Новые стандарты безопасности открытых API, разработанные экспертами Ассоциации "ФинТех" и АО "ИнфоТеКС" при участии специалистов Банка России, не претерпели критичных изменений, но были доработаны в части криптографической защиты информации.
Анна Швецова
© ComNews
16.12.2024
Новые стандарты разработаны на основании прошлых редакций. Масштабных изменений нет, сохраняется преемственность старых и новых стандартов, рассказал ComNews руководитель управления информационной безопасности Ассоциации "ФинТех" Александр Товстолип.
"Самое важное изменение состоит в том, что стандарты первой версии были ориентированы на использование зарубежной криптографии, а новые эволюционно доработаны с учетом принятых и введенных в действие Методических рекомендаций технического комитета по стандартизации "Криптографическая защита информации" (ТК 26) и применяют отечественную суверенную криптографию для защиты", - объяснил Александр Товстолип.
Открытые API (англ. application programming interface — программный интерфейс приложения) - программные интерфейсы, публикуемые организациями в соответствии с требованиями Банка России для обеспечения возможности цифрового обмена данными с поставщиками услуг и клиентами в рамках организации и предоставления финансовых услуг. Поэтапное внедрение открытых API начнется с 2026 г.
К новым стандартам относятся СТО БР ФАПИ.СЕК-1.6-2024 "Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect" и СТО БР ФАПИ.ПАОК-1.0-2024 "Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу".
Стандарты вступят в силу 1 января 2025 г. Предполагается, что благодаря им финансовые организации смогут обеспечить высокий уровень защищенности при передаче персональных данных и банковской тайны. Стандарты будут носить рекомендательный характер, если только обязательность применения отдельных из них не будет установлена нормативными правовыми актами, в том числе нормативными актами Банка России.
"Новые редакции полностью приведены в соответствие с методическими рекомендациями по применению отечественной криптографии, они предполагают, что информационная безопасность становится частью архитектуры решений и гарантируют максимальную защиту и устойчивость к актуальным кибер-угрозам", - сказал заместитель генерального директора, руководитель управления пилотирования и прототипирования Ассоциации "ФинТех" Кирилл Кузьмин.
Вопрос о безопасности открытых API поднимался неоднократно. ComNews ранее писал, что об этом думают эксперты по информационной безопасности и банки.
Консалтинговая компания "Яков и Партнеры" в 2023 г. сообщала, что открытые API несут риски разглашения и утраты персональных данных клиентов, мошенничества со стороны поставщиков услуг и риски несоответствия инфраструктуры участников. Однако компания-разработчик комплексного программного решения ООО "БСС" (BSS), которая проводила пилотный проект по поддержке открытых API в одном из банков, рассказал ComNews, что вопросы безопасности проработаны глубоко и при применении требований, зафиксированных в стандартах, новых рисков относительно существующего ландшафта угроз нет.
Также планируется, что одна из функций оператора среды открытых API будет организовывать взаимодействие участников в среде открытых API таким образом, чтобы создание подключений между ними и их поддержание соответствовало требованиям информационной безопасности.
