БИБЛИОГРАФИЯ

[1] Стандарт Банка России "Открытые банковские интерфейсы. Общие положения". 23.10.2020. https://www.cbr.ru/StaticHtml/File/59420/standart_1.pdf (дата обращения: 22.01.2024).

[2] Стандарт Банка России "Открытые банковские интерфейсы. Получение публичной информации о кредитной организации и ее продуктах". 08.07.2021. http://www.cbr.ru/statichtml/file/59420/standart_08072021.pdf (дата обращения: 22.01.2024).

[3] Стандарт Банка России "Открытые банковские интерфейсы. Инициирование перевода денежных средств клиента третьей стороной в валюте Российской Федерации". 23.10.2020. http://www.cbr.ru/statichtml/file/59420/standart_3.pdf (дата обращения: 22.01.2024).

[4] Стандарт Банка России "Открытые банковские интерфейсы. Получение информации о счете клиента третьей стороной". 23.10.2020. http://www.cbr.ru/statichtml/file/59420/standart_2.pdf (дата обращения: 22.01.2024).

[5] Методические рекомендации МР 26.2.002-2024 ТК 26 "Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect". 2024.

[6] Стандарт Банка России СТО БР БФБО-1.8-2024 "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации". 28.02.2024.

[7] ГОСТ Р ИСО/МЭК 27000-2021 Национальный стандарт Российской Федерации "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология".

[8] ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения".

[9] Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации".

[10] ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".

[11] ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".

[12] ГОСТ Р 34.11-2012 "Информационная технология. Криптографическая защита информации. Функция хэширования".

[13] ГОСТ Р 34.12-2015 "Информационная технология. Криптографическая защита информации. Блочные шифры".

[14] Словарь криптографических терминов. Под ред. Б.А. Погорелова и В.Н. Сачкова. - М.: МЦНМО, 2006. - 94 с.

[15] Р 50.1.041-2002 "Информационные технологии. Руководство по проектированию профилей среды открытой системы (СОС) организации-пользователя".

[16] Hardt D. The OAuth 2.0 Authorization Framework. RFC 6749, October 2012. https://datatracker.ietf.org/doc/html/rfc6749 (дата обращения: 07.07.2023).

[17] Sakimura N., Bradley J., Jones M., de Medeiros B., Mortimore C. OpenID Connect Core 1.0 incorporating errata set 1. https://openid.net/specs/openid-connect-core-1_0.html November 8, 2014 (дата обращения: 07.07.2023).

[18] Jones M., Bradley J., Sakimura N. JSON Web Token (JWT). RFC 7519. May 2015. https://datatracker.ietf.org/doc/html/rfc7519 (дата обращения: 07.07.2023).

[19] Jones M., Hardt D. The OAuth 2.0 Authorization Framework: Bearer Token Usage. RFC 6750, October 2012. https://datatracker.ietf.org/doc/html/rfc6750 (дата обращения: 07.07.2023).

[20] Josefsson S. The Base16, Base32, and Base64 Data Encodings. RFC 4648. October 2006. https:// datatracker.ietf.org/doc/html/rfc4648 (дата обращения: 07.07.2023).

[21] N. Sakimura, J. Bradley, E. Jay. Financial-grade API Security Profile 1.0 - Part 1: Baseline. OpenID Foundation, 2021. https://openid.net/specs/openid-financial-api-part-1-1_0.html (дата обращения: 07.07.2023).

[22] N. Sakimura, J. Bradley, E. Jay. Financial-grade API Security Profile 1.0 - Part 2: Advanced. OpenID Foundation, 2021. https://openid.net/specs/openid-financial-api-part-2-1_0.html (дата обращения: 07.07.2023).

[23] Р 1323 565.1.026-2019 "Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование".

[24] Lodderstedt T., Campbell B., Financial-grade API: JWT Secured Authorization Response Mode for OAuth 2.0 (JARM). OpenID Foundation, FAPI WG, 9 November 2022. https://openid.net/specs/oauth-v2-jarm.html (дата обращения: 07.07.2023).

[25] Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

[26] Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

[27] Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

[28] Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

[29] Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

[30] Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

[31] Положение Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

[32] Положение Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России".

[33] ГОСТ Р ИСО/МЭК 15 408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".

[34] Методический документ Банка России "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" http://www.cbr.ru/content/document/file/132666/inf_note_feb_0422.pdf. (дата обращения 22.01.2024).

[35] Методический документ ФСТЭК "Руководство по организации процесса управления уязвимостями в органе (организации)" (утв. ФСТЭК России 17.05.2023). https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g (дата обращения: 22.01.2024).

[36] Методический документ ФСТЭК "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" (утв. ФСТЭК России 28.10.2022). https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g (дата обращения: 22.01.2024).

[37] Методический документ ФСТЭК "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" (утв. ФСТЭК России 28.10.2022). https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g-2 (дата обращения: 22.01.2024).

[38] Sakimura N., Bradley J., Agarwal N. Proof Key for Code Exchange by OAuth Public Clients. RFC 7636. September 2015. https://datatracker.ietf.org/doc/html/rfc7636 (дата обращения: 07.07.2023).

[39] Jones P., Salgueiro G., Jones M., J. Smarr. WebFinger. RFC 7033. September 2013. https://datatracker.ietf.org/doc/html/rfc7033 (дата обращения: 22.01.2024).

[40] Sakimura N., Bradley J., Jones M., Jay E. OpenID Connect Discovery 1.0 incorporating errata set 1. November 8, 2014. https://openid.net/specs/openid-connect-discovery-1_0.html (дата обращения: 22.01.2024).

[41] Jones M., Sakimura N., Bradley J. OAuth 2.0 Authorization Server Metadata. RFC 8414. June 2018. https://datatracker.ietf.org/doc/html/rfc8414 (дата обращения: 22.01.2024).

[42] Sakimura N., Bradley J., Jones M. OpenID Connect Dynamic Client Registration 1.0 incorporating errata set 1. November 8, 2014. https://openid.net/specs/openid-connect-registration-1_0.html (дата обращения: 22.01.2024).

[43] Richer J., Jones M. Bradley J., Machulak M., Hunt P. OAuth 2.0 Dynamic Client Registration Protocol. RFC 7591. July 2015. https://datatracker.ietf.org/doc/html/rfc7591 (дата обращения: 22.01.2024).

[44] Cooper D., Santesson S., Farrell S., Boeyen S., Housley R., Polk W. Internet X. 509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 5280. May 2008. https://datatracker.ietf.org/doc/html/rfc5280 (дата обращения: 22.01.2024).

[45] Jones M., Bradley J., Sakimura N. JSON Web Signature (JWS). RFC 7515. May 2015. https://datatracker.ietf.org/doc/html/rfc7515 (дата обращения: 22.01.2024).

[46] Jones M., Hildebrand J. JSON Web Encryption (JWE). RFC 7516. May 2015. https://datatracker.ietf.org/doc/html/rfc7516 (дата обращения: 22.01.2024).

[47] Jones M. JSON Web Key (JWK). RFC 7517. May 2015. https://datatracker.ietf.org/doc/html/rfc7517 (дата обращения: 22.01.2024).

[48] Richer J. OAuth 2.0 Token Introspection. RFC 7662. https://datatracker.ietf.org/doc/html/rfc7662 (дата обращения: 07.07.2023).

[49] OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens. RFC 8705. February 2020. https://datatracker.ietf.org/doc/html/rfc8705 (дата обращения: 22.01.2024).

[50] Fielding R., Reschke J. Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content. RFC 7231. June 2014. https://datatracker.ietf.org/doc/html/rfc7231 (дата обращения: 22.01.2024).

[51] A UniveRSAlly Unique IDentifier (UUID) URN Namespace. RFC 4122. https://datatracker.ietf.org/doc/html/rfc4122 (дата обращения: 22.01.2024).

[52] Lodderstedt T., Bradley J., Labunets A., Fett D. OAuth 2.0 Security Best Current Practice. 5 June 2023. https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-23 (дата обращения: 22.01.2024).

[53] Lodderstedt T., McGloin M., Hunt P. OAuth 2.0 Threat Model and Security Considerations. RFC 6819. January 2013. https://datatracker.ietf.org/doc/html/rfc6819 (дата обращения: 22.01.2024).

[54] Положение Банка России от 17.10.2022 N 808-П "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства".

УДК 681.3.06

Ключевые слова: финансовая технология, открытые программные интерфейсы, токен доступа, авторизация, OpenID Connect