851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков

Положение № 851-П ЦБ РФ

Положение № 851-П Банка России от 30.01.2025 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков, включая филиалы иностранных банков, осуществляющих деятельность на территории Российской Федерации.

Полное название документа:

Положение об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории российской федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

Аудит соответствия общим требованиям 851-П

Цель проведения работ

В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1-2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации, свидетельств и интервью, либо очно на территории заказчика.

Аудит соответствия системы защиты информации, в соответствии с требованиями положения 851-П, включает в себя анализ выполнения следующих требований к обеспечению защиты информации:

1. п.1 — требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
2. п.5. — требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации;
3. п.6. — требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005, Пр. ФСБ № 378);
4. п.7. — доведение до клиентов рекомендаций по защите информации от воздействия вредоносного кода;
5. п.12. — требования к обеспечению защиты информации, применяемые в отношении регистрации инцидентов информационной безопасности;
6. п.13 — требования к обеспечению защиты информации по порядку проведения оценки соответствия уровню защиты информации.

В ходе аудита проводятся следующие работы:

• Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
• Анализируется организационно-распорядительная документация
• Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации
• Проводится интервью с сотрудниками проверяемой организации
• Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости)
• Оценивается соответствие проверяемой организации пунктам требований руководящих документов
• Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 851-П
• Проводится проверка устранения обнаруженных несоответствий
• Повторно проводится аудит соответствия требований Положения 851-П к системе обеспечения информационной безопасности
• Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности

Результат и отчетная документация

• Отчет о проведенных работах по общим требованиям 851-П (без учета ОУД4)
• Обоснование и рекомендации по повышению уровня соответствия

Оценка соответствия по ГОСТ Р 57580

Цель проведения работ

В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1–2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации, собранных свидетельств и интервью.

В ходе оценки проводятся следующие работы:

• Определяется область оценки (перечень ИС, объектов доступа, персонала)
• Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
• Анализируется организационно-распорядительная документация
• Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения
• Проводится визуальное наблюдение на объектах Банка (в случае необходимости)
• Проводится интервью сотрудников проверяемой организации
• Составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1–2017
• Оценивается выполнение мер по защите информации ГОСТ Р 57580.1–2017 (с комментариями)
• Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»
• Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 (при необходимости, а также Модель угроз)
• Согласовывается полученный результат
• Проводится оценка рисков информационной безопасности Банка

Результат и отчетная документация

• Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018
• Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия
• Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ
• Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11

Суть 851-П

Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 851-П действует наравне с другими требованиями ЦБ, в частности:

• Положением Банка России от № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
• Положением Банка России № 802-П «О требованиях к защите информации в платежной системе Банка России»
• Аналогичное Положение под номером 757-П принято в отношении некредитных финансовых организаций. Подробнее на странице услуг Приведение в соответствие и оценка по 757-П для НФО.

Важно

851-П обладает более узкой областью применения в сравнении с 821-П

Для того, чтобы разобраться с тем, как адаптироваться к новым реалиям регуляции, необходимо четко разобрать содержание 851-П и выделить главное.

Какая информация должна защищаться по 851-П?

1. Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
2. Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
3. Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
4. Распоряжения пользователей платформы цифрового рубля – информация, о выполняемых клиентами действий на платформе цифрового рубля.
5. Информация об осуществленных банковских операциях

На кого распространяются требования 851-П Банка России?

Все без исключения кредитные организации разделены на 3 группы:

1. Российские системно значимые кредитные организации; кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем; кредитные организации, значимые на рынке платежных услуг
2. Российские кредитные организации
3. Филиалы иностранных банков

Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017.

При этом первая группа (системно значимые банки и пр.) должна реализовывать усиленный уровень защиты информации, вторая группа должна реализовывать стандартный, а третья до 31 октября 2026 года – минимальный уровень, а после – стандартный.

Важно

Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации

Помимо проведения оценки соответствия требований ГОСТ Р 575850.1-2017 Положение 851-П также предъявляет к проведению ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.

Подробнее на странице услуги Пентест (анализ уязвимостей).

Оценка по ГОСТ Р 57580.2 для банков

Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией.

В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный, стандартный или минимальный) не реже одного раза в два года.

Когда 851-П вступает в силу?

Положение вступает в силу с 29 марта 2025 года, однако часть положений содержат отсрочку.

В частности:

• Вступит в силу 1 октября 2025 года – дополнительные требования по использованию СКЗИ, требования по обеспечению регистрации аутентификации клиентов, требования по реализации возможности приема заявлений об осуществлении операций без согласия клиентам или с согласия клиента, которые осуществили передачу денег третьим лицам под влиянием обмана или злоупотреблением доверия
• Вступит в силу 1 января 2027 года – требования по реализации стандартного уровня защиты информации и обеспечении не ниже четвертого уровня соответствия (оценки не ниже 0.85 в рамках каждого из процессов защиты информации и на этапах жизненного цикла автоматизированной системы) для филиалов иностранных банков.

Почему RTM Group?

• Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580.1 .
• Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты