В сфере финансово-кредитных отношений вопросам информационной безопасности уделяется пристальное внимание. Иначе и быть не может: вспомните, как часто в последние годы мы слышим об очередных хакерских атаках на банковские дата-центры, краже баз с персональными данными сотен тысяч пользователей и так далее.
Банки и иные финансовые организации не могут нормально функционировать, не имея разработанной системы информационной защиты, основанной на стандартизированных требованиях, принятых отраслью. Совокупность требований к информационной безопасности, которые ведомственные регуляторы предъявляют участникам рынка, представлена рекомендациями и национальными (государственными) стандартами.
Стандарт СТО БР ИББС-1.0-2014
Единым регулирующим органом финансово-кредитных организаций, зарегистрированных и действующих на территории Российской Федерации, является Банк России. Начиная с 2004 года, ЦБ РФ регулярно разрабатывает и обновляет отраслевые стандарты, предоставляющие банкам унифицированные подходы по обеспечению информационной безопасности.
Комплекс стандартов Банка России под общим названием «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» представлен рядом документов, описывающих различные аспекты ИБ-систем (защита персональных данных, оценка рисков ИБ, рекомендации по документации в части создания ИБ-систем и проч.)
Общие положения комплекса описывает национальный стандарт СТО БР ИББС-1.0-2014 (введен с 2004 года, сейчас действует его пятая редакция), который сыграл немалую роль в развитии информационной безопасности финансовой отрасли РФ. Впрочем, документы комплекса носят рекомендательный характер, что потребовало дополнительного контроля со стороны Банка России над соблюдением финансовыми организациями адекватных действий по защите информации.
Национальный стандарт по защите информации
8 августа 2017 года Федеральное агентство по техническому регулированию и метрологии утвердило первый оригинальный Национальный стандарт по защите информации в организациях кредитно-финансовой сферы. Положения стандарта распространяются на банки, страховые и микрофинансовые организации, а также на субъекты национальной платежной системы.
Важнейшим изменением в стратегии Банка России, отраженным в стандарте, является введение трех уровней защиты информации, каждый из которых предлагает свой набор мер по обеспечению ИБ:
- Уровень 3 – минимальный
- Уровень 2 – стандартный
- Уровень 1 – усиленный
– при этом то, какие именно меры использовать для своих задач финансовые организации могут определить самостоятельно. Стандарт предполагает, что в финансовых организациях формируются контуры безопасности, уровни защиты информации для которых устанавливаются нормативными актами Банка России.
Используя стандарт, финансовые организации могут трансформировать эти контуры согласно используемым ими технологиям хранения и обмена данными, моделями нарушителей информационной безопасности и функциональных параметров объектов информатизации.
Национальный стандарт по защите информации объединяет в себе практики предыдущих лет по разработке отраслевых регулирующих нормативов и является прологом к последующим инициативам Банка России по развитию отечественного финтеха.
Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2020
Важным шагом на пути создания конкурентного современного банкинга стало развитие концепции открытых программных интерфейсов (Открытые API) — прочитать подробнее о том, как именно открытые банковские API помогают развитию рынка можно в другой нашей статье. Ключевая идея концепции подразумевает, что клиенты финансовых учреждений смогут одновременно пользоваться большим количеством сервисов и приложений, предоставляя доступ к своим данным в банках.
Организация доверенной среды Открытых API требует не только наличия защищенной и отлаженной инфраструктуры, но и стандартизации всех операций в рамках единого пространства обмена финансовыми сообщениями.
С 2020 года Банк России опубликовал несколько отраслевых стандартов, посвященных Открытым API. Основополагающим для безопасности банковских операций считается Стандарт Банка России СТО БП ФАПИ.СЕК-1.6-2020 «Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID».
Данный стандарт был разработан Ассоциацией ФинТех и ОАО «ИнфоТеКС» при поддержке Банка России в октябре 2020 года. Он основан на спецификациях организации OpenID Foundation (OIDF), которая продвигает и поддерживает сообщество и технологии OpenID (OpenID Connect Core (OIDC), OpenID Connect Discovery (OIDD) и другие) и определяет порядок использования модели прикладных программных интерфейсов (API) со структурированными данными и модель токена для повышения безопасности финансовых технологий.
Стандарт СТО БП ФАПИ.СЕК-1.6-2020 описывает рекомендации для участников отрасли при создании и оценке программных средств, предназначенных для защищенного обмена финансовыми сообщениями в рамках доверенной среды. Область применения стандарта распространяется на сообщения, связанные:
- С получением информации о банковских счетах;
- С переводом денежных средств в национальной валюте РФ.
Стандарт предназначен для банков, их клиентов и сторонних поставщиков финансовых услуг, претендующих на организованное взаимодействие в рамках доверенной среды Открытых API. Несмотря на то, что положения стандарта носят рекомендательный характер, некоторые из них становятся обязательными, если компания хочет подключиться к среде Открытых банковских API Банка России.
Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2021
Полное название стандарта — СТО БР ФАПИ.ПАОК-1.0-2021 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования».
Стандарт характеризует требования, предъявляемые к аутентификации в условиях рисков использования данных клиента. Стандарт предназначен для:
- Участников обмена информацией о банковском счете (банки и их клиенты, а также сторонние поставщики платежных услуг);
- Участников перевода денежных средств (банки и их клиенты, а также сторонние поставщики);
- Разработчики программного обеспечения и информационных систем.
Стандарт СТО БР ФАПИ.ПАОК-1.0-2021 позволяет стороне, занимающейся проверкой финансового сообщения и имеющей актуальный идентификатор конечного пользователя, использовать протокол OpenID Connect для инициирования потока аутентификации конечного пользователя без отправки данных через браузер. То есть аутентификация выполняется по выделенному каналу напрямую от клиента к серверу авторизации.
Ключевая задача Стандарта СТО БР ФАПИ.ПАОК-1.0-2021 связана с усовершенствованием механизма безопасности и сохранения данных при проведении финансовых операций. Благодаря ему, поставщики финансовых приложений (ставшие участниками доверенной среды Открытых API) смогут применять определенные механизмы для более надежной аутентификации клиентов по альтернативным каналам.
Как и СТО БП ФАПИ.СЕК-1.6-2020, описанный стандарт также носит рекомендательный характер, однако не исключено, что в связи с дальнейшим развитием Открытых API и вхождению в доверенную среду новых игроков финансового рынка, стандарты получат статус обязательных.
