Стандарты безопасности Открытых API, разработанные АФТ и ИнфоТеКС, опубликованы Банком России

Банк России опубликовал стандарты безопасности Открытых API: СТО БР ФАПИ.СЕК-1.6-2024 «Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect» и СТО БР ФАПИ.ПАОК-1.0-2024 «Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу». Стандарты разработаны экспертами АФТ и компании «ИнфоТеКС» при участии специалистов Банка России.

Новые стандарты созданы на основе ранее действовавших редакций. Актуализация стандартов включала пересмотр их требований с учетом принятых и введенных в действие Методических рекомендаций ТК 26 «Криптографическая защита информации» МР.26.2.002 2024 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect».

Установленные в стандартах требования к ИБ при взаимодействии с использованием прикладных программных интерфейсов (application programming interface, API), в том числе при аутентификации, идентификации и авторизации с применением отечественной криптографии будут способствовать созданию среды доверия между всеми участниками обмена информацией, который осуществляется посредством Открытых программных интерфейсов (Открытых API). Это позволит финансовым организациям обеспечить необходимый уровень защищенности информации при передаче персональных данных и банковской тайны.

В стандартах представлены требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах и предложен единый подход к обеспечению информационной безопасности при взаимодействии с использованием Открытых API.

«Сейчас на площадке АФТ идет проработка вопросов формирования доверенной среды Открытых API. Для организации действительно доверенной и безопасной среды необходимо заложить надежную основу с учетом всех требований по информационной безопасности. Новые стандарты базируются на ранее принятом комплексе стандартов информационной безопасности Открытых API. Новые редакции полностью приведены в соответствие с методическими рекомендациями по применению отечественной криптографии. Они предполагают, что информационная безопасность становится частью архитектуры решений и гарантируют максимальную защиту и устойчивость к актуальным киберугрозам», — говорит Кирилл Кузьмин, зам. генерального директора, руководитель управления пилотирования и прототипирования Ассоциации ФинТех.