Приказ Центрального банка Российской Федерации от 07.10.2024 № ОД-1615 «Об утверждении Стандарта Банка России СТО БР ФАПИ.СЕК-1.6-2024 “Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования”»

Ссылки

Выдержка

  • Разработан Ассоциацией развития финансовых технологий (Ассоциация ФинТех) и акционерным обществом «Информационные технологии и коммуникационные системы» (АО «ИнфоТеКС») при участии Центрального банка Российской Федерации (Банка России).
  • Принят и введен в действие приказом Банка России от 07.10.2024 № ОД-1615.
  • Взамен СТО БР ФАПИ.СЕК-1.6-2020.

Обзоры документа

Аналитический центр УЦСБ

7 октября 2024 года были введены в действие стандарты Банка России:

  • СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования» (взамен СТО БР ФАПИ.СЕК-1.6-2020);
  • СТО БР ФАПИ.ПАОК-1.0-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» (взамен СТО БР ФАПИ.ПАОК-1.0-2021).

Стандарты разработаны для обеспечения безопасности при применении API и основаны на спецификациях технологии OpenID Connect Core. Стандарты содержат требования к организациям финансового рынка по обеспечению необходимого уровня защищенности информации при передаче ПДн и банковской тайны, а также рекомендованы к использованию при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде Открытых банковских интерфейсов.

СТО БР ФАПИ.СЕК-1.6-2024

СТО БР ФАПИ.СЕК-1.6-2024 содержит требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect.

Стандарт содержит профили безопасности, обеспечивающие определенный уровень доверия к идентификации и аутентификации в соответствии с СТО БР БФБО-1.8‑2024 при передаче финансовой информации, а именно:

  • базовый профиль безопасности OpenID API, обеспечивающий средний уровень доверия. Подходит для защиты API, при использовании которых не передаются банковская тайна или ПДн.
  • расширенный профиль безопасности OpenID API, обеспечивающий высокий уровень доверия. Подходит для защиты API, которые могут обрабатывать конфиденциальные данные или иметь повышенные требования к безопасности.

СТО БР ФАПИ.СЕК-1.6-2024 учитывает методические рекомендации МР.26.2.002‑2024 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect» и дополняет их в части требований при реализации взаимодействия с использованием Открытых банковских интерфейсов.

СТО БР ФАПИ.ПАОК-1.0-2024

СТО БР ФАПИ.ПАОК-1.0-2024 содержит дополнительные требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect при инициировании клиентом потока аутентификации по отдельному каналу.

Стандарт описывает:

  • реализацию OpenID Connect при аутентификации по отдельному каналу;
  • профиль безопасности OpenID API с использованием потока аутентификации по отдельному каналу. Данный профиль применяется как к базовому, так и к расширенному профилю безопасности СТО БР ФАПИ.СЕК-1.6-2024.

Гарант ПРАЙМ

Разработан проект стандарта, который будет рекомендован к использованию при создании и оценке соответствия программных средств для безопасного обмена финансовыми сообщениями, связанными:

  • с получением информации о банковском счете;

  • с переводом денежных средств в валюте РФ.

Стандарт предполагается применять на добровольной основе, если только в отношении конкретных положений обязательность их применения не будет установлена нормативными актами Банка России или условиями договоров. Совместно со стандартом предписано руководствоваться документом Технического комитета ТК26 “Использование российских криптографических алгоритмов в протоколах OpenID Connect”.

Текст документа