8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Новости » Обзор Стандарта Банка России СТО БР ФАПИ.СЕК-1.6-2024

Обзор Стандарта Банка России СТО БР ФАПИ.СЕК-1.6-2024

2 декабря 2024
Обзор Стандарта Банка России СТО БР ФАПИ.СЕК-1.6-2024

Рассмотрим новый Стандарт, принятый и введенный в действие приказом Банка России от 07.10.2024 № ОД-1615.

Требования и рекомендации, изложенные в документе, распространяются на организации финансового сектора, подпадающие под требования положений Банка России: 757-П, 683-П, 802-П, 808-П, 821-П и использующие в своей деятельности ПО, прошедшее сертификацию в системе сертификации или обладающие оценкой не ниже чем ОУД 4.

Стандарт предъявляет требования к использованию технологии авторизации OAuth 2.0, включая семейство протоколов аутентификации OpenID Connect, являющееся расширением OAuth 2.0.

Согласно порядку категорирования объектов, значимость присваивается на основании значений критериев с различными пороговыми значениями.

Основными участниками при взаимодействии при реализации протоколов OAuth 2.0 являются:

  • Клиент
  • Владелец ресурса
  • Сервер аутентификации
  • Сервер ресурсов

Функционал технологии подразумевает постоянный обмен запросами на разрешение предоставления доступа, у владельца ресурсов, сервера авторизации и сервера ресурсов.

Сервер ресурсов и сервер авторизации могут являться одним сервером. Инициатором направления запросов на получение доступа всегда является клиент (клиентское приложение).

СТО БР ФАПИ.СЕК-1.6-2024 глубоко описывает правила реализации и внедрения по выполнению защищенной аутентификации клиента, включая описание необходимых механизмов защиты, требуемых к реализации. А также требования по защите API, при использовании которых не осуществляется передача информация, являющаяся банковской тайной и (или) персональными данными.

Требования по обеспечению базового профиля безопасности API передачи финансовой информации включают в себя:

  • Правила обеспечения безопасности сервера авторизации
  • Правила обеспечения безопасности клиентского приложения
  • Правила обеспечения безопасности при осуществлении доступа к защищенным ресурсам

Также в документе предъявляются требования по настройке расширенного профиля безопасности API передачи финансовой информации.

Данный профиль распространяется на API, задействованные в обработке API, осуществляющих взаимодействие с конфиденциальной информацией, для которых предъявляются повышенные требования по безопасности.

Требования по обеспечению расширенного профиля безопасности API передачи финансовой операции включают в себя:

  • Правила обеспечения безопасности сервера авторизации
  • Правила обеспечения безопасности клиентского приложения
  • Правила обеспечения безопасности при осуществлении доступа к защищенным ресурсам (с использованием токенов)

Целью настоящего Стандарта является определение порядка использование модели API со структурированными данными и модели токена для повышения безопасности финансовых технологий при передаче персональных данных и банковской тайны.