Новые требования ЕСИА для банков: как подключиться к системе?

С 2025 года в силу вступил новый регламент взаимодействия банков с Единой системой идентификации и аутентификации, вводящий, вместе с Методическими рекомендациями по использованию ЕСИА, дополнительные требования к инфраструктуре и программному обеспечению, используемым для взаимодействия. Поэтому ключевым вопросом, волнующим сегодня банки, является подключение информационных систем к ЕСИА с учетом дополнительных требований. Как сделать это быстро и без лишних затрат?

Какие нормативные акты смотреть

Ниже представлен актуальный список ключевых нормативных документов, которые регламентируют новый порядок взаимодействия с Единой системой идентификации и аутентификации.

• регламент ЕСИА (версия 2.49);
• методические рекомендации по использованию ЕСИА (версия 3.53)

Что конкретно изменилось в законодательстве

Если коротко — все дело в усилении требований к информационной безопасности. От организаций, взаимодействующих с ЕСИА, начинают требовать использования сертифицированных средств криптографической защиты информации (СКЗИ) — сертифицированные ФСБ и ФСТЭК СКЗИ с соответствием уровню доверия не ниже 5. Используемое средство ЭП должно быть сертифицировано по требованиям ФСБ России по классу не ниже KC3. Кроме того, потребуется провести процедуру оценки влияния на СКЗИ, применяемое в составе технического решения, согласно требованиям эксплуатационной документации на СКЗИ с привлечением испытательных лабораторий, аккредитованных ФСБ России. Защищенные каналы связи должны быть не ниже класса KC3.

Подключаемая информационная система должна пройти аттестацию по требованиям информационной безопасности — на соответствие уровню защищенности персональных данных УЗ 3 и выше.

Сколько времени есть у банков

Нисколько (или не так уж много), поэтому перестройкой процессов лучше заняться уже сейчас. Соблюдение нового регламента взаимодействия с ЕСИА обязательно для всех новых подключений с 2025 года. Информационные системы, уже подключенные к ЕСИА в соответствии с положениями Регламента версии 2.42 и ниже, могут продолжать применение действующих технических решений до 31 декабря 2026 года.

Но по истечении этих сроков от организаций также начнут требовать использовать сертифицированные средства криптографической защиты информации (СКЗИ).

Как подключиться к ЕСИА

Программное обеспечение "iDЕСИА. Типовое решение для взаимодействия с ЕСИА" (далее — "Типовое решение ЕСИА"), которое обеспечит выполнение требований Регламента и Методических рекомендаций для программного обеспечения при взаимодействии с ЕСИА.

В настоящий момент решение проходит оценку влияния прикладного ПО компонентов решения на выполнение предъявленных к СКЗИ требований и проверку корректности реализации сценариев взаимодействия с ЕСИА и Цифровым профилем.

"Типовое решение ЕСИА" позволит реализовать следующие сценарии взаимодействия с ЕСИА:

1. Взаимодействие системы-клиента с ЕСИА в процессе идентификации и аутентификации пользователя с использованием протокола OAuth/OpenID Connect (в т.ч. формирование запросов к ЕСИА и обработка ответов согласно методическим рекомендациям).
2. Получение персональных данных Пользователя из Цифрового профиля физического лица в ЕСИА по запросу системы-клиента.

Использование готового "Типового решения ЕСИА" серьезно снизит затраты банков на создание собственного ПО для взаимодействия с ЕСИА и ЦП, включая проведение длительной процедуры оценки влияния компонентов технического решения на применяемые СКЗИ, за счет тиражируемости.

Оформите заявку по ссылке, чтобы первыми получить доступ к сертифицированному решению, соответствующему требованиям ФСБ и ФСТЭК.