851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков
Запросить стоимость на услуги по обеспечению соответствия 851-П
Центральный Банк утвердил новое положение №851-П от 30 января 2025 г., которое вступает в силу с 29 марта 2025 года и полностью заменяет 683-П.
Работы в рамках 851-П:
Обеспечение соответствия ГОСТ Р 57580.1-2017
Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018
Обеспечение соответствия основной части 851-П
Разработка организационно-распорядительной документации для соответствия 851-П и ГОСТ Р 57580.1-2017
Вы получаете:
Помимо оценки соответствия, мы окажем консультативную поддержку Банку в части приведения системы информационной безопасности в соответствие с требованиями стандарта.
Почему мы:
Мы имеем обширный опыт проведения работ в рамках основополагающих положений ЦБ по защите информации в финансовом секторе, а также опыт проведения аудитов по всем требованиям 851-П.
Важно:
Оценка соответствия по ГОСТ Р 57580 проводится один раз в два года.
Задать вопрос эксперту: Царев Евгений ОлеговичВсе эксперты
Положение № 851-П ЦБ РФ
Положение № 851-П Банка России от 30.01.2025 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков, включая филиалы иностранных банков, осуществляющих деятельность на территории Российской Федерации.
В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1-2017.
Формат проведения работ
Работы по обследованию проводятся дистанционно на основании документации, свидетельств и интервью, либо очно на территории заказчика.
Аудит соответствия системы защиты информации, в соответствии с требованиями положения 851-П, включает в себя анализ выполнения следующих требований к обеспечению защиты информации:
п.1 — требования к обеспечению защиты информации, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования;
п.5. — требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации;
п.6. — требования к обеспечению защиты информации с помощью СКЗИ (ПКЗ-2005, Пр. ФСБ № 378);
п.7. — доведение до клиентов рекомендаций по защите информации от воздействия вредоносного кода;
п.12. — требования к обеспечению защиты информации, применяемые в отношении регистрации инцидентов информационной безопасности;
п.13 — требования к обеспечению защиты информации по порядку проведения оценки соответствия уровню защиты информации.
В ходе аудита проводятся следующие работы:
Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
Анализируются настройки прикладного и системного программного обеспечения, средств антивирусной защиты, средств криптографической защиты информации
Проводится интервью с сотрудниками проверяемой организации
Проводится визуальное наблюдение на объектах проверяемой организации (при необходимости)
Оценивается соответствие проверяемой организации пунктам требований руководящих документов
Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 на основании общих требований 851-П
Проводится проверка устранения обнаруженных несоответствий
Повторно проводится аудит соответствия требований Положения 851-П к системе обеспечения информационной безопасности
Согласовывается предварительный отчет с результатами аудита, выводами о соответствии требованиям Положения к системе обеспечения информационной безопасности
Результат и отчетная документация
Отчет о проведенных работах по общим требованиям 851-П (без учета ОУД4)
Обоснование и рекомендации по повышению уровня соответствия
Оценка соответствия по ГОСТ Р 57580
Цель проведения работ
В соответствии с п. 3.1 Положения 851-П защита информации, связанной с проведением банковских операций, должна быть реализована в соответствии с требованиями ГОСТ Р 57580.1–2017.
Формат проведения работ
Работы по обследованию проводятся дистанционно на основании документации, собранных свидетельств и интервью.
В ходе оценки проводятся следующие работы:
Определяется область оценки (перечень ИС, объектов доступа, персонала)
Осуществляется сбор свидетельств (документы, технические данные и пр.), которые необходимы для оценки мер, процессов и направлений
Анализируются настройки сетевого, телекоммуникационного оборудования, программного обеспечения, средств защиты информации (систем DLP, SIEM, PROXY, межсетевых экранов), автоматизированных систем, прикладного программного обеспечения
Проводится визуальное наблюдение на объектах Банка (в случае необходимости)
Проводится интервью сотрудников проверяемой организации
Составляется перечень применимых мер по защите информации по ГОСТ Р 57580.1–2017
Оценивается выполнение мер по защите информации ГОСТ Р 57580.1–2017 (с комментариями)
Рассчитывается числовое значение итоговой оценки соответствия по методике ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»
Разработка организационно-распорядительной документации для повышения уровня соответствия ГОСТ Р 57580.1-2017 (при необходимости, а также Модель угроз)
Согласовывается полученный результат
Проводится оценка рисков информационной безопасности Банка
Результат и отчетная документация
Отчет, составленный в строгом соответствии п. 8 ГОСТ Р 57580.2-2018
Рекомендации по снижению рисков информационной безопасности и повышению уровня соответствия
Опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ
Опись машинных носителей информации, а также результатов вычисления по каждому из них хэш-функции, реализованной в соответствии с ГОСТ Р 34.11
Суть 851-П
Положение становится ключевым элементом регулирования информационной безопасности и защиты информации в банковских организациях со стороны Банка России. 851-П действует наравне с другими требованиями ЦБ, в частности:
851-П обладает более узкой областью применения в сравнении с 821-П
Для того, чтобы разобраться с тем, как адаптироваться к новым реалиям регуляции, необходимо четко разобрать содержание 851-П и выделить главное.
Какая информация должна защищаться по 851-П?
Электронные сообщения, содержащиеся в документах, составленных при осуществлении банковских операций в электронном виде, формируемые работниками кредитных организаций и (или) клиентами кредитных организаций
Криптографические ключи, ключевая информация средств криптографической защиты информации, используемой при осуществлении банковских операций
Авторизационная информация, необходимая для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами
Распоряжения пользователей платформы цифрового рубля – информация, о выполняемых клиентами действий на платформе цифрового рубля.
Информация об осуществленных банковских операциях
На кого распространяются требования 851-П Банка России?
Все без исключения кредитные организации разделены на 3 группы:
Российские системно значимые кредитные организации; кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем; кредитные организации, значимые на рынке платежных услуг
Российские кредитные организации
Филиалы иностранных банков
Все банки должны обеспечить соответствие ГОСТ Р 57580.1-2017.
При этом первая группа (системно значимые банки и пр.) должна реализовывать усиленный уровень защиты информации, вторая группа должна реализовывать стандартный, а третья до 31 октября 2026 года – минимальный уровень, а после – стандартный.
Важно
Реализация усиленного уровня защиты информации в соответствии с ГОСТом 57580.1 значительно более трудоемкий процесс в сравнении со стандартным уровнем защиты информации
Помимо проведения оценки соответствия требований ГОСТ Р 575850.1-2017 Положение 851-П также предъявляет к проведению ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.
Ключевым элементом всей конструкции является обязательность проведения внешней оценки соответствия (аудита) сторонней организацией.
В качестве внешней организации необходимо привлекать лицензиата ФСТЭК России (пункты б, д, е лицензии на техническую защиту конфиденциальной информации).
Все банки должны проводить оценку соответствия по ГОСТ Р 57580.2-2018 вне зависимости от уровня защиты информации (усиленный, стандартный или минимальный) не реже одного раза в два года.
Когда 851-П вступает в силу?
Положение вступает в силу с 29 марта 2025 года, однако часть положений содержат отсрочку.
В частности:
Вступит в силу 1 октября 2025 года – дополнительные требования по использованию СКЗИ, требования по обеспечению регистрации аутентификации клиентов, требования по реализации возможности приема заявлений об осуществлении операций без согласия клиентам или с согласия клиента, которые осуществили передачу денег третьим лицам под влиянием обмана или злоупотреблением доверия
Вступит в силу 1 января 2027 года – требования по реализации стандартного уровня защиты информации и обеспечении не ниже четвертого уровня соответствия (оценки не ниже 0.85 в рамках каждого из процессов защиты информации и на этапах жизненного цикла автоматизированной системы) для филиалов иностранных банков.
Почему RTM Group?
Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 авторами профессиональных курсов по банковской безопасности, включая ГОСТ Р 57580.1 .
Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности и количества объектов)
Мы обладаем лицензиями:
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСБ России на работу со средствами криптозащиты
Заказать услуги по обеспечению соответствия 851-П
Для уточнения стоимости и сроков звоните или пишите нам:
RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций
В списке SWIFT Directory of CSP assessment providers
В реестре надежных партнеров торгово-промышленной палаты Российской Федерации
Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)
Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика
Сайт RTM Group входит в тройку лучших юридических сайтов России
В составе ТК №122
Цены на услуги по обеспечению соответствия 851-П
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наименование услуги
Стоимость
Консультация
Бесплатно
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наши преимущества
2800+ аудитов и экспертиз
Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз
100% удовлетворенность заказчиков
Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"
821-П, 851-П (683-П), 757-П, 802-П, Пентест, ОУД4 и пр.
Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка
Деньги компенсировать не придется? Для несистемно значимых.
Виктория
Если имеется ввиду «может ли невыполнение требований по безопасности привести к судебным обязательствам по возмещению денежных средств», то здесь уже вопрос судебной практики. В общем случае ответственность за невыполнение обязанностей по защите, повлекшее ущерб, лежит на банке. Соответствующие расходы также придется возмещать. Ранее была практика перекладывания всей ответственности на клиента, например, при разглашении push-кодов или заражении вредоносным кодом. Судебной практики по новому порядку защиты еще нет. На данный момент на клиента переложена ответственность за разглашение пуш-кодов, скачивание вредоносных программ, т. к. по этим пунктам банк обязан только «доводить до сведения клиентов информацию». Предварительно ведется сценарий, что если мошенники украдут сим-карту, переставят ее в другой телефон и получат пуш на смену пароля без подтверждения принадлежности сим-карты клиенту, то данный сценарий уже является несоблюдением мер безопасности (уязвимостью в безопасности) самим банком, т. е. невыполнением пункта 851-п, т. е. уже не туманным недостатком антифрода, а прямым невыполнением мер — при таком рассуждении риски неудачных судебных разбирательств, действительно, стали выше. В любом случае — это вопрос юридической практики.
Кобец Дмитрий Андреевич
25.03.2025
Теперь раз в 2 года необходимо проходить не только оценку по ГОСТу 57580, но и оценку выполнения требований 851-п?
Андрей
Не всего 851-п, а только ряда технологических мер. Необходимо было проходить и раньше (каждый раз перед заполнением формы 0409071), но этого никто не делал. Предполагаем, что именно поэтому и появился этот пункт.
Кобец Дмитрий Андреевич
25.03.2025
п.5.2.1. Абонентский номер (номер мобильного телефона оператора связи) и идентификационный номер модуля устройства — это разные категории. Какой из них или оба должен отслеживать ОПДС?
Игорь
Если вы предоставляете клиентам мобильное приложение, вы должны отслеживать изменение модуля. Если вы заметили изменение, вам нельзя доверять номеру телефона клиента, пока он не подтвердит владение им (т. е. нельзя далее проводить по нему идентификацию/аутентификацию). Оба должны.
Кобец Дмитрий Андреевич
25.03.2025
К каждому слоту сим-карты привязан свой IMEI, придется проверять, если действующий клиент переставил симку в другой слот?
Андрей
Да. С точки зрения zero-trust это событие аналогично воровству (подделке) сим-карты, которую вставили в новое устройство (соответственно, с новым модулем).
Кобец Дмитрий Андреевич
25.03.2025
Про карточные данные. Преобразованные это что? Токены? «Кредитные организации должны обеспечить возможность приема заявлений физических лиц о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.»
Сергей
Да, токены. Конкретизация случаев регистрации ПДСБСК именно по таким сценариям.
Кобец Дмитрий Андреевич
25.03.2025
Контролировать смену IMSI банки обязаны у всех клиентов, без оговорок?
Николай
Если вы предоставляете клиентам мобильное приложение, вы должны отслеживать изменение идентификационного модуля устройства клиента. Если вы заметили изменение, вам нельзя доверять номеру телефона клиента, пока он не подтвердит владение им (т. е. нельзя далее проводить по нему идентификацию/аутентификацию).
Кобец Дмитрий Андреевич
25.03.2025
В чем разница по ОУД4 между требованиями 683-п и 851-п. По факту как было, так и осталось. За исключением явного требования повторной оценки при изменении ПО. Больше нет различий?
Алексей
Да.
Кобец Дмитрий Андреевич
25.03.2025
Насколько адекватно требование 851-П по необходимости использования сертифицированного УЦ с УНЭП, если 63-ФЗ допускает использование УНЭП вообще без сертификата? Вроде же требования любого Положений ЦБ не должны противоречить федеральным законам?
Александр
Действительно, согласно статьи 5 63-ФЗ, допускается использование УНЭП без сертификата ключа проверки электронной подписи, если признаков подписи достаточно без применения сертификата. Однако, согласно ч.2 статьи 6 63-ФЗ УНЭП признается равнозначной собственноручной подписи в случаях, установленных не только федеральными законами, но и нормативными правовыми актами Банка Росии. В этой связи требования 851-П однозначно трактуют, что для УНЭП необходимо применять сертифицированные СКЗИ в сочетании с УЦ, что говорит о необходимость применения сертификатов. В случае УКЭП условие применение сертификатов, выпущенных аккредитованным УЦ, обязательно.
Кобец Дмитрий Андреевич
25.03.2025
Как проходить ОУД 4, если изменения в исходный код вносятся каждый день? Вы сказали «если затрагивают функции безопасности»? Банк сам определяет, что затрагивает функции безопасности?
Александра
Функции безопасности прописаны в технической документации на программное обеспечение. Контроль изменения остается на разработчике и пользователе.
Кобец Дмитрий Андреевич
25.03.2025
Можно ли руководствоваться письмом ИН-17-56/48 в рамках замены 683-П? В ИН-017-56/48 сказано, что «Необходимость проведения первой оценки соответствия защиты информации определяется с учетом даты вступления в силу требования нормативного акта Банка России, в котором необходимость проведения такой оценки установлена впервые (для кредитных организаций, созданных ранее такой даты вступления в силу). В случае издания нормативного акта Банка России, устанавливающего требования к проведению оценки соответствия защиты информации, в том числе по причине изменения субъектного состава, в новой редакции, период проведения последующей оценки соответствия защиты информации для кредитных организаций, функционировавших в период действия отмененного нормативного акта Банка России, не изменяется и <...>».
Александр
Да, подход, описанный в письме № ИН-017-56/48, используется при всех изменениях положений ЦБ. Если вы проводили оценку по 683-п, то вы ожидаете следующей итерации аудита и делаете его по 851-п.
Кобец Дмитрий Андреевич
25.03.2025
Подскажите, является ли факт того, что конкретный человек является клиентом Банка — банковской тайной?
Вячеслав
Да.
Кобец Дмитрий Андреевич
25.03.2025
Как вы считаете, информационные сообщения в СПФС, СМЭВ, SWIFT и пр. входят в скоуп 851-п?
Алексей
Нет.
Кобец Дмитрий Андреевич
25.03.2025
АСка (АС 1 АБС), которая взаимодействует с АС (АС 2 ДБО), эксплуатируемой на участке приема ЭС через сеть Интернет, по-прежнему нет обязательного требования к оценке или сертификации?
Николай
Согласно 851-п требования по безопасности ПО (в частности, определение ОУД) проводится для «программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»». Если ваша система не относится к этому участку, то она не подпадает под это требование. Для определения принадлежности можете дополнительно обратиться к 821-п, там есть, хоть и не относящаяся к 851-п, но более глубокая детализация модели разбиения на технологические участки.
Кобец Дмитрий Андреевич
25.03.2025
П. 10 — верно понимаю, что с 01.10 эквайреры должны принимать заявление от третьего лица, если пополнение произошло в устройстве этого эквайрера? И неважно, кто эмитент карты получателя средств.
Екатерина
Пункт 10 гласит «системно значимые кредитные организации … должны обеспечить возможность использования мобильной версии приложения для приема заявлений клиентов — физических лиц», в т. ч. По случаям, описанным в абз.3 п.10.
Кобец Дмитрий Андреевич
25.03.2025
У оценки ГОСТа есть пороговые значения, а у 12-мр нет. Как понять, прошли мы оценку 12-мр или нет, если итоговые значения оценки меньше 1?
Алексей
Формально нет требований по уровню числовой оценки для этих значений. ДИБ ЦБ производит мониторинг показателей из формы 0409071 в индивидуальном режиме. Какие и как они делают из этих цифр выводы — вопрос без ответа. Крайне вероятно, что последующие проверки ЦБ будут дополнительно включать запрос по части расчета этих значений.
Кобец Дмитрий Андреевич
25.03.2025
Насчет того, что «…кредитные организации, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра…». Может ли банк использовать самоподписанные сертификаты? Чтобы вообще уйти от требований к средствам удостоверяющего центра.
Максим
Вам не надо получать аккредитацию как УЦ, нужно использовать сертифицированные (соответствующие требованиям ФСБ) СКЗИ (в т. ч. Реализующие функции УЦ).
Кобец Дмитрий Андреевич
25.03.2025
В чем конкретно разница по сравнению с 683-П? УКЭП или УНЭП или СКЗИ + имитозащита были в 683-П.
Алексей
Конкретизировалось требование о том, что, если есть криптография, она должна быть реализована с помощью сертифицированных решений-средств УЦ/УНЭП. Это идет в разрез с практикой использования самописных криптомодулей в АС.
Кобец Дмитрий Андреевич
25.03.2025
Для несистемно значимых и незначимых банков нужно проводить ОУД4 тоже или нужно проходить теперь ОУД5?
Наталья
В пункте требований, о котором вопрос, упомянуты несколько вариантов сертификации: ОУД по соответствующему ГОСТ и оценка уровня доверия по 76 приказу ФСТЭК. ОУД все еще по 4 уровню.
Кобец Дмитрий Андреевич
25.03.2025
По всем существующим несовершеннолетним клиентам необходимо до 29.03 получить телефоны законных представителей и настроить отправку уведомлений?
Екатерина
Согласно содержанию 851-п, уведомление направляется в случаях, предусмотренных договором об использовании электронного средства платежа. Требование новое, вероятно, ЦБ даст разъяснения в будущих МР или указаниях. Оповещение, согласно 851-п, должно отправляться по умолчанию, но только в части прописанных случаев. Вероятно, планировался алгоритм, что при открытии счета, несовершеннолетний (по закону) получает карту/счет только с согласия родителей, которые в момент дачи согласия выбирают перечень операций о которых им будут сообщать. Рекомендуем сначала определить перечень событий, о которых будет сообщаться представителям несовершеннолетнего. Технически пока видится реализация только через дублирование сообщений о переводах через СМС или в банк-клиенте.
Кобец Дмитрий Андреевич
25.03.2025
П.4.1. в 683-П: по ОУД4 необходимо оценивать ПО для совершения банковских операций, а также ПО, обрабатывающего защищаемую информацию. В чем разница?
Алексей
Это скорее уточнение для более корректного определения перечня ПО, подпадающего под требование. Банковские операции содержат защищаемую информацию.
Кобец Дмитрий Андреевич
25.03.2025
Данные изменения могут ли влиять на НФО? Если да, то каким образом?
Егор
Возможны косвенные изменения при взаимодействии с банками в части предоставляемых услуг и порядка использования ПО.
Кобец Дмитрий Андреевич
25.03.2025
Что понимается под переводом ДС с использованием преобразованных ДПК? (п.10 абзац 3)
Анна
Случаи ПДСБСК, где фигурируют токенизированные данные (перевод в банковском приложении, в электронном виде и т. д.).
Кобец Дмитрий Андреевич
25.03.2025
Что вы думаете про использование сертифицированных средств ЭП и сертифицированных средств Удостоверяющего центра для УНЭП / УКЭП при условии, что 63-ФЗ для УНЭП позволяет не применять сертификаты ключей?
Николай
Действительно, согласно статье 5 63-ФЗ, допускается использование УНЭП без сертификата ключа проверки электронной подписи, если признаков подписи достаточно без применения сертификата. Однако, согласно ч.2 статьи 6 63-ФЗ УНЭП признается равнозначной собственноручной подписи в случаях, установленных не только федеральными законами, но и нормативными правовыми актами Банка России. В этой связи требования 851-П однозначно трактуют, что для УНЭП необходимо применять сертифицированные СКЗИ в сочетании с УЦ, что говорит о необходимость применения сертификатов. В случае УКЭП условие применение сертификатов, выпущенных аккредитованным УЦ, обязательно.
Кобец Дмитрий Андреевич
25.03.2025
Нужно ли для УНЭП разворачивать в банке сертифицированный УЦ?
Александр
Да, средства удостоверяющего центра должны иметь подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом «ш» части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ «О федеральной службе безопасности. Сертификат соответствия ФСБ России на средства удостоверяющего центра является таким подтверждением.
Кобец Дмитрий Андреевич
25.03.2025
По поводу «облака»: если есть сторонний PaaS-провайдер Облако которого использует банк для защиты своих веб-ресурсов от кибер-атак, и PaaS-провайдер сертифицировал Облако по ГОСТ Р 57580-1 (ну и естественно проводит регулярную переоценку в положенный период времени), нужно ли теперь этому PaaS-провайдеру проводить также сертификацию и по 851-П? Что про это говорит ЦБ?
Юрий
Общая практика — поменять нормативные ссылки при ближайшем плановом аудите, при условии, что вводные для компании не сильно поменялись (в части области оценки). В данном случае необходимо рассмотреть, какую платформу предоставляет провайдер. Если требования для нее не изменились, то изменение ссылки по 851-п — это формальность.
Кобец Дмитрий Андреевич
25.03.2025
Нужно ли для оценки ПО привлекать лицензиата?
Николай
Привлекать внешнюю компанию для оценки соответствия не требуется, но не запрещается.
Кобец Дмитрий Андреевич
25.03.2025
Проходим Аудит ГОСТ, завершается 01.04. Корректно ли указывать в 071 отчете 683-П?
Александр
Если для вас требования 683-п были актуальны и до этого, то рекомендуем, по возможности, изменить нормативные ссылки в документах (договор с аудитором), рассмотреть возникшие изменения и закончить работы со ссылками на новое положение (в отчете). Если автоматизированные формы подготовки отчетности уже поддерживают новые положения — оформляйте по ним. Если изменение ссылок невозможно, рекомендуем оформить в соответствии с отчетом аудитора, т. е. 683-п
Кобец Дмитрий Андреевич
25.03.2025
Повторное проведение ОУД-4 необходимо только в случае, если изменения исходного кода затрагивают функции безопасности?
Екатерина
Только при изменении функций безопасности.
Кобец Дмитрий Андреевич
25.03.2025
Если прошел оценку по 683-П в прошлом году, надо ли проходить в этом внешнюю оценку по 851-П?
Роман
Подход, описанный в письме № ИН-017-56/48, используется при всех изменениях положений ЦБ. Если вы проводили оценку по 683-п, то вы ожидаете следующей итерации аудита и делаете его по 851-п.
Кобец Дмитрий Андреевич
25.03.2025
В п.4.1 определяется для какого ПО нужна оценка оуд4. Что понимается под отдельным ПО?
Илья
Программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет». Имеется ввиду, что под формулировку может подпадать любое ПО, а не только комплексные решения по типу АБС
Кобец Дмитрий Андреевич
25.03.2025
Просьба пояснить, во второй половине этого года планировался плановый аудит по 683-П. Нужно ли проходить в этом году аудит по 851-П?
Артем
Если аудит уже планировался, придется изменить ТЗ и нормативные ссылки. Если вопрос в периодичности, можете считать, что просто изменился номер, а работы продолжаются с тем же темпом и периодичностью.
Кобец Дмитрий Андреевич
25.03.2025
Нужна ли сертификация мобильного приложения, в котором есть функционал по формированию QR-кодов для оплаты?
Светлана
Нет.
Кобец Дмитрий Андреевич
25.03.2025
В случае, если ЕБС используется для осуществления переводов ДС, оно относится к ОУД-4 или к какому ОУД будет относиться?
Станислав
«Программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет».» Имеется ввиду, что под формулировку может подпадать любое ПО, а не только комплексные решения по типу АБС. В случае, если ЕБС для осуществления переводов ДС через Интернет, то ОУД4 необходим АБС.
Кобец Дмитрий Андреевич
25.03.2025
Нужно ли проводить в банке оценку ОУД4 для ПО, в отношении которого разработчик уже провел соответствующую оценку?
Игорь
Повторная оценка ПО не имеет смысла, потому что требование уже исполняется. Если вы обнаружили, что сертификат на ПО не действителен, то именно Банк обязан обеспечить выполнение этого требования (организовать сертификацию, заставить разработчика провести сертификацию, перейти на ПО, соответствующее требованиям). Переоценка нужна в том случае, если вносились изменения в исходный текст, и затрагивались функции безопасности.
Кобец Дмитрий Андреевич
25.03.2025
Различие в чем между защитой Банковской тайны и Персональных данных?
Владимир
Это два разных нормативных поля со своими требованиями. В некоторых местах они пересекаются в части содержания требований, но в большинстве случаев имеют различное содержание. Сведения о клиентах не всегда могут быть ПДн, т. к. может заменяться кодом, номером идентификатора, счета и т. д. Это будет относиться к Банковской тайне. Но не к ПДн.
Кобец Дмитрий Андреевич
25.03.2025
АСка, которая взаимодействует с АС, эксплуатируемой на участке приема ЭС через сеть Интернет, по-прежнему нет обязательного требования к оценке или сертификации?
Николай
Согласно 851-п требования по безопасности ПО (в частности, определение ОУД) проводится для «программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»». Если ваша система не относится к этому участку, то она не подпадает под это требование. Для определения принадлежности можете дополнительно обратиться к 821-п, там есть, хоть и не относящаяся к 851-п, но более глубокая детализация модели разбиения на технологические участки.
Кобец Дмитрий Андреевич
25.03.2025
Сейчас в Банка проходит оценка соответствия по ГОСТ Р.57580. Дата отчета по оценке соответствия будет 01.04.2025. Вопрос: в итоговых отчетах какое положение указывать: 683-П или 851-П? Такой же вопрос по сдаче формы 0409071. Данную форму необходимо сдать в апреле 2025, чтобы не нарушить двухлетний срок сдачи формы 0409071.
Александр
В отчете по ГОСТ 57580.1 указывается положение, указанное в договоре на проведение работ. В отчетности вы можете указать новый номер, если области оценки по 683-п и 851-п для вас совпадают. Вы также можете скорректировать договор об оказании услуг, изменив нормативную ссылку — область применения ГОСТ 57580.1 не изменилась
Кобец Дмитрий Андреевич
25.03.2025
Кредитная организация предоставляет B2B услугу, позволяющую клиентам партнёра получать и возвращать денежные средства с использованием нашего кошелька. От партнёра — оболочка (приложение), от нас реализация сервиса. То ест клиенты партнёра имеют доступ к кошельку партнера только в интерфейсах партнера. «Дорегистрация» кошелька партнера до полноценного кошелька кредитной организации не происходит. То есть если кошелек открыт партнером, он навсегда останется партнерским с условиями партнера (иначе Banking as a Service). Должны ли в данном случае партнеры тоже соответствовать требованию? На ком ответственность за выполнение требований к моб.приложению — на нас или на партнере?
Александра
В общем случае работает классический подход к обеспечению защиты: у обоих компаний может быть статус в рамках платежной инфраструктуры, каждый выполняет свои обязательства. В данном случае необходимо провести четкие границы ответственности именно за инфраструктуру. В общем случае банк ответственен за соблюдение всех требований, т. е. он должен выдвигать вам требования и выбирать ПО, подходящее по требованиям. Однако необходимо изучить реальный статус вашей компании в рамках национальной платежной системы — по другим нормативным источникам могут возникнуть обязательства.
Кобец Дмитрий Андреевич
25.03.2025
Про 5.2.6 — это просто стандартная проверка ФМ? Как трактовать в рамках 115-ФЗ, что именно проверять?
Евгения
Проверка лица, осуществляющего ПДС по 115-ФЗ. Цель — определить, что лицо, осуществляющее платеж, это на самом деле заявленный клиент. Требование частично пересекается с требованием по подтверждению лица, формирующего электронные сообщения.
Кобец Дмитрий Андреевич
25.03.2025
Проведение аудита по 12-МР теперь обязательно и нужно проводить раз в два года по технологическим мерам 802-П, 821-П, 833-П, 851-П?
Любовь
Фактически, его и ранее надо было проводить (хоть в каком-то виде), чтобы посчитать показатели 1 и 2 раздела формы отчетности 0409071, сейчас это отдельно закрепили. В остальном да, раз в 2 года пересчитывать показатели по 3-мр (12-мр)
Кобец Дмитрий Андреевич
25.03.2025
В требовании 5.2.1 говорится, что в случае выявления факта изменения сим-карты клиента кредитная организация не вправе осуществлять аутентификацию и авторизацию клиента с номера. Для выполнения этого требования достаточно ли разлогинить клиента и попросить залогиниться снова с паролем, в т. ч. токенизированным в приложении?
Александра
Пункт 5.2.1 гласит, что при смене идентификатора устройства (модуля) банк не должен производить идентификацию/аутентификацию по номеру, пока клиент не подтвердит принадлежность через алгоритм, не завязанный (не использующий) на сим-карте (номере). Формально, предложенный способ не противоречит требованию данного пункта требований, если в технология аутентификации не использует номер телефона (подтверждение по номеру телефона). Практическая защищенность под вопросом, но от сценариев кражи сим-карты спасает.
Кобец Дмитрий Андреевич
25.03.2025
Проводили аудит на соответствие требованиям 683-П в прошлом году. Когда надо теперь проводить аудит по 851-П?
Константин
Общая практика — посмотреть, расширился ли перечень систем, подпадающих под требования по защите по ГОСТ 57580.1. Если нет, то ожидайте планового аудита. Если да, то формально необходимо проводить аудит. Его, конечно, можно затянуть по причине «приведения всего в соответствие».
Кобец Дмитрий Андреевич
25.03.2025
Подскажите по поводу данного требования: «при использовании усиленной неквалифицированной электронной подписи в целях обеспечения целостности электронных сообщений кредитные организации, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом «ш» части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ «О федеральной службе безопасности» (далее — требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности).» Это означает, что нужно будет с 01.10.2025 использовать УНЭП, созданную по ГОСТу?
Ольга
*созданную с помощью сертифицированных решений (СКЗИ). А уже порядок сертификации включает рассмотрение обязательной поддержки отечественных алгоритмов формирования и проверки ЭП.
Кобец Дмитрий Андреевич
25.03.2025
Надо ли проходить оценку по ГОСТ 57580 заново, если уже сделали в прошлом году?
Виктор
Общая практика: посмотреть, расширился ли перечень систем, подпадающих под требования по защите по ГОСТ 57580.1. Если нет — ожидайте планового аудита. Если да, то формально необходимо проводить аудит. Его, конечно, можно затянуть по причине «приведения всего в соответствие».
Кобец Дмитрий Андреевич
25.03.2025
Уведомление законных представителей несовершеннолетних о предоставлении ЭСП и совершенные операции должно быть по умолчанию или по запросу?
Михаил
Согласно формулировке 851-п, уведомление направляется в случаях, предусмотренных договором об использовании электронного средства платежа. Требование новое, вероятно, ЦБ даст разъяснения в будущих МР или указаниях. Оповещение, согласно 851-п, должно отправляться по умолчанию, но только в части прописанных случаев. Вероятно, планировался алгоритм, что при открытии счета, несовершеннолетний (по закону) получает карту/счет только с согласия родителей, которые в момент дачи согласия выбирают перечень операций, о которых им будут сообщать.
ООО «Синфорес Групп»
Регистрация даты и время начала и окончания сессии на транспортном уровне — TCP? Как еще реализовывать?
Михаил
Да. Регистрации подлежит сессия доступа (действия) на транспортном уровне. Альтернативных вариантов подсказать не можем.
Кобец Дмитрий Андреевич
25.03.2025
Изменения IMSI (SIM-карты). Как клиенту подтверждать его номер, для этого нужно обращаться в офис Банка? Или какие способы могут быть?
Михаил
Через госуслуги, при личном обращении или через УКЭП/УНЭП, через почту. Главное — исключить номер телефона из цепочки подтверждения нового номера.
Кобец Дмитрий Андреевич
25.03.2025
О каком конкретно ПО идет речь в части про ОУД: «программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»»?
Михаил
Программное обеспечение на стороне Банка, которое выполняет функции получения электронного сообщения о совершении операции, которое пришло извне через Интернет. В частности — часть ДБО на стороне Банка, принимающая сообщения от клиентской части