контуре СМЭВ
5
12.3.      Получить доступ к продуктивному контуру ВС ЕСИА и ВС ЕБС
15
12.4.      Зарегистрировать ИС в продуктивном контуре ЕБС в качестве Поставщика
4
12.5.      Провести тестирование ИС в продуктивном контуре ЕБС
3
13.    
Отработка процесса регистрации на сотрудниках Банка

5
14.    
Обучение сотрудников Банка
14.1.      Провести обучение операционистов Банка, которые будут производить биометрическую регистрацию
2
14.2.      Провести обучение сотрудников Банка, взаимодействующих с клиентами, в части информирования граждан об использовании ЕБС для получения банковских продуктов/услуг
2


14.3.      Адаптировать необходимые инструкции ПАО «Ростелеком», в том числе, для сотрудников Call-центра, подготовить внутренние приказы/регламенты
3 (без учета времени на согласование)
15.    
PR. Разработка формата и контента для оповещения клиентов на сайте Банка и в других каналах коммуникаций о новой услуге Банка

5





[1] Некоторые мероприятия могут исполняться параллельно
[2] Открыть счет, вклад, выпустить карту, оформить кредит и т.д.
[3] Oauth 2.0– открытый протокол авторизации. В ЕСИА создан механизм аутентификации пользователей, основанный на спецификациях OAuth 2.0 и расширении OpenID Connect 1.0
[4] Распоряжением Правительства Российской Федерации от 22 февраля 2018 года №293-р функции оператора единой биометрической системы возложены на публичное акционерное общество междугородной и международной электрической связи «Ростелеком» (ПАО «Ростелеком») 
[5] Вид сведений (ВС) - протокол передачи сведений определённого вида между информационной системой поставщика и информационной системой потребителя