8.3. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования" СТО БР ФАПИ.СЕК-1.6-2020" (принят и введен в действие приказом Банка России от 09.10.2020 N ОД-1650)

Серверам авторизации рекомендуется публиковать типы поддерживаемых алгоритмов формирования цифровой подписи и шифрования JWT ответа на запрос авторизации, используя параметры метаданных сервера авторизации в соответствии с пунктом 5.4.4.1.

Определены следующие параметры поддерживаемых алгоритмов формирования цифровой подписи и шифрования:

- <authorization_signing_alg_values_supported>: (опционально) JSON-массив, содержащий список значений типа <alg> алгоритмов подписи JWS, поддерживаемых конечной точкой авторизации для подписания ответа;

- <authorization_encryption_alg_values_supported>: (опционально) JSON-массив, содержащий список значений типа <alg> алгоритмов шифрования JWE, поддерживаемых конечной точкой авторизации для шифрования ответа;

- <authorization_encryption_enc_values_supported>: (опционально) JSON-массив, содержащий список значений типа <enc> алгоритмов шифрования JWE, поддерживаемых конечной точкой авторизации для шифрования ответа.

Серверам авторизации рекомендуется публиковать значения поддерживаемых режимов ответа с использованием параметра <response_modes_supported> в соответствии с подпунктом 5.4.4.1. Настоящий стандарт представляет следующие возможные значения этого параметра:

- "query.jwt",

- "fragment.jwt",

- "form_post.jwt",

- "jwt".

БИБЛИОГРАФИЯ

[1] ГОСТ Р ИСО/МЭК 27000-2012 "Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности. Общий обзор и терминология".

[2] ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения".

[3] Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации".

[4] ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".

[5] ГОСТ Р 34.12-2015 "Информационная технология. Криптографическая защита информации. Блочные шифры".

[6] ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".

[7] Словарь криптографических терминов. Под ред. Б.А. Погорелова и В.Н. Сачкова. - М.: МЦНМО, 2006. - 94 с.

[8] Р 50.1.113-2016 "Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования".

[9] Р 50.1.041-2002 "Информационные технологии. Руководство по проектированию профилей среды открытой системы (СОС) организации-пользователя".

[10] Hardt D. The OAuth 2.0 Authorization Framework. RFC 6749, October 2012. https://tools.ietf.org/html/rfc6749 (дата обращения: 11.06.2020).

[11] Sakimura N., Bradley J., Jones M., de Medeiros B., Mortimore C. OpenID Connect Core 1.0 incorporating errata set 1. November 8, 2014. https://openid.net/specs/openid-connect-core-1_0.html (дата обращения: 11.06.2020).

[12] JSON Web Token (JWT). RFC 7519. https:/tools.ietf.org/html/rfc7519 (дата обращения: 11.06.2020).

[13] Jones M., Hardt D. The OAuth 2.0 Authorization Framework: Bearer Token Usage. RFC 6750, October 2012. https://tools.ietf.org/html/rfc6750 (дата обращения: 11.06.2020).

[14] The Base16, Base32, and Base64 Data Encodings. RFC 4648. https://tools.ietf.org/html/rfc4648 (дата обращения: 11.06.2020).

[15] Financial-grade API - Part 1: Read Only API Security Profile (Implementer's Draft). OpenID Foundation, Financial-grade API (FAPI) WG, 2019. https://openid.net/specs/openid-financial-api-part-1-ID2.html (дата обращения: 11.06.2020).

[16] Financial-grade API - Part 2: Read & Write API Security Profile (Implementer's Draft). OpenID Foundation, Financial-grade API (FAPI) WG, 2019. https://openid.net/specs/openid-financial-api-part-2-ID2.html (дата обращения: 11.06.2020).

[17] Financial-grade API - JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) (Implementer's Draft). OpenID Foundation, Financial-grade API (FAPI) WG, 2019. https://openid.net/specs/openid-financial-api-jarm-ID1.html (дата обращения: 11.06.2020).

[18] Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

[19] Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

[20] Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

[21] Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

[22] Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

[23] Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

[24] Положение Банка России от 17.04.2019 N 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

[25] Jones Р., Salgueiro G., Jones М., J. Smarr. WebFinger. RFC 7033. September 2013. https://tools.ietf.org/html/rfc7033 (дата обращения: 11.06.2020).

[26] Sakimura N., Bradley J., Jones M., Jay E. OpenID Connect Discovery 1.0 incorporating errata set 1. November 8, 2014. https://openid.net/specs/openid-connect-discovery-1_0.html (дата обращения: 11.06.2020).

[27] OAuth 2.0 Authorization Server Metadata. RFC 8414. https://tools.ietf.org/html/rfc8414 (дата обращения: 11.06.2020).

[28] Sakimura N., Bradley J., Jones M. OpenID Connect Dynamic Client Registration 1.0 incorporating errata set 1. November 8, 2014. https://openid.net/specs/openid-connect-registration-1_0.html (дата обращения: 11.06.2020).

[29] OAuth 2.0 Dynamic Client Registration Protocol. RFC 7591. https:tools.ietf.org/html/RFC7591 (дата обращения: 11.06.2020).

[30] Assertion Framework for OAuth 2.0 Client Authentication and Authorization Grants. RFC 7521. May 2015. https://tools.ietf.org/html/rfc7521 (дата обращения: 11.06.2020).

[31] JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants. RFC 7523. May 2015. https://tools.ietf.org/html/rfc7523 (дата обращения: 11.06.2020).

[32] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 5280. May 2008. https://tools.ietf.org/html/rfc5280.

[33] HTTP Authentication: Basic and Digest Access Authentication. RFC 2617. June 1999. https://tools.ietf.org/html/rfc2617 (дата обращения: 11.06.2020).

[34] JSON Web Signature (JWS). RFC 7515. https://tools.ietf.org/html/rfc7515 (дата обращения: 11.06.2020).

[35] JSON Web Encryption (JWE). RFC 7516. https://tools.ietf.org/html/rfc7516 (дата обращения: 11.06.2020).

[36] JSON Web Key (JWK). RFC 7517. https:tools.ietf.org/html/rfc7517 (дата обращения: 11.06.2020).

[37] МР 26.2.001-2013 "Использование наборов алгоритмов шифрования на основе ГОСТ 28147-89 для протокола безопасности транспортного уровня (TLS). Методические рекомендации технического комитета ТК26".

[38] OAuth 2.0 Token Introspection. RFC 7662.

[39] OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens. RFC 8705. https://tools.ietf.org/html/rfc8705 (дата обращения: 11.06.2020).

[40] A UniveRSAlly Unique IDentifier (UUID) URN Namespace. RFC 4122. https://tools.ietf.org/html/rfc4122 (дата обращения: 11.06.2020).

[41] OAuth 2.0 Token Binding. https://tools.ietf.org/html/draft-ietf-OAuth-token-binding (дата обращения: 11.06.2020).

[42] OAuth 2.0 Multiple Response Type Encoding Practices. https://openid.net/specs/oauth-v2-multiple-response-types-1_0.html (дата обращения: 11.06.2020).

[43] OpenID Connect Session Management 1.0: https://openid.net/specs/openid-connect-session-1_0.html (дата обращения: 11.06.2020).

[44] OAuth 2.0 Form Post Response Mode: https://openid.net/specs/oauth-v2-form-post-response-mode-1_0.html (дата обращения: 11.06.2020)

УДК 681.3.06

Ключевые слова: финансовая технология, открытые программные интерфейсы, токен доступа, авторизация