En

Положение Банка России № 851-П: обновленные требования к обеспечению защиты информации для кредитных организаций

04 апреля 2025

18.03.2025 на сайте Банка России было опубликовано Положение №851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», которое заменит действующее положение № 683-П и внесет существенные изменения в сферу регулирования информационной безопасности кредитно-финансового сектора.

Вносимые изменения призваны:

  • включить в сферу регулирования иностранные банки, которые работают в России через свои филиалы;
  • снизить количество финансовых преступлений за счет внедрения новых механизмов противодействия совершению операций без добровольного согласия;
  • защитить права и законные интересы клиентов кредитных организации;
  • повысить уровень кибербезопасности в банковском секторе – уточняя и дополняя существующие требования по защите информации.

Обновленные требования (за исключением отдельных положений) вступают в силу с 29 марта 2025 года.

Ключевые нововведения Положения №851-П:

  1. Требования к защите информации для филиалов иностранных банков

    Одной из предпосылок издания Положения №851-П было принятие Федерального закона от 08.08.2024 №275-ФЗ «О внесении изменений в Федеральный закон «О банках и банковской деятельности» и отдельные законодательные акты Российской Федерации», которым в качестве отдельного субъекта финансовой системы были введены филиалы иностранных банков. Новое Положение также включает их в область своего регулирования и устанавливает для них поэтапные требования к реализуемому уровню защиты информации по ГОСТ Р 57580.1-2017:

    • с даты вступления в силу Положения по 31.12.2026 – минимальный уровень защиты информации, уровень соответствия не ниже третьего;
    • с 01.01.2027 – стандартный уровень защиты информации, уровень соответствия не ниже четвертого;
    • оценка соответствия уровню защиты информации, предусмотренному ГОСТ Р 57580.1-2017, – не реже одного раза в два года с привлечением проверяющих организаций.
  2. Расширение состава защищаемой информации

    В состав защищаемой информации включена банковская тайна, содержащаяся в документах, составленных при осуществлении банковских операций в электронном виде.

  3. 3. Дополнение перечня сведений о действиях клиентов в рамках осуществления переводов денежных средств, подлежащих регистрации и хранению

    С 01.10.2025 регистрации дополнительно подлежат следующие данные о действиях клиентов на этапе их идентификации, аутентификации и авторизации:

    • дата и время начала и окончания соединения в рамках сессии на транспортном уровне;
    • ip-адрес и порт устройства, с использованием которого осуществлен доступ к АС/ПО кредитной организации;
    • ip-адрес и порт АС/ПО кредитной организации;
    • геолокационные данные устройства клиента (при наличии).
  4. Реализация функционала приема обращений клиентов по факту осуществления операций без добровольного согласия

    С 01.10.2025 системно значимые кредитные организации и кредитные организации, значимые на рынке платежных услуг, будут обязаны обеспечить для клиентов-физических лиц посредством мобильных приложений возможность:

    • подать заявление о каждом случае операции без добровольного согласия;
    • сформировать справку об операции без добровольного согласия (состав информации, необходимой для формирования справки, приведен в приложении 1 к Положению);
    • подтвердить, что операция, в отношении которой получен запрос Банка России, является операцией без добровольного согласия.

    Также с 01.10.2025 кредитные организации должны обеспечить возможность приема и регистрацию заявлений физических лиц о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.

  5. Уведомление в соответствии с договором законных представителей о выдаче несовершеннолетним клиентам электронных средств платежа (ЭСП) и о совершаемых ими операциях

    Обязанности кредитных организации дополнены необходимостью уведомления (в случаях, предусмотренных договором об использовании ЭСП) законных представителей (родителей, усыновителей или попечителя) несовершеннолетних клиентов в возрасте от 14 до 18 лет о:

    • предоставлении указанным клиентам ЭСП;
    • совершаемых указанными клиентами операциях.
  6. Дополнительные требования, направленные на противодействие осуществлению переводов денежных средств без добровольного согласия

    Обязанности кредитных организации дополнены необходимостью установления в рамках реализуемой системы управления рисками (в случаях, предусмотренных договором об использовании ЭСП) ограничений по параметрам операций по приему наличных денежных средств с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств.

  7. Уточнение требований к применяемым СКЗИ в целях обеспечения целостности электронных сообщений

    С 01.10.2025 кредитные организации в случае применения усиленной неквалифицированной электронной подписи (УНЭП) обязаны использовать средства ЭП и средства УЦ, имеющие подтверждение соответствия требованиям ФСБ России. Для мобильных приложений кредитных организаций, участвующих в платформе цифрового рубля, также предусмотрено использование СКЗИ с подтверждением соответствия требованиям ФСБ России.

  8. Контроль использования мобильных номеров телефонов клиентов

    Обязанности кредитных организации дополнены необходимостью осуществления контроля изменения идентификационного модуля (SIM-карты) в устройстве клиента и в случае выявления факта его изменения – реализации запрета на осуществление аутентификации и авторизации клиента с использованием абонентского номера клиента или сторонних сервисов для аутентификации и авторизации, использующих указанный номер, до момента подтверждения принадлежности абонентского номера клиенту.

  9. Уточнение отдельных действующих положений

    • Конкретизированы условия повторной оценки соответствия программного обеспечения по требованиям к оценочному уровню доверия (ОУД): такая оценка осуществляется при внесении изменений в исходный текст ПО, реализующий технологию обработки защищаемой информации (т.е. при внесении изменений как в функции безопасности (например, порядок идентификации клиентов), так и в бизнес-функции (например, алгоритм формирования электронных сообщений).
    • Зафиксирована обязанность кредитных организаций при реализации требований к обеспечению защиты информации использовать цикл PDCA (планирование применения, применение, контроль применения и совершенствование применения мер).
    • Добавлена обязанность по проверке легитимности совершаемой клиентами банковской операции в соответствии с 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
    • Закреплена обязанность кредитных организаций самостоятельно проводить не реже одного раза в два года оценку выполнения требований к обеспечению защиты информации. При проведении такой оценки необходимо осуществлять расчет значений оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в пунктах 4.3 и 5.3 Порядка составления и представления отчетности по форме 0409071 (см. обновленные Методические рекомендации Банка России по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации, утв. Банком России 06.03.2025 № 3-МР).
    • На уровне Положения зафиксированы сроки предоставления кредитными организациями в Банк России сведений о выявленных инцидентах защиты информации (приложение 2 к Положению).

Контакты для уточнения информации по обновленным требованиям к обеспечению защиты информации для кредитных организаций и запроса коммерческих предложений:

  • Алексей Карпушкин

    Руководитель практики аудиторских и консалтинговых услуг в областях ИБ и ИТ
    Aleksey.Karpushkin@fbk.ru

  • Михаил Манцуров

    Руководитель направления аудиторских и консалтинговых услуг в области ИБ
    Mikhail.Mantsurov@fbk.ru

RAEX
Коммерсант
ТОП-1000 российских менеджеров
Право.RU
Российская газета
Forbes