Актуальная регуляторика | 6 марта

Обзор Положения Банка России № 851-П и сравнение с № 683-П

Автор статьи:

6 марта 2025 года Министерство юстиции РФ зарегистрировало новое Положение Банка России № 851-П, которое вступает в силу 29 марта 2025 года.

Этот документ заменяет действующее Положение № 683-П и вносит ряд значительных изменений в сферу информационной безопасности.

Целью положения является обновление существующих требований по информационной безопасности, введение в область регулирования филиалов иностранных банков и утверждение правил, которые должны повлиять на снижение преступлений.

Что изменилось в Положении 851-П в сравнении с 683-П

  • Расширение состава информации, необходимой для защиты
    Новое Положение в качестве информации, для которой необходимо обеспечить защиту информации выделяет дополнительно банковскую тайну, содержащейся в электронных сообщениях.
  • Выполнение цикла PDCA
    Требования по обеспечению цикла PDCA в рамках реализации технологических мер защиты информации были обязательны и ранее, но без конкретики. 851-П напрямую указывает необходимость обеспечения планирования, реализации, контроля и совершенствования применяемых мер защиты информации.
  • Требования к реализуемым уровням защиты информации
    Новое положение не предъявляет обновленных требований в рамках реализации ГОСТ 57580.1 для российских банков, однако оно устанавливает правила к обеспечению уровней защиты информации и уровней соответствия для филиалов иностранных банков
    Для филиалов иностранных банков:
    • с 1 октября 2025 года до 31 декабря 2026 года – минимальный уровень защиты информации, не ниже третьего уровня соответствия требованиям ГОСТ 57580.1.
    • после 1 января 2027 года – стандартный уровень защиты информации, не ниже четвертого уровня соответствия требованиям ГОСТ 57580.1.
    • Оценка должна проводиться с привлечением сторонней организации не реже одного раза в два года.
  • Использование ПО, прошедшего оценку соответствия не ниже ОУД4
    Новое положение напрямую указывает, что ПО должно оцениваться по ОУД4 или сертифицироваться как прикладное, используемое банком, так и банковские приложения, распространяемые для клиентов.
    Дополнительно в рамках 851-П расширены требования при проведении сертификации прикладного ПО. Так, при выборе пути сертификации большинству банков необходимо подтвердить 5 уровень доверия и выше, а системно значимым — 4 и выше.
  • Конкретизированы условия проведения повторной оценки соответствия
    Это выпуски новых релизов, затрагивающие функции безопасности (аутентификацию, журналирование и так далее), а также бизнес функции, такие как проверка права распоряжаться денежными средствами и учет результатов транзакций.

Изменения в составе технологических мер защиты информации

  1. Требования к обеспечению целостности электронных сообщений
    В рамках 851-П требования по применению СКЗИ схожи с 683-П, однако с 1 октября 2025 года в случаях, если УКЭП не используется для обеспечения целостности электронных сообщений, необходимо использовать только УНЭП, созданные с применением средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия выполнения требований ФСБ. Дополнительно в рамках положения отражено требование для банков, являющихся участниками платформы цифрового рубля по применению СКЗИ, имеющих подтверждение соответствия требованиям ФСБ в мобильных банковских приложениях клиентов.
  2. Контроль используемых номеров телефона
    Положение 851-П расширяет существующие требования по обеспечению контроля используемых номеров телефонов, так теперь банки должны осуществлять проверку принадлежности абонентского номера телефона для клиентов в случае попыток изменения указанных в банке номеров.
  1. Требования к регистрации аутентификации клиента (вступит в силу после 1 октября 2025)
    Нововведение в рамках 851-П, которое подразумевает регистрацию действий по аутентификации клиентов, включая:
    • Время аутентификации;
    • Идентификационную информацию (в том числе ip-адреса и сетевые порты, используемые устройством клиента и АС банка при взаимодействии);
    • Геолокационную информацию;
    • Информация о местонахождении устройства, при помощи которого осуществлялась аутентификация.
  1. Внедрение механизмов проверки законности финансовых операций в соответствии с ФЗ № 115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» для каждого клиента, выполняющего переводы денежных средств.

Другие изменения в Положении ЦБ РФ 851-П

  1. Дополнительные требования к обеспечению ограничений на осуществление операций клиентами, в том числе с применением платежных карт.
  2. Требования к обеспечению возможности приема заявлений от клиентов.
    Все банки должны обеспечить возможность направления заявлений об осуществлении переводов без согласия клиента или с согласием, но под влиянием обмана или злоупотребления доверием, при этом системно значимые банки должны реализовать эту возможность в банковских приложениях.
    В приложении 1 документа отражен состав информации, необходимой для формирования справки о случаях совершения операций без согласия клиента или с согласием, но под влиянием обмана (вступит в силу после 1 октября 2025).
  3. Требования по уведомлению родителей или попечителей о совершаемых несовершеннолетними клиентами операциях.
  4. Сроки предоставления информации об инцидентах.
    В приложении 2 к документу отражены конкретные требования по предоставлению информации в ЦБ об инцидентах на каждом из этапов реагирования на инцидент.

Отчетность

Отчетность по проведению контроля выполнения требований должна осуществляться банками самостоятельно.

Вместо методических рекомендаций ЦБ 12-МР необходимо использовать утвержденные 06.03.2025 методические рекомендации 3-МР.

Новые методические рекомендации обязывают проводить оценку выполнения технологических мер, отраженных в 851-П раз в два года в соответствии с аналогичными мерами, приведенными в 683-П.

Не исключено, что после 1 октября 2025 года (когда вступят в действия дополнительные требования) могут появиться новые методические рекомендации по заполнению отчетной формы.

Положение Центрального Банка России №851-П

Новое положение в значительной степени привносит изменения по формированию требований к филиалам иностранных банков, осуществляющих свою деятельность на территории Российской Федерации, а также вводит требования, исполнение которых позволит снизить увеличившееся количество мошеннических преступлений, связанных с принуждениями граждан Российской Федерации к осуществлению переводов денежных средств третьим лицам.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги