АРРФР разработало дополнительные меры для повышения уровня защиты в сфере онлайн-кредитования, передает LS.

Данный проект постановления направлен на усиление безопасности дистанционного оказания услуг банка и финорганизаций.

Согласно документу, регулятор обозначил требования к предоставлению защиты программного обеспечения (ПО) финструктур, которые включают:

• ПО серверов веб-приложений;
• ПО для мобильных устройств;
• ПО серверов программных интерфейсов.

Разработка и доработка подобного программного обеспечения осуществляется банком или финорганизацией в соответствии с утверждённым исполнительным органом внутренним документом, регламентирующим порядок и этапы разработки, и их участников.

Если данный документ будет передан сторонней организации или третьему лицу, то банк или финорганизация должны проконтролировать исполнение данными лицами требований надежности и внутренних документов, отвечающих за состояние безопасности ПО банковского приложения.

"Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в банке, организации, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты банка, организации, с обеспечением резервного копирования", – говорится в проекте.

При этом обязательным пунктом в документе является тестирование безопасности, в ходе которого осуществляются, как минимум, статический анализ исходного кода и анализ компонентов и сторонних библиотек.

"Банк или финорганизация обеспечивают реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утверждённым исполнительным органом. При этом критичные проблемы устраняются до ввода в эксплуатацию ПО его новых версий", – уточняется в документе.

А для ввода в эксплуатацию понадобится согласование с подразделением по информационной безопасности.

Также финорганизации и банки должны будут обеспечивать хранение и доступ в оперативном режиме ко всем версиям исходных кодов ПО и результатов тестирования безопасности, которые были введены в эксплуатацию.

Обмен данными между клиентской и серверной сторонами программного обеспечения предлагается шифровать с использованием версии протокола Transport Layer Security не ниже 1.2.

Между тем при первичной регистрации клиента в мобильном приложении будет проводиться его биометрическая идентификация посредством Центра обмена идентификационными данными (ЦОИД) или с помощью биометрических данных, полученных посредством устройств банка или финорганизации.

"Изменение кода доступа (пароля) к приложению осуществляется посредством биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации. Идентификация и аутентификация клиента в ПО осуществляется с применением способов двухфакторной аутентификации (использованием двух из трёх факторов: знания, владения, неотъемлемости). Делегирование этих функций клиента сторонним организациям или третьим лицам не допускается", – поясняется в проекте.

Кроссдоменную аутентификацию планируют совершать только между доменами третьего уровня или выше, которые имеют общий родительский домен второго уровня, или между доменом второго уровня и его дочерними доменами.

При этом мобильное приложение не сможет пользоваться функционалом встраиваемых веб-страниц (компонент WebView).

Публичное обсуждение документа продлится до 6 октября 2023 года.

Ранее LS писал, что требования к информационной безопасности мобильных приложений финструктур будут ужесточены.