7.4. Положения об обеспечении безопасности доступа к защищенным ресурсам (с использованием токенов)
7.4. Положения об обеспечении безопасности доступа к защищенным ресурсам (с использованием токенов) 
7.4.1. Конечные точки - это конечные точки ресурсов, защищенных с помощью протокола OpenID Connect, которые возвращают защищенную информацию владельца ресурса, связанного с представленным токеном доступа.
7.4.2. Сервер ресурсов, обрабатывающий запросы на предоставление доступа к защищенным ресурсам, определенным в терминах настоящего документа:
1. Должен поддерживать положения, определенные в пункте 6.4.2.
2. Должен поддерживать механизм подтверждения владения ключом с привязкой токена к MTLS-сертификату (пункт 5.8.4) или с привязкой токена к TLS-соединению.
7.4.3. Клиенты, определенные в терминах настоящего стандарта, должны поддерживать положения, определенные в пункте 6.4.3.
БИБЛИОГРАФИЯ
[1] Стандарт Банка России "Открытые банковские интерфейсы. Общие положения". 23.10.2020. https://www.cbr.ru/StaticHtml/File/59 420/standart 1. pdf (дата обращения: 22.01.2024).
[2] Стандарт Банка России "Открытые банковские интерфейсы. Получение публичной информации о кредитной организации и ее продуктах". 08.07.2021. http://www.cbr.ru/statichtml/ file/59420/standart 08072021. pdf (дата обращения: 22.01.2024).
[3] Стандарт Банка России "Открытые банковские интерфейсы. Инициирование перевода денежных средств клиента третьей стороной в валюте Российской Федерации". 23.10.2020. http://www.cbr.ru/statichtml/file/59420/standart 3. pdf (дата обращения: 22.01.2024).
[4] Стандарт Банка России "Открытые банковские интерфейсы. Получение информации о счете клиента третьей стороной". 23.10.2020. http://www.cbr.ru/statichtml/file/59420/standart 2. pdf (дата обращения: 22.01.2024).
[5] Методические рекомендации МР 26.2.002-2024 ТК 26 "Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect". 2024.
[6] Стандарт Банка России СТО БР БФБО-1.8-2024 "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации". 28.02.2024.
[7] ГОСТ Р ИСО/МЭК 27000-2021 Национальный стандарт Российской Федерации "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология".
[8] ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения".
[9] Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации".
[10] ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".
[11] ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".
[12] ГОСТ Р 34.11-2012 "Информационная технология. Криптографическая защита информации. Функция хэширования".
[13] ГОСТ Р 34.12-2015 "Информационная технология. Криптографическая защита информации. Блочные шифры".
[14] Словарь криптографических терминов. Под ред. Б.А. Погорелова и В.Н. Сачкова. - М.: МЦНМО, 2006. - 94 с.
[15] Р 50.1.041-2002 "Информационные технологии. Руководство по проектированию профилей среды открытой системы (СОС) организации-пользователя".
[16] Hardt D. The OAuth 2.0 Authorization Framework. RFC 6749, October 2012. https://datatracker.ietf.org/doc/html/rfc6749 (дата обращения: 07.07.2023).
[17] Sakimura N., Bradley J., Jones M., de Medeiros B., Mortimore C. OpenID Connect Core 1.0 incorporating errata set 1. https://openid.net/specs/openid-connect-core-10. html November 8, 2014 (дата обращения: 07.07.2023).
[18] Jones M., Bradley J., Sakimura N. JSON Web Token (JWT). RFC 7519. May 2015. https://datatracker.ietf.org/doc/html/rfc7519 (дата обращения: 07.07.2023).
[19] Jones M., Hardt D. The OAuth 2.0 Authorization Framework: Bearer Token Usage. RFC 6750, October 2012. https://datatracker.ietf.org/doc/html/rfc6750 (дата обращения: 07.07.2023).
[20] Josefsson S. The Base16, Base32, and Base64 Data Encodings. RFC 4648. October 2006. https:// datatracker.ietf.org/doc/html/rfc4648 (дата обращения: 07.07.2023).
[21] N. Sakimura, J. Bradley, E. Jay. Financial-grade API Security Profile 1.0 - Part 1: Baseline. OpenID Foundation, 2021. https://openid.net/specs/openid-financial-api-part-1-1 0. html (дата обращения: 07.07.2023).
[22] N. Sakimura, J. Bradley, E. Jay. Financial-grade API Security Profile 1.0 - Part 2: Advanced. OpenID Foundation, 2021. https://openid.net/specs/openid-financial-api-part-2-1 0. html (дата обращения: 07.07.2023).
[23] Р 1323 565.1.026-2019 "Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование".
[24] Lodderstedt T., Campbell B., Financial-grade API: JWT Secured Authorization Response Mode for OAuth 2.0 (JARM). OpenID Foundation, FAPI WG, 9 November 2022. https://openid.net/specs/ oauth-v2-jarm. html (дата обращения: 07.07.2023).
[25] Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
[26] Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
[27] Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
[28] Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
[29] Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
[30] Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
[31] Положение Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
[32] Положение Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России".
[33] ГОСТ Р ИСО/МЭК 15 408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".
[34] Методический документ Банка России "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" http://www.cbr.ru/content/document/file/132 666/inf note feb 0422. pdf. (дата обращения 22.01.2024).
[35] Методический документ ФСТЭК "Руководство по организации процесса управления уязвимостями в органе (организации)" (утв. ФСТЭК России 17.05.2023). https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g (дата обращения: 22.01.2024).
[36] Методический документ ФСТЭК "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" (утв. ФСТЭК России 28.10.2022). https://fstec.ru/ dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-okty abrya-2022-g (дата обращения: 22.01.2024).
[37] Методический документ ФСТЭК "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" (утв. ФСТЭК России 28.10.2022). https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-okty abrya-2022-g-2 (дата обращения: 22.01.2024).
[38] Sakimura N., Bradley J., Agarwal N. Proof Key for Code Exchange by OAuth Public Clients. RFC 7636. September 2015. https://datatracker.ietf.org/doc/html/rfc7636 (дата обращения: 07.07.2023).
[39] Jones P., Salgueiro G., Jones M., J. Smarr. WebFinger. RFC 7033. September 2013. https://datatracker.ietf.org/doc/html/rfc7033 (дата обращения: 22.01.2024).
[40] Sakimura N., Bradley J., Jones M., Jay E. OpenID Connect Discovery 1.0 incorporating errata set 1. November 8, 2014. https://openid.net/specs/openid-connect-discovery-1 0. html (дата обращения: 22.01.2024).
[41] Jones M., Sakimura N., Bradley J. OAuth 2.0 Authorization Server Metadata. RFC 8414. June 2018. https://datatracker.ietf.org/doc/html/rfc8414 (дата обращения: 22.01.2024).
[42] Sakimura N., Bradley J., Jones M. OpenID Connect Dynamic Client Registration 1.0 incorporating errata set 1. November 8, 2014. https://openid.net/specs/openid-connect-registration-1 0. html (дата обращения: 22.01.2024).
[43] Richer J., Jones M. Bradley J., Machulak M., Hunt P. OAuth 2.0 Dynamic Client Registration Protocol. RFC 7591. July 2015. https://datatracker.ietf.org/doc/html/rfc7591 (дата обращения: 22.01.2024).
[44] Cooper D., Santesson S., Farrell S., Boeyen S., Housley R., Polk W. Internet X. 509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 5280. May 2008. https://datatracker.ietf.org/doc/html/rfc5280 (дата обращения: 22.01.2024).
[45] Jones M., Bradley J., Sakimura N. JSON Web Signature (JWS). RFC 7515. May 2015. https://datatracker.ietf.org/doc/html/rfc7515 (дата обращения: 22.01.2024).
[46] Jones M., Hildebrand J. JSON Web Encryption (JWE). RFC 7516. May 2015. https://datatracker.ietf.org/doc/html/rfc7516 (дата обращения: 22.01.2024).
[47] Jones M. JSON Web Key (JWK). RFC 7517. May 2015. https://datatracker.ietf.org/doc/html/rfc7517 (дата обращения: 22.01.2024).
[48] Richer J. OAuth 2.0 Token Introspection. RFC 7662. https://datatracker.ietf.org/doc/html/rfc7662 (дата обращения: 07.07.2023).
[49] OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens. RFC 8705. February 2020. https://datatracker.ietf.org/doc/html/rfc8705 (дата обращения: 22.01.2024).
[50] Fielding R., Reschke J. Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content. RFC 7231. June 2014. https://datatracker.ietf.org/doc/html/rfc7231 (дата обращения: 22.01.2024).
[51] A UniveRSAlly Unique IDentifier (UUID) URN Namespace. RFC 4122. https://datatracker.ietf.org/ doc/html/rfc4122 (дата обращения: 22.01.2024).
[52] Lodderstedt T., Bradley J., Labunets A., Fett D. OAuth 2.0 Security Best Current Practice. 5 June 2023. https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-23 (дата обращения: 22.01.2024).
[53] Lodderstedt T., McGloin M., Hunt P. OAuth 2.0 Threat Model and Security Considerations. RFC 6819. January 2013. https://datatracker.ietf.org/doc/html/rfc6819 (дата обращения: 22.01.2024).
[54] Положение Банка России от 17.10.2022 N 808-П "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства".
УДК 681.3.06
Ключевые слова: финансовая технология, открытые программные интерфейсы, токен доступа, авторизация, OpenID Connect
