к Методическим рекомендациям
Банка России по организации
взаимодействия информационных систем
организаций финансового рынка
с инфраструктурой, обеспечивающей
информационно-технологическое
взаимодействие информационных систем,
используемых для предоставления
государственных и муниципальных услуг
и исполнения государственных
и муниципальных функций
в электронной форме
от 30.09.2024 N 16-МР
1. Организациям финансового рынка в целях обеспечения безопасности реализации протокола на базе OpenID Connect рекомендуется:
обеспечивать целостность электронных сообщений с использованием усиленной электронной подписи, реализуемой средствами электронной подписи класса не ниже КС3, предусмотренными пунктом 12 Состава и содержания организационных и технических мер, а также пунктом 15 Требований к средствам электронной подписи;
обеспечивать конфиденциальность электронных сообщений с использованием СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер;
обеспечивать проведение тематических исследований по оценке влияния среды функционирования СКЗИ, включая используемое прикладное программное обеспечение и реализацию OpenID Connect, в соответствии с требованиями ФСБ России по информационной безопасности в порядке, а также в соответствии с пунктом 35 Положения ПКЗ-2005;
применять средства межсетевого экранирования, сертифицированные ФСТЭК России на соответствие требованиям к устройствам типа межсетевой экран не ниже 4-го класса защиты, с применением средств защиты информации от воздействий вредоносного кода, предназначенных для применения на серверах информационных систем (тип "А"), согласно Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 года N 9 <1>, средств защиты от компьютерных атак, сертифицированных ФСТЭК России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа "системы обнаружения вторжений" не ниже 4-го класса защиты согласно Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 года N 638 <2>, либо средств, совмещающих в себе межсетевой экран и систему обнаружения вторжения (NGFW) не ниже 4-го класса защиты, сертифицированных согласно Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети, утвержденным приказом ФСТЭК России от 7 марта 2023 года N 44 <3>;
--------------------------------
<1> Зарегистрирован Минюстом России 25 марта 2016 года, регистрационный N 41564.
<2> Зарегистрирован Минюстом России 1 февраля 2012 года, регистрационный N 23088.
<3> Зарегистрирован Минюстом России 14 июня 2023 года, регистрационный N 73832.
применять антивирусные средства, сертифицированные ФСТЭК России на соответствие требованиям к антивирусным средствам не ниже 4-го класса защиты согласно Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2013 года N 28 <4>;
--------------------------------
<4> Зарегистрирован Минюстом России 3 мая 2012 года, регистрационный N 24045.
применять квалифицированный сертификат ключа проверки электронной подписи, созданного в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" удостоверяющим центром Банка России.
2. Организациям финансового рынка в целях обеспечения защиты каналов связи при подключении пользователей к ЕСИА рекомендуется обеспечивать защиту всех каналов связи, находящихся вне пространства, в пределах которого организацией финансового рынка осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (контролируемая зона), с помощью СКЗИ класса не ниже КС3, предусмотренных пунктом 12 Состава и содержания организационных и технических мер, находящихся в контролируемой зоне организации финансового рынка и обеспечивающих криптографическую аутентификацию канала связи.
При взаимодействии с использованием протокола защиты транспортного уровня (протокол TLS), за исключением случая, указанного в абзаце третьем настоящего пункта, организациям финансового рынка рекомендуется осуществлять аутентификацию с использованием сертификата безопасности, а также применять СКЗИ класса не ниже КС3, предусмотренные пунктом 12 Состава и содержания организационных и технических мер, на стороне организации финансового рынка, а также обеспечить применение СКЗИ класса не ниже КС1, предусмотренных пунктом 10 Состава и содержания организационных и технических мер, на стороне пользователя.
При взаимодействии организации финансового рынка с пользователем с использованием мобильного приложения, предоставленного организацией финансового рынка, при подключении пользователей к ЕСИА организациям финансового рынка рекомендуется использовать протокол защиты транспортного уровня (протокол TLS), обеспечивающий одностороннюю аутентификацию, а также обеспечить применение СКЗИ класса не ниже КС1, предусмотренных пунктом 10 Состава и содержания организационных и технических мер.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей