851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков

Центральный Банк утвердил новое положение №851-П от 30 января 2025 г., которое вступает в силу с 29 марта 2025 года и полностью заменяет  683-П.

Работы в рамках 851-П:

  • Обеспечение соответствия ГОСТ Р 57580.1-2017
  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018
  • Обеспечение соответствия основной части 851-П
  • Разработка организационно-распорядительной документации для соответствия 851-П и ГОСТ Р 57580.1-2017

Вы получаете:

Помимо оценки соответствия, мы окажем консультативную поддержку Банку в части приведения системы информационной безопасности в соответствие с требованиями стандарта.

Почему мы:

Мы имеем обширный опыт проведения работ в рамках основополагающих положений ЦБ по защите информации в финансовом секторе, а также опыт проведения аудитов по всем требованиям 851-П.

Важно:

Оценка соответствия по ГОСТ Р 57580 проводится один раз в два года.

851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков - услуги RTM Group
851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков - от RTM Group
Узнать стоимость?

Эксперты по обеспечению соответствия 851-П

Эксперт по обеспечению соответствия 851-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 851-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 851-П Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 851-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Положение № 851-П ЦБ РФ

Положение № 851-П Банка России от 30.01.2025 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков, включая филиалы иностранных банков, осуществляющих деятельность на территории Российской Федерации.

Полное название документа:

Положение об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории российской федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

Аудит соответствия общим требованиям 851-П

Цель проведения работ

В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1-2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации, свидетельств и интервью, либо очно на территории заказчика.

Аудит соответствия системы защиты информации, в соответствии с требованиями положения 851-П, включает в себя анализ выполнения следующих требований к обеспечению защиты информации:

  1. п.1 — требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
  2. п.5. — требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации;
  3. п.6. — требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005, Пр. ФСБ № 378);
  4. п.7. — доведение до клиентов рекомендаций по защите информации от воздействия вредоносного кода;
  5. п.12. — требования к обеспечению защиты информации, применяемые в отношении регистрации инцидентов информационной безопасности;
  6. п.13 — требования к обеспечению защиты информации по порядку проведения оценки соответствия уровню защиты информации.

В ходе аудита проводятся следующие работы:

  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
  • Анализируется организационно-распорядительная документация
  • Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации
  • Проводится интервью с сотрудниками проверяемой организации
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости)
  • Оценивается соответствие проверяемой организации пунктам требований руководящих документов
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 851-П
  • Проводится проверка устранения обнаруженных несоответствий
  • Повторно проводится аудит соответствия требований Положения 851-П к системе обеспечения информационной безопасности
  • Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности

Результат и отчетная документация

  • Отчет о проведенных работах по общим требованиям 851-П (без учета ОУД4)
  • Обоснование и рекомендации по повышению уровня соответствия

Оценка соответствия по ГОСТ Р 57580

Цель проведения работ

В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1–2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации, собранных свидетельств и интервью.

В ходе оценки проводятся следующие работы:

  • Определяется область оценки (перечень ИС, объектов доступа, персонала)
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
  • Анализируется организационно-распорядительная документация
  • Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения
  • Проводится визуальное наблюдение на объектах Банка (в случае необходимости)
  • Проводится интервью сотрудников проверяемой организации
  • Составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1–2017
  • Оценивается выполнение мер по защите информации ГОСТ Р 57580.1–2017 (с комментариями)
  • Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 (при необходимости, а также Модель угроз)
  • Согласовывается полученный результат
  • Проводится оценка рисков информационной безопасности Банка

Результат и отчетная документация

  • Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018
  • Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия
  • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ
  • Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11

Суть 851-П

Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 851-П действует наравне с другими требованиями ЦБ, в частности:

Важно

851-П обладает более узкой областью применения в сравнении с 821-П

Для того, чтобы разобраться с тем, как адаптироваться к новым реалиям регуляции, необходимо четко разобрать содержание 851-П и выделить главное.

Какая информация должна защищаться по 851-П?

Защита по 851-П

 

  1. Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
  2. Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
  3. Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
  4. Распоряжения пользователей платформы цифрового рубля – информация, о выполняемых клиентами действий на платформе цифрового рубля.
  5. Информация об осуществленных банковских операциях

 

    Нужна консультация?

    На кого распространяются требования 851-П Банка России?

    851-П: русские и иностранные банки

     

    Все без исключения кредитные организации разделены на 3 группы:

    1. Российские системно значимые кредитные организации; кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем; кредитные организации, значимые на рынке платежных услуг
    2. Российские кредитные организации
    3. Филиалы иностранных банков

    Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017.

    При этом первая группа (системно значимые банки и пр.) должна реализовывать усиленный уровень защиты информации, вторая группа должна реализовывать стандартный, а третья до 31 октября 2026 года – минимальный уровень, а после – стандартный.

    Важно

    Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации

    Помимо проведения оценки соответствия требований ГОСТ Р 575850.1-2017 Положение 851-П также предъявляет к проведению ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.

     

    Подробнее на странице услуги Пентест (анализ уязвимостей).

    Оценка по ГОСТ Р 57580.2 для банков

    Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией.

    В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

    Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный, стандартный или минимальный) не реже одного раза в два года.

    кто привлекается для проведения 851-П

    Когда 851-П вступает в силу?

    Положение вступает в силу с 29 марта 2025 года, однако часть положений содержат отсрочку.

    В частности:

    • Вступит в силу 1 октября 2025 года – дополнительные требования по использованию СКЗИ, требования по обеспечению регистрации аутентификации клиентов, требования по реализации возможности приема заявлений об осуществлении операций без согласия клиентам или с согласия клиента, которые осуществили передачу денег третьим лицам под влиянием обмана или злоупотреблением доверия
    • Вступит в силу 1 января 2027 года – требования по реализации стандартного уровня защиты информации и обеспечении не ниже четвертого уровня соответствия (оценки не ниже 0.85 в рамках каждого из процессов защиты информации и на этапах жизненного цикла автоматизированной системы) для филиалов иностранных банков.

    Почему RTM Group?

    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580.1 .
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по обеспечению соответствия 851-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по обеспечению соответствия 851-П

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по обеспечению соответствия 851-П

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    821-П, 851-П (683-П), 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    FAQ: Часто задаваемые вопросы

    Деньги компенсировать не придется? Для несистемно значимых.

    Если имеется ввиду «может ли невыполнение требований по безопасности привести к судебным обязательствам по возмещению денежных средств», то здесь уже вопрос судебной практики. В общем случае ответственность за невыполнение обязанностей по защите, повлекшее ущерб, лежит на банке. Соответствующие расходы также придется возмещать. Ранее была практика перекладывания всей ответственности на клиента, например, при разглашении push-кодов или заражении вредоносным кодом. Судебной практики по новому порядку защиты еще нет. На данный момент на клиента переложена ответственность за разглашение пуш-кодов, скачивание вредоносных программ, т. к. по этим пунктам банк обязан только «доводить до сведения клиентов информацию». Предварительно ведется сценарий, что если мошенники украдут сим-карту, переставят ее в другой телефон и получат пуш на смену пароля без подтверждения принадлежности сим-карты клиенту, то данный сценарий уже является несоблюдением мер безопасности (уязвимостью в безопасности) самим банком, т. е. невыполнением пункта 851-п, т. е. уже не туманным недостатком антифрода, а прямым невыполнением мер — при таком рассуждении риски неудачных судебных разбирательств, действительно, стали выше. В любом случае — это вопрос юридической практики.

    Теперь раз в 2 года необходимо проходить не только оценку по ГОСТу 57580, но и оценку выполнения требований 851-п?

    Не всего 851-п, а только ряда технологических мер. Необходимо было проходить и раньше (каждый раз перед заполнением формы 0409071), но этого никто не делал. Предполагаем, что именно поэтому и появился этот пункт.

    п.5.2.1. Абонентский номер (номер мобильного телефона оператора связи) и идентификационный номер модуля устройства — это разные категории. Какой из них или оба должен отслеживать ОПДС?

    Если вы предоставляете клиентам мобильное приложение, вы должны отслеживать изменение модуля. Если вы заметили изменение, вам нельзя доверять номеру телефона клиента, пока он не подтвердит владение им (т. е. нельзя далее проводить по нему идентификацию/аутентификацию). Оба должны.

    К каждому слоту сим-карты привязан свой IMEI, придется проверять, если действующий клиент переставил симку в другой слот?

    Да. С точки зрения zero-trust это событие аналогично воровству (подделке) сим-карты, которую вставили в новое устройство (соответственно, с новым модулем).

    Про карточные данные. Преобразованные это что? Токены? «Кредитные организации должны обеспечить возможность приема заявлений физических лиц о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.»

    Да, токены. Конкретизация случаев регистрации ПДСБСК именно по таким сценариям.

    Контролировать смену IMSI банки обязаны у всех клиентов, без оговорок?

    Если вы предоставляете клиентам мобильное приложение, вы должны отслеживать изменение идентификационного модуля устройства клиента. Если вы заметили изменение, вам нельзя доверять номеру телефона клиента, пока он не подтвердит владение им (т. е. нельзя далее проводить по нему идентификацию/аутентификацию).

    В чем разница по ОУД4 между требованиями 683-п и 851-п. По факту как было, так и осталось. За исключением явного требования повторной оценки при изменении ПО. Больше нет различий?

    Да.

    Насколько адекватно требование 851-П по необходимости использования сертифицированного УЦ с УНЭП, если 63-ФЗ допускает использование УНЭП вообще без сертификата? Вроде же требования любого Положений ЦБ не должны противоречить федеральным законам?

    Действительно, согласно статьи 5 63-ФЗ, допускается использование УНЭП без сертификата ключа проверки электронной подписи, если признаков подписи достаточно без применения сертификата. Однако, согласно ч.2 статьи 6 63-ФЗ УНЭП признается равнозначной собственноручной подписи в случаях, установленных не только федеральными законами, но и нормативными правовыми актами Банка Росии. В этой связи требования 851-П однозначно трактуют, что для УНЭП необходимо применять сертифицированные СКЗИ в сочетании с УЦ, что говорит о необходимость применения сертификатов. В случае УКЭП условие применение сертификатов, выпущенных аккредитованным УЦ, обязательно.

    Как проходить ОУД 4, если изменения в исходный код вносятся каждый день? Вы сказали «если затрагивают функции безопасности»? Банк сам определяет, что затрагивает функции безопасности?

    Функции безопасности прописаны в технической документации на программное обеспечение. Контроль изменения остается на разработчике и пользователе.

    Можно ли руководствоваться письмом ИН-17-56/48 в рамках замены 683-П? В ИН-017-56/48 сказано, что «Необходимость проведения первой оценки соответствия защиты информации определяется с учетом даты вступления в силу требования нормативного акта Банка России, в котором необходимость проведения такой оценки установлена впервые (для кредитных организаций, созданных ранее такой даты вступления в силу). В случае издания нормативного акта Банка России, устанавливающего требования к проведению оценки соответствия защиты информации, в том числе по причине изменения субъектного состава, в новой редакции, период проведения последующей оценки соответствия защиты информации для кредитных организаций, функционировавших в период действия отмененного нормативного акта Банка России, не изменяется и <...>».

    Да, подход, описанный в письме № ИН-017-56/48, используется при всех изменениях положений ЦБ. Если вы проводили оценку по 683-п, то вы ожидаете следующей итерации аудита и делаете его по 851-п.

    Подскажите, является ли факт того, что конкретный человек является клиентом Банка — банковской тайной?

    Да.

    Как вы считаете, информационные сообщения в СПФС, СМЭВ, SWIFT и пр. входят в скоуп 851-п?

    Нет.

    АСка (АС 1 АБС), которая взаимодействует с АС (АС 2 ДБО), эксплуатируемой на участке приема ЭС через сеть Интернет, по-прежнему нет обязательного требования к оценке или сертификации?

    Согласно 851-п требования по безопасности ПО (в частности, определение ОУД) проводится для «программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»». Если ваша система не относится к этому участку, то она не подпадает под это требование. Для определения принадлежности можете дополнительно обратиться к 821-п, там есть, хоть и не относящаяся к 851-п, но более глубокая детализация модели разбиения на технологические участки.

    П. 10 — верно понимаю, что с 01.10 эквайреры должны принимать заявление от третьего лица, если пополнение произошло в устройстве этого эквайрера? И неважно, кто эмитент карты получателя средств.

    Пункт 10 гласит «системно значимые кредитные организации … должны обеспечить возможность использования мобильной версии приложения для приема заявлений клиентов — физических лиц», в т. ч. По случаям, описанным в абз.3 п.10.

    У оценки ГОСТа есть пороговые значения, а у 12-мр нет. Как понять, прошли мы оценку 12-мр или нет, если итоговые значения оценки меньше 1?

    Формально нет требований по уровню числовой оценки для этих значений. ДИБ ЦБ производит мониторинг показателей из формы 0409071 в индивидуальном режиме. Какие и как они делают из этих цифр выводы — вопрос без ответа. Крайне вероятно, что последующие проверки ЦБ будут дополнительно включать запрос по части расчета этих значений.

    Насчет того, что «…кредитные организации, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра…». Может ли банк использовать самоподписанные сертификаты? Чтобы вообще уйти от требований к средствам удостоверяющего центра.

    Вам не надо получать аккредитацию как УЦ, нужно использовать сертифицированные (соответствующие требованиям ФСБ) СКЗИ (в т. ч. Реализующие функции УЦ).

    В чем конкретно разница по сравнению с 683-П? УКЭП или УНЭП или СКЗИ + имитозащита были в 683-П.

    Конкретизировалось требование о том, что, если есть криптография, она должна быть реализована с помощью сертифицированных решений-средств УЦ/УНЭП. Это идет в разрез с практикой использования самописных криптомодулей в АС.

    Для несистемно значимых и незначимых банков нужно проводить ОУД4 тоже или нужно проходить теперь ОУД5?

    В пункте требований, о котором вопрос, упомянуты несколько вариантов сертификации: ОУД по соответствующему ГОСТ и оценка уровня доверия по 76 приказу ФСТЭК. ОУД все еще по 4 уровню.

    По всем существующим несовершеннолетним клиентам необходимо до 29.03 получить телефоны законных представителей и настроить отправку уведомлений?

    Согласно содержанию 851-п, уведомление направляется в случаях, предусмотренных договором об использовании электронного средства платежа. Требование новое, вероятно, ЦБ даст разъяснения в будущих МР или указаниях. Оповещение, согласно 851-п, должно отправляться по умолчанию, но только в части прописанных случаев. Вероятно, планировался алгоритм, что при открытии счета, несовершеннолетний (по закону) получает карту/счет только с согласия родителей, которые в момент дачи согласия выбирают перечень операций о которых им будут сообщать. Рекомендуем сначала определить перечень событий, о которых будет сообщаться представителям несовершеннолетнего. Технически пока видится реализация только через дублирование сообщений о переводах через СМС или в банк-клиенте.

    П.4.1. в 683-П: по ОУД4 необходимо оценивать ПО для совершения банковских операций, а также ПО, обрабатывающего защищаемую информацию. В чем разница?

    Это скорее уточнение для более корректного определения перечня ПО, подпадающего под требование. Банковские операции содержат защищаемую информацию.

    Данные изменения могут ли влиять на НФО? Если да, то каким образом?

    Возможны косвенные изменения при взаимодействии с банками в части предоставляемых услуг и порядка использования ПО.

    Что понимается под переводом ДС с использованием преобразованных ДПК? (п.10 абзац 3)

    Случаи ПДСБСК, где фигурируют токенизированные данные (перевод в банковском приложении, в электронном виде и т. д.).

    Что вы думаете про использование сертифицированных средств ЭП и сертифицированных средств Удостоверяющего центра для УНЭП / УКЭП при условии, что 63-ФЗ для УНЭП позволяет не применять сертификаты ключей?

    Действительно, согласно статье 5 63-ФЗ, допускается использование УНЭП без сертификата ключа проверки электронной подписи, если признаков подписи достаточно без применения сертификата. Однако, согласно ч.2 статьи 6 63-ФЗ УНЭП признается равнозначной собственноручной подписи в случаях, установленных не только федеральными законами, но и нормативными правовыми актами Банка России. В этой связи требования 851-П однозначно трактуют, что для УНЭП необходимо применять сертифицированные СКЗИ в сочетании с УЦ, что говорит о необходимость применения сертификатов. В случае УКЭП условие применение сертификатов, выпущенных аккредитованным УЦ, обязательно.

    Нужно ли для УНЭП разворачивать в банке сертифицированный УЦ?

    Да, средства удостоверяющего центра должны иметь подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом «ш» части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ «О федеральной службе безопасности. Сертификат соответствия ФСБ России на средства удостоверяющего центра является таким подтверждением.

    По поводу «облака»: если есть сторонний PaaS-провайдер Облако которого использует банк для защиты своих веб-ресурсов от кибер-атак, и PaaS-провайдер сертифицировал Облако по ГОСТ Р 57580-1 (ну и естественно проводит регулярную переоценку в положенный период времени), нужно ли теперь этому PaaS-провайдеру проводить также сертификацию и по 851-П? Что про это говорит ЦБ?

    Общая практика — поменять нормативные ссылки при ближайшем плановом аудите, при условии, что вводные для компании не сильно поменялись (в части области оценки). В данном случае необходимо рассмотреть, какую платформу предоставляет провайдер. Если требования для нее не изменились, то изменение ссылки по 851-п — это формальность.

    Нужно ли для оценки ПО привлекать лицензиата?

    Привлекать внешнюю компанию для оценки соответствия не требуется, но не запрещается.

    Проходим Аудит ГОСТ, завершается 01.04. Корректно ли указывать в 071 отчете 683-П?

    Если для вас требования 683-п были актуальны и до этого, то рекомендуем, по возможности, изменить нормативные ссылки в документах (договор с аудитором), рассмотреть возникшие изменения и закончить работы со ссылками на новое положение (в отчете). Если автоматизированные формы подготовки отчетности уже поддерживают новые положения — оформляйте по ним. Если изменение ссылок невозможно, рекомендуем оформить в соответствии с отчетом аудитора, т. е. 683-п

    Повторное проведение ОУД-4 необходимо только в случае, если изменения исходного кода затрагивают функции безопасности?

    Только при изменении функций безопасности.

    Если прошел оценку по 683-П в прошлом году, надо ли проходить в этом внешнюю оценку по 851-П?

    Подход, описанный в письме № ИН-017-56/48, используется при всех изменениях положений ЦБ. Если вы проводили оценку по 683-п, то вы ожидаете следующей итерации аудита и делаете его по 851-п.

    В п.4.1 определяется для какого ПО нужна оценка оуд4. Что понимается под отдельным ПО?

    Программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет». Имеется ввиду, что под формулировку может подпадать любое ПО, а не только комплексные решения по типу АБС

    Просьба пояснить, во второй половине этого года планировался плановый аудит по 683-П. Нужно ли проходить в этом году аудит по 851-П?

    Если аудит уже планировался, придется изменить ТЗ и нормативные ссылки. Если вопрос в периодичности, можете считать, что просто изменился номер, а работы продолжаются с тем же темпом и периодичностью.

    Нужна ли сертификация мобильного приложения, в котором есть функционал по формированию QR-кодов для оплаты?

    Нет.

    В случае, если ЕБС используется для осуществления переводов ДС, оно относится к ОУД-4 или к какому ОУД будет относиться?

    «Программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет».» Имеется ввиду, что под формулировку может подпадать любое ПО, а не только комплексные решения по типу АБС. В случае, если ЕБС для осуществления переводов ДС через Интернет, то ОУД4 необходим АБС.

    Нужно ли проводить в банке оценку ОУД4 для ПО, в отношении которого разработчик уже провел соответствующую оценку?

    Повторная оценка ПО не имеет смысла, потому что требование уже исполняется. Если вы обнаружили, что сертификат на ПО не действителен, то именно Банк обязан обеспечить выполнение этого требования (организовать сертификацию, заставить разработчика провести сертификацию, перейти на ПО, соответствующее требованиям). Переоценка нужна в том случае, если вносились изменения в исходный текст, и затрагивались функции безопасности.

    Различие в чем между защитой Банковской тайны и Персональных данных?

    Это два разных нормативных поля со своими требованиями. В некоторых местах они пересекаются в части содержания требований, но в большинстве случаев имеют различное содержание. Сведения о клиентах не всегда могут быть ПДн, т. к. может заменяться кодом, номером идентификатора, счета и т. д. Это будет относиться к Банковской тайне. Но не к ПДн.

    АСка, которая взаимодействует с АС, эксплуатируемой на участке приема ЭС через сеть Интернет, по-прежнему нет обязательного требования к оценке или сертификации?

    Согласно 851-п требования по безопасности ПО (в частности, определение ОУД) проводится для «программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»». Если ваша система не относится к этому участку, то она не подпадает под это требование. Для определения принадлежности можете дополнительно обратиться к 821-п, там есть, хоть и не относящаяся к 851-п, но более глубокая детализация модели разбиения на технологические участки.

    Сейчас в Банка проходит оценка соответствия по ГОСТ Р.57580. Дата отчета по оценке соответствия будет 01.04.2025. Вопрос: в итоговых отчетах какое положение указывать: 683-П или 851-П? Такой же вопрос по сдаче формы 0409071. Данную форму необходимо сдать в апреле 2025, чтобы не нарушить двухлетний срок сдачи формы 0409071.

    В отчете по ГОСТ 57580.1 указывается положение, указанное в договоре на проведение работ. В отчетности вы можете указать новый номер, если области оценки по 683-п и 851-п для вас совпадают. Вы также можете скорректировать договор об оказании услуг, изменив нормативную ссылку — область применения ГОСТ 57580.1 не изменилась

    Кредитная организация предоставляет B2B услугу, позволяющую клиентам партнёра получать и возвращать денежные средства с использованием нашего кошелька. От партнёра — оболочка (приложение), от нас реализация сервиса. То ест клиенты партнёра имеют доступ к кошельку партнера только в интерфейсах партнера. «Дорегистрация» кошелька партнера до полноценного кошелька кредитной организации не происходит. То есть если кошелек открыт партнером, он навсегда останется партнерским с условиями партнера (иначе Banking as a Service). Должны ли в данном случае партнеры тоже соответствовать требованию? На ком ответственность за выполнение требований к моб.приложению — на нас или на партнере?

    В общем случае работает классический подход к обеспечению защиты: у обоих компаний может быть статус в рамках платежной инфраструктуры, каждый выполняет свои обязательства. В данном случае необходимо провести четкие границы ответственности именно за инфраструктуру. В общем случае банк ответственен за соблюдение всех требований, т. е. он должен выдвигать вам требования и выбирать ПО, подходящее по требованиям. Однако необходимо изучить реальный статус вашей компании в рамках национальной платежной системы — по другим нормативным источникам могут возникнуть обязательства.

    Про 5.2.6 — это просто стандартная проверка ФМ? Как трактовать в рамках 115-ФЗ, что именно проверять?

    Проверка лица, осуществляющего ПДС по 115-ФЗ. Цель — определить, что лицо, осуществляющее платеж, это на самом деле заявленный клиент. Требование частично пересекается с требованием по подтверждению лица, формирующего электронные сообщения.

    Проведение аудита по 12-МР теперь обязательно и нужно проводить раз в два года по технологическим мерам 802-П, 821-П, 833-П, 851-П?

    Фактически, его и ранее надо было проводить (хоть в каком-то виде), чтобы посчитать показатели 1 и 2 раздела формы отчетности 0409071, сейчас это отдельно закрепили. В остальном да, раз в 2 года пересчитывать показатели по 3-мр (12-мр)

    В требовании 5.2.1 говорится, что в случае выявления факта изменения сим-карты клиента кредитная организация не вправе осуществлять аутентификацию и авторизацию клиента с номера. Для выполнения этого требования достаточно ли разлогинить клиента и попросить залогиниться снова с паролем, в т. ч. токенизированным в приложении?

    Пункт 5.2.1 гласит, что при смене идентификатора устройства (модуля) банк не должен производить идентификацию/аутентификацию по номеру, пока клиент не подтвердит принадлежность через алгоритм, не завязанный (не использующий) на сим-карте (номере). Формально, предложенный способ не противоречит требованию данного пункта требований, если в технология аутентификации не использует номер телефона (подтверждение по номеру телефона). Практическая защищенность под вопросом, но от сценариев кражи сим-карты спасает.

    Проводили аудит на соответствие требованиям 683-П в прошлом году. Когда надо теперь проводить аудит по 851-П?

    Общая практика — посмотреть, расширился ли перечень систем, подпадающих под требования по защите по ГОСТ 57580.1. Если нет, то ожидайте планового аудита. Если да, то формально необходимо проводить аудит. Его, конечно, можно затянуть по причине «приведения всего в соответствие».

    Подскажите по поводу данного требования: «при использовании усиленной неквалифицированной электронной подписи в целях обеспечения целостности электронных сообщений кредитные организации, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом «ш» части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ «О федеральной службе безопасности» (далее — требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности).» Это означает, что нужно будет с 01.10.2025 использовать УНЭП, созданную по ГОСТу?

    *созданную с помощью сертифицированных решений (СКЗИ). А уже порядок сертификации включает рассмотрение обязательной поддержки отечественных алгоритмов формирования и проверки ЭП.

    Надо ли проходить оценку по ГОСТ 57580 заново, если уже сделали в прошлом году?

    Общая практика: посмотреть, расширился ли перечень систем, подпадающих под требования по защите по ГОСТ 57580.1. Если нет — ожидайте планового аудита. Если да, то формально необходимо проводить аудит. Его, конечно, можно затянуть по причине «приведения всего в соответствие».

    Уведомление законных представителей несовершеннолетних о предоставлении ЭСП и совершенные операции должно быть по умолчанию или по запросу?

    Согласно формулировке 851-п, уведомление направляется в случаях, предусмотренных договором об использовании электронного средства платежа. Требование новое, вероятно, ЦБ даст разъяснения в будущих МР или указаниях. Оповещение, согласно 851-п, должно отправляться по умолчанию, но только в части прописанных случаев. Вероятно, планировался алгоритм, что при открытии счета, несовершеннолетний (по закону) получает карту/счет только с согласия родителей, которые в момент дачи согласия выбирают перечень операций, о которых им будут сообщать.

    Регистрация даты и время начала и окончания сессии на транспортном уровне — TCP? Как еще реализовывать?

    Да. Регистрации подлежит сессия доступа (действия) на транспортном уровне. Альтернативных вариантов подсказать не можем.

    Изменения IMSI (SIM-карты). Как клиенту подтверждать его номер, для этого нужно обращаться в офис Банка? Или какие способы могут быть?

    Через госуслуги, при личном обращении или через УКЭП/УНЭП, через почту. Главное — исключить номер телефона из цепочки подтверждения нового номера.

    О каком конкретно ПО идет речь в части про ОУД: «программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»»?

    Программное обеспечение на стороне Банка, которое выполняет функции получения электронного сообщения о совершении операции, которое пришло извне через Интернет. В частности — часть ДБО на стороне Банка, принимающая сообщения от клиентской части