Краткий обзор документа 16-МР. Как финансовым организациям соответствовать требованиям при работе с ИЭП

Предлагаем вашему вниманию обзор документа № 16-МР, разработанного Банком России.

«Документ 16-МР предоставляет детализированные рекомендации для организаций финансового рынка, взаимодействующих с инфраструктурой электронного правительства (ИЭП). Он регулирует как технические, так и организационные аспекты такого взаимодействия: от обеспечения безопасности передачи данных до интеграции с Единой системой идентификации и аутентификации (ЕСИА) и инфраструктурой Цифрового профиля», - комментирует Анастасия Федюнина, ведущий специалист отдела аудита Infosecurity (ГК Softline).

Соблюдение этих рекомендаций крайне важно для всех организаций, работающих в сфере финансовых услуг и использующих инфраструктуру Цифрового профиля, чтобы обеспечить высокий уровень безопасности и соответствие нормативным требованиям.

Полное название документа

«Методические рекомендации Банка России по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме» № 16-МР от 30 сентября 2024 года.

Цели и задачи документа

Основная цель документа заключается в унификации подходов к взаимодействию информационных систем (ИС) организаций финансового рынка с ИЭП. Это взаимодействие ориентировано на выполнение двух ключевых задач:

обеспечения санкционированного доступа к информации через ЕСИА, включая использование инфраструктуры Цифрового профиля.

применения сертификатов ключа проверки усиленной неквалифицированной электронной подписи (УНЭП), созданных в ИЭП.

Основные термины и их пояснения

1. Организации финансового рынка включают:

кредитные организации;
некредитные финансовые организации, осуществляющие виды деятельности, указанные в части первой статьи 76.1 86-ФЗ «О Центральном Банке Российской Федерации (Банке России)»;
субъекты национальной платежной системы (перечень субъектов национальной платежной системы отражен в 161-ФЗ «О национальной платежной системе» и включает в себя операторов по переводу денежных средств, операторов электронной платформы, операторов услуг платежной инфраструктуры и т.д.);
лица, оказывающие профессиональные услуги на финансовом рынке (согласно 86-ФЗ к таким лицам относятся: бюро кредитных историй, кредитные рейтинговые агентства, аудиторские организации, лица, осуществляющие актуарную деятельность).

2. Инфраструктура электронного правительства (ИЭП) – это совокупность информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме. Регламентируется Положением, утвержденным Постановлением Правительства РФ № 451 от 8 июня 2011 года.

Примеры систем в составе ИЭП:

ФГИС «Единый портал государственных и муниципальных услуг (функций)»;
ФГИС «Федеральный реестр государственных и муниципальных услуг (функций)»;
Информационная система головного удостоверяющего центра, функции которого осуществляет Минцифры;
ФГИС «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее – ЕСИА);
единая система межведомственного электронного взаимодействия (СМЭВ);
единая биометрическая система (ЕБС).

3. Цифровой профиль – это набор цифровых данных о гражданах в информационных системах госорганов и организаций, построенный на базе ЕСИА. Регламентируется Постановлением Правительства РФ № 710 от 3 июня 2019 года.

Структура и содержание документа 16-МР

Если ваша компания относится к организациям финансового рынка и взаимодействует с инфраструктурой электронного правительства (ИЭП), вам необходимо ознакомиться с Методическими рекомендациями Банка России № 16-МР. Этот документ помогает стандартизировать подходы к интеграции и обеспечению безопасности взаимодействия информационных систем финансовых организаций с ИЭП. Соблюдение данных рекомендаций позволит минимизировать риски и соответствовать нормативным требованиям.

Обзор документа: общие положения

Документ состоит из трех глав, каждая из которых посвящена ключевым аспектам взаимодействия с ИЭП.

1. Первая глава: цели и требования

Содержит сведения о целях документа, а также общие требования по использованию сертифицированных ФСТЭК средств защиты информации, а также СКЗИ, имеющих подтверждение соответствие требованиям ФСБ.

2. Вторая глава содержит рекомендации по организации взаимодействия информационных систем финансовых организаций с ИЭП с целью обеспечения санкционированного доступа к информации. Итак, рекомендуется следующее:

использовать документ Регламент информационного взаимодействия участников с оператором ЕСИА и оператором эксплуатации ИЭП и иные документы об организации взаимодействия с ЕСИА;

при взаимодействии с инфраструктурой Цифрового профиля руководствоваться Методическими рекомендациями по интеграции с REST API Цифрового профиля и Сценариями использования инфраструктуры Цифрового профиля и Цифрового профиля организации (ссылка на ресурс);

организовать взаимодействие с ЕСИА с применением протокола на базе OpenID Connect, руководствуясь Приложением 1 к 16-МР, Методическими рекомендациями по использованию ЕСИА (ссылка здесь), а также посредством СМЭВ, руководствуясь Рекомендациями по работе со СМЭВ (ссылка здесь) и материалами по использованию личного кабинета участника взаимодействия (ссылка здесь);

использовать форматы сообщений, соответствующие видам сведений СМЭВ (ссылка на ресурс);

при обмене электронными сообщениями (ЭС), содержащими конфиденциальную информацию или персональные данные, рекомендуется обеспечивать целостность ЭС с использованием усиленной электронной подписи (класс не ниже КС3), а также обеспечивать конфиденциальность ЭС с использованием СКЗИ не ниже класса КС3;

для целей защиты каналов связи при подключении к ЕСИА рекомендуется обеспечивать защиту всех каналов связи, находящихся вне контролируемой зоны, с использованием СКЗИ не ниже класса КС3;

при взаимодействии с ЕСИА использованием TLS (за исключением случая использования мобильного приложения организации финансового рынка) рекомендуется осуществлять аутентификацию с использованием сертификата безопасности, а также применять СКЗИ не ниже КС3 на стороне финансовой организации, а также обеспечить применение СКЗИ не ниже КС1 на стороне пользователя;

при взаимодействии организации с пользователем через мобильное приложение организации при подключении к ЕСИА рекомендуется использовать односторонний TLS, а также использовать СКЗИ не ниже КС1;

при присоединении информационной системы (ИС) к ЕСИА, СМЭВ и инфраструктуре Цифрового профиля необходимо реализовать меры, указанные в пункте 11 Положения об ИЭП (ПП-451);

Положения об ИЭП (ПП-451), пункт 11

- защита передаваемых сведений от неправомерного доступа, уничтожения, модификации, блокирования, копирования, распространения, иных неправомерных действий с момента поступления этих сведений в свою информационную систему (ИС) и до момента их поступления в ИС, эксплуатируемые иными операторами;

- обеспечение конфиденциальности информации ограниченного доступа в соответствии с требованиями законодательства РФ;

- обеспечение доступа к информации в случаях и порядке, предусмотренных законодательством РФ;

- фиксация даты, времени, участников каждого случая взаимодействия и возможность восстановления истории взаимодействия;

- информирование оператора ИЭП и участников взаимодействия о сбоях и нарушениях в работе своих ИС, которые могут повлечь нарушение сроков и качества предоставления госуслуг, а также о нарушении требований ИБ;

- принятие мер по устранению сбоев нарушений функционирования своих ИС и случаев нарушения требований ИБ;

- обеспечение достоверности и актуальности сведений, передаваемых из своих ИС, а в случае установления недостоверности – изменение сведений и информирование заинтересованных участников взаимодействия;

- обработка информации в электронной форме (принятие запросов, обращений, их обработка и подготовка ответов).

рекомендуется размещать объекты информационной инфраструктуры (ОИИ), используемые для взаимодействия с ИЭП, в выделенных сегментах сетей;

для ОИИ в пределах выделенных сегментов сетей, в отношении которых применяются меры защиты информации стандартного уровня ГОСТ 57580.1-2017, рекомендуется обеспечить уровень соответствия не ниже четвертого;

рекомендуется реализовать меры, указанные в пункте 5 Правил присоединения к ИЭП, утвержденных Постановлением Правительства РФ №1382 от 22 декабря 2012.

Правила присоединения к ИЭП, пункт 5 (Постановление Правительства РФ №1382 от 22 декабря 2012)

- межсетевые экраны, обеспечивающие контроля за информацией, поступающей в информационную систему (ИС), должны иметь сертификат ФСБ по 4 классу защищенности;

- межсетевые экраны должны иметь сертификат ФСТЭК по третьему классу и третьему уровню контроля отсутствия недекларированных возможностей (НДВ) – скрытых функций, которые могут нарушить безопасность данных;

- требования к системе защиты информации ИС определяются в зависимости от класса защищенности ИС и угроз информационной безопасности, включенных в модель угроз;

- ИС должны быть подключены к сетям передачи данных со скоростью передачи не менее 1 Мбит/c;

- при подключении к закрытому контуру инфраструктуры взаимодействия (ИЭП) должны использоваться СКЗИ не ниже класса КС3, а также СКЗИ, применяемые в СМЭВ, необходимо обеспечивать резервирование каналов связи.

Дополнительно Банк России в приложении к 16-МР выделяет следующие требования в целях безопасной реализации взаимодействия на базе OpenID Connect:

1) обеспечивать целостность электронных сообщений (ЭС) с использованием усиленной ЭП, реализуемой средствами ЭП не ниже КС3, а также обеспечивать конфиденциальность ЭС с использованием СКЗИ не ниже класса КС3;

2) проводить тематические исследования по оценке среды функционирования СКЗИ, включая прикладное ПО и реализацию OpenID Connect в соответствии с требованиями ФСБ и ПКЗ-2005;

3) применять межсетевые экраны, сертифицированные ФСТЭК не ниже 4 класса, с применением антивирусных средств, предназначенных для размещения на серверах ИС, средств обнаружения вторжений не ниже 4 класса, либо использовать NGFW не ниже 4 класса;

4) применять антивирусные средства, сертифицированные ФСТЭК не ниже 4 класса;

5) применять квалифицированный сертификат ключа проверки ЭП, созданного УЦ Банка России.

3. Третья глава документа содержит требования по использованию сертификата ключа проверки усиленной неквалифицированной электронной подписи (УНЭП) в рамках взаимодействия информационных систем (ИС) финансовых организаций с инфраструктурой электронного правительства (ИЭП). Изменения направлены на обеспечение безопасности, юридической значимости и надежности электронного взаимодействия. Для реализации необходимо:

согласно Правилам создания и использования сертификата ключа проверки УНЭП в ИЭП, утвержденным Постановлением Правительства РФ №2152 от 1 декабря 2021 года, рекомендуется руководствоваться материалами об интеграции с ИЭП (ссылка на ресурс);

взаимодействие ИС с ИЭП рекомендуется реализовывать посредством СМЭВ, руководствуясь Рекомендациями по работе со СМЭВ, а также материалами по использованию личного кабинета участника взаимодействия (ссылки на ресурсы здесь и здесь);

рекомендуется использовать форматы сообщений, соответствующие видам сведений СМЭВ (ссылка на ресурс);

рекомендуется обеспечивать проверку соответствия подписи документов, поступивших из ИЭП после их подписания клиентами финансовых организаций, на неизменность первичным документам, сформированным клиентами и направленным в ИЭП.

Если вашей компании нужна консультация, специалисты Infosecurity готовы помочь. Оставьте заявку