
Обзор Положения Банка России № 851-П и сравнение с № 683-П
Автор статьи:
Шрамко Павел Андреевич
Эксперт в сфере информационной безопасности6 марта 2025 года Министерство юстиции РФ зарегистрировало новое Положение Банка России № 851-П, которое вступает в силу 29 марта 2025 года.
Этот документ заменяет действующее Положение № 683-П и вносит ряд значительных изменений в сферу информационной безопасности.
Целью положения является обновление существующих требований по информационной безопасности, введение в область регулирования филиалов иностранных банков и утверждение правил, которые должны повлиять на снижение преступлений.
Что изменилось в Положении 851-П в сравнении с 683-П
- Расширение состава информации, необходимой для защиты
Новое Положение в качестве информации, для которой необходимо обеспечить защиту информации выделяет дополнительно банковскую тайну, содержащейся в электронных сообщениях. - Выполнение цикла PDCA
Требования по обеспечению цикла PDCA в рамках реализации технологических мер защиты информации были обязательны и ранее, но без конкретики. 851-П напрямую указывает необходимость обеспечения планирования, реализации, контроля и совершенствования применяемых мер защиты информации.
- Требования к реализуемым уровням защиты информации
Новое положение не предъявляет обновленных требований в рамках реализации ГОСТ 57580.1 для российских банков, однако оно устанавливает правила к обеспечению уровней защиты информации и уровней соответствия для филиалов иностранных банков
Для филиалов иностранных банков:
-
- с 1 октября 2025 года до 31 декабря 2026 года – минимальный уровень защиты информации, не ниже третьего уровня соответствия требованиям ГОСТ 57580.1.
- после 1 января 2027 года – стандартный уровень защиты информации, не ниже четвертого уровня соответствия требованиям ГОСТ 57580.1.
- Оценка должна проводиться с привлечением сторонней организации не реже одного раза в два года.
- Использование ПО, прошедшего оценку соответствия не ниже ОУД4
Новое положение напрямую указывает, что ПО должно оцениваться по ОУД4 или сертифицироваться как прикладное, используемое банком, так и банковские приложения, распространяемые для клиентов.
Дополнительно в рамках 851-П расширены требования при проведении сертификации прикладного ПО. Так, при выборе пути сертификации большинству банков необходимо подтвердить 5 уровень доверия и выше, а системно значимым — 4 и выше. - Конкретизированы условия проведения повторной оценки соответствия
Это выпуски новых релизов, затрагивающие функции безопасности (аутентификацию, журналирование и так далее), а также бизнес функции, такие как проверка права распоряжаться денежными средствами и учет результатов транзакций.
Изменения в составе технологических мер защиты информации
- Требования к обеспечению целостности электронных сообщений
В рамках 851-П требования по применению СКЗИ схожи с 683-П, однако с 1 октября 2025 года в случаях, если УКЭП не используется для обеспечения целостности электронных сообщений, необходимо использовать только УНЭП, созданные с применением средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия выполнения требований ФСБ. Дополнительно в рамках положения отражено требование для банков, являющихся участниками платформы цифрового рубля по применению СКЗИ, имеющих подтверждение соответствия требованиям ФСБ в мобильных банковских приложениях клиентов. - Контроль используемых номеров телефона
Положение 851-П расширяет существующие требования по обеспечению контроля используемых номеров телефонов, так теперь банки должны осуществлять проверку принадлежности абонентского номера телефона для клиентов в случае попыток изменения указанных в банке номеров.
- Требования к регистрации аутентификации клиента (вступит в силу после 1 октября 2025)
Нововведение в рамках 851-П, которое подразумевает регистрацию действий по аутентификации клиентов, включая:
-
- Время аутентификации;
- Идентификационную информацию (в том числе ip-адреса и сетевые порты, используемые устройством клиента и АС банка при взаимодействии);
- Геолокационную информацию;
- Информация о местонахождении устройства, при помощи которого осуществлялась аутентификация.
- Внедрение механизмов проверки законности финансовых операций в соответствии с ФЗ № 115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» для каждого клиента, выполняющего переводы денежных средств.
Другие изменения в Положении ЦБ РФ 851-П
- Дополнительные требования к обеспечению ограничений на осуществление операций клиентами, в том числе с применением платежных карт.
- Требования к обеспечению возможности приема заявлений от клиентов.
Все банки должны обеспечить возможность направления заявлений об осуществлении переводов без согласия клиента или с согласием, но под влиянием обмана или злоупотребления доверием, при этом системно значимые банки должны реализовать эту возможность в банковских приложениях.
В приложении 1 документа отражен состав информации, необходимой для формирования справки о случаях совершения операций без согласия клиента или с согласием, но под влиянием обмана (вступит в силу после 1 октября 2025). - Требования по уведомлению родителей или попечителей о совершаемых несовершеннолетними клиентами операциях.
- Сроки предоставления информации об инцидентах.
В приложении 2 к документу отражены конкретные требования по предоставлению информации в ЦБ об инцидентах на каждом из этапов реагирования на инцидент.
Отчетность
Отчетность по проведению контроля выполнения требований должна осуществляться банками самостоятельно.
Вместо методических рекомендаций ЦБ 12-МР необходимо использовать утвержденные 06.03.2025 методические рекомендации 3-МР.
Новые методические рекомендации обязывают проводить оценку выполнения технологических мер, отраженных в 851-П раз в два года в соответствии с аналогичными мерами, приведенными в 683-П.
Не исключено, что после 1 октября 2025 года (когда вступят в действия дополнительные требования) могут появиться новые методические рекомендации по заполнению отчетной формы.
Положение Центрального Банка России №851-П
Новое положение в значительной степени привносит изменения по формированию требований к филиалам иностранных банков, осуществляющих свою деятельность на территории Российской Федерации, а также вводит требования, исполнение которых позволит снизить увеличившееся количество мошеннических преступлений, связанных с принуждениями граждан Российской Федерации к осуществлению переводов денежных средств третьим лицам.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram