Центробанк опубликовал обновленные стандарты безопасности открытых API
Новые стандарты разработаны на основании прошлых редакций. Масштабных изменений нет, сохраняется преемственность старых и новых стандартов, рассказал ComNews руководитель управления информационной безопасности Ассоциации ФинТех Александр Товстолип.
"Самое важное изменение состоит в том, что стандарты первой версии были ориентированы на использование зарубежной криптографии, а новые эволюционно доработаны с учетом принятых и введенных в действие Методических рекомендаций технического комитета по стандартизации "Криптографическая защита информации" (ТК 26) и применяют отечественную суверенную криптографию для защиты", - объяснил Александр Товстолип.
Открытые API (англ. application programming interface - программный интерфейс приложения) - программные интерфейсы, публикуемые организациями в соответствии с требованиями Банка России для обеспечения возможности цифрового обмена данными с поставщиками услуг и клиентами в рамках организации и предоставления финансовых услуг. Поэтапное внедрение открытых API начнется с 2026 г.
К новым стандартам относятся "Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect" и "Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу".
Стандарты вступят в силу 1 января 2025 г. Предполагается, что благодаря им финансовые организации смогут обеспечить высокий уровень защищенности при передаче персональных данных и банковской тайны. Стандарты будут носить рекомендательный характер, если только обязательность применения отдельных из них не будет установлена нормативными правовыми актами, в том числе нормативными актами Банка России.
"Новые редакции полностью приведены в соответствие с методическими рекомендациями по применению отечественной криптографии, они предполагают, что информационная безопасность становится частью архитектуры решений и гарантирует максимальную защиту и устойчивость к актуальным киберугрозам", - сказал заместитель генерального директора, руководитель управления пилотирования и прототипирования Ассоциации ФинТех Кирилл Кузьмин.
Вопрос о безопасности открытых API поднимался неоднократно. ComNews ранее писал, что об этом думают эксперты по информационной безопасности и банки.
Консалтинговая компания "Яков и Партнеры" в 2023 г. сообщала, что открытые API несут риски разглашения и утраты персональных данных клиентов, мошенничества со стороны поставщиков услуг и риски несоответствия инфраструктуры участников. Однако разработчик комплексного программного решения ООО "БСС" (BSS), которое проводило пилотный проект по поддержке открытых API в одном из банков, рассказало ComNews, что вопросы безопасности проработаны глубоко и при применении требований, зафиксированных в стандартах, новых рисков угроз относительно существующего ландшафта нет.
Также планируется, что одной из функций оператора среды открытых API будет организовывать взаимодействие участников в среде открытых API таким образом, чтобы создание подключений между ними и их поддержание соответствовало требованиям информационной безопасности.
