851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков

Центральный Банк утвердил новое положение №851-П от 30 января 2025 г., которое вступает в силу с 29 марта 2025 года и полностью заменяет  683-П.

Работы в рамках 851-П:

  • Обеспечение соответствия ГОСТ Р 57580.1-2017
  • Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018
  • Обеспечение соответствия основной части 851-П
  • Разработка организационно-распорядительной документации для соответствия 851-П и ГОСТ Р 57580.1-2017

Вы получаете:

Помимо оценки соответствия, мы окажем консультативную поддержку Банку в части приведения системы информационной безопасности в соответствие с требованиями стандарта.

Почему мы:

Мы имеем обширный опыт проведения работ в рамках основополагающих положений ЦБ по защите информации в финансовом секторе, а также опыт проведения аудитов по всем требованиям 851-П.

Важно:

Оценка соответствия по ГОСТ Р 57580 проводится один раз в два года.

851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков - услуги RTM Group
851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков - от RTM Group
Узнать стоимость?

Эксперты по обеспечению соответствия 851-П

Эксперт по обеспечению соответствия 851-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 851-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 851-П Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по обеспечению соответствия 851-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Положение № 851-П ЦБ РФ

Положение № 851-П Банка России от 30.01.2025 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков, включая филиалы иностранных банков, осуществляющих деятельность на территории Российской Федерации.

Полное название документа:

Положение об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории российской федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

Аудит соответствия общим требованиям 851-П

Цель проведения работ

В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1-2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации, свидетельств и интервью, либо очно на территории заказчика.

Аудит соответствия системы защиты информации, в соответствии с требованиями положения 851-П, включает в себя анализ выполнения следующих требований к обеспечению защиты информации:

  1. п.1 — требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
  2. п.5. — требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации;
  3. п.6. — требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005, Пр. ФСБ № 378);
  4. п.7. — доведение до клиентов рекомендаций по защите информации от воздействия вредоносного кода;
  5. п.12. — требования к обеспечению защиты информации, применяемые в отношении регистрации инцидентов информационной безопасности;
  6. п.13 — требования к обеспечению защиты информации по порядку проведения оценки соответствия уровню защиты информации.

В ходе аудита проводятся следующие работы:

  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
  • Анализируется организационно-распорядительная документация
  • Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации
  • Проводится интервью с сотрудниками проверяемой организации
  • Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости)
  • Оценивается соответствие проверяемой организации пунктам требований руководящих документов
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 851-П
  • Проводится проверка устранения обнаруженных несоответствий
  • Повторно проводится аудит соответствия требований Положения 851-П к системе обеспечения информационной безопасности
  • Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности

Результат и отчетная документация

  • Отчет о проведенных работах по общим требованиям 851-П (без учета ОУД4)
  • Обоснование и рекомендации по повышению уровня соответствия

Оценка соответствия по ГОСТ Р 57580

Цель проведения работ

В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1–2017.

Формат проведения работ

Работы по обследованию проводятся дистанционно на основании документации, собранных свидетельств и интервью.

В ходе оценки проводятся следующие работы:

  • Определяется область оценки (перечень ИС, объектов доступа, персонала)
  • Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
  • Анализируется организационно-распорядительная документация
  • Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения
  • Проводится визуальное наблюдение на объектах Банка (в случае необходимости)
  • Проводится интервью сотрудников проверяемой организации
  • Составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1–2017
  • Оценивается выполнение мер по защите информации ГОСТ Р 57580.1–2017 (с комментариями)
  • Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»
  • Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 (при необходимости, а также Модель угроз)
  • Согласовывается полученный результат
  • Проводится оценка рисков информационной безопасности Банка

Результат и отчетная документация

  • Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018
  • Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия
  • Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ
  • Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11

Суть 851-П

Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 851-П действует наравне с другими требованиями ЦБ, в частности:

Важно

851-П обладает более узкой областью применения в сравнении с 821-П

Для того, чтобы разобраться с тем, как адаптироваться к новым реалиям регуляции, необходимо четко разобрать содержание 851-П и выделить главное.

Какая информация должна защищаться по 851-П?

Защита по 851-П

 

  1. Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
  2. Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
  3. Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
  4. Распоряжения пользователей платформы цифрового рубля – информация, о выполняемых клиентами действий на платформе цифрового рубля.
  5. Информация об осуществленных банковских операциях

 

    Нужна консультация?

    На кого распространяются требования 851-П Банка России?

    851-П: русские и иностранные банки

     

    Все без исключения кредитные организации разделены на 3 группы:

    1. Российские системно значимые кредитные организации; кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем; кредитные организации, значимые на рынке платежных услуг
    2. Российские кредитные организации
    3. Филиалы иностранных банков

    Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017.

    При этом первая группа (системно значимые банки и пр.) должна реализовывать усиленный уровень защиты информации, вторая группа должна реализовывать стандартный, а третья до 31 октября 2026 года – минимальный уровень, а после – стандартный.

    Важно

    Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации

    Помимо проведения оценки соответствия требований ГОСТ Р 575850.1-2017 Положение 851-П также предъявляет к проведению ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.

     

    Подробнее на странице услуги Пентест (анализ уязвимостей).

    Оценка по ГОСТ Р 57580.2 для банков

    Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией.

    В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).

    Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный, стандартный или минимальный) не реже одного раза в два года.

    кто привлекается для проведения 851-П

    Когда 851-П вступает в силу?

    Положение вступает в силу с 29 марта 2025 года, однако часть положений содержат отсрочку.

    В частности:

    • Вступит в силу 1 октября 2025 года – дополнительные требования по использованию СКЗИ, требования по обеспечению регистрации аутентификации клиентов, требования по реализации возможности приема заявлений об осуществлении операций без согласия клиентам или с согласия клиента, которые осуществили передачу денег третьим лицам под влиянием обмана или злоупотреблением доверия
    • Вступит в силу 1 января 2027 года – требования по реализации стандартного уровня защиты информации и обеспечении не ниже четвертого уровня соответствия (оценки не ниже 0.85 в рамках каждого из процессов защиты информации и на этапах жизненного цикла автоматизированной системы) для филиалов иностранных банков.

    Почему RTM Group?

    • Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580.1 .
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по обеспечению соответствия 851-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по обеспечению соответствия 851-П

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по обеспечению соответствия 851-П

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    821-П, 851-П (683-П), 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    FAQ: Часто задаваемые вопросы