Положение Банка России 851-П вместо 683-П
О СТАНДАРТЕ
Положение Банка России от 30.01.2025 N 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
На основании статьи 57.4 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» настоящее Положение устанавливает обязательные для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.
В соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 13 декабря 2024 года № ПСД-44) Положение вступает в силу с 29 марта 2025 года, тем самым заменит Положение №683-П, за исключением пунктов, которые вступают в силу с 1 октября 2025 года, 31 декабря 2026 года и 1 января 2027 года.
Оценка должна проводиться с привлечением сторонней организации не реже одного раза в два года.
Также вышеуказанным субъектам необходимо применять ПО, обрабатывающее защищаемую информацию, имеющее сертификат ФСТЭК России (4 или 5 уровень доверия в зависимости от уровня защиты информации), либо прошедшее оценку по ОУД не ниже 4 (оценка соответствия в отношении прикладного программного обеспечения применительно к оценочному уровню доверия не ниже чем ОУД 4, определенному в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013). Оценку соответствия участники могут проходить самостоятельно либо с привлечением лицензиата ФСТЭК.
К подобному ПО относятся следующие типы ПО:
- Распространяемое клиентам (например, мобильные версии ПО);
- ПО, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет» (например, интернет-банк);
Требования 851-П распространяется на следующих субъектов национальной платёжной системы:
- кредитные организации (в том числе небанковские кредитные организации);
- иностранные банки (через их филиалы в России);
Для кредитных организаций не изменились требования по реализации уровня соответствия защиты информации по требованиям ГОСТ 57580.1-2017. Уровень должен быть не ниже четвертого. Подтвердить соответствие необходимо посредством аудита, который проведет лицензиат ФСТЭК.
Однако добавились требования для филиалов иностранных банков:
- С 1 октября 2025 года до 31 декабря 2026 года должны соблюдать минимальный уровень защиты информации, не ниже третьего уровня соответствия требованиям ГОСТ 57580.1-2017.
- После 1 января 2027 года должны стандартный уровень защиты информации, не ниже четвертого уровня соответствия требованиям ГОСТ 57580.1-2017.

Положение 851-П усиливает требования по обеспечению контроля используемых номеров телефонов клиентов. Теперь необходимо осуществлять проверку принадлежности абонентского номера телефона для клиентов при попытке изменения номера телефона, зафиксированного банком.
Также добавились требования в целях противодействия осуществлению переводов денежных средств без согласия клиента, в том числе по ограничениям максимальной суммы одной операции, порядок приёма заявлений от клиентов по операциям без согласия клиента и под влиянием обмана, порядок уведомления родителей или попечителей о совершаемых несовершеннолетними клиентами операциях.
Отдельно стоит отметить появления более конкретных сроков предоставления информации об инцидентах.
Напишите нам, чтобы получить консультацию по вопросам Положения Банка России 851-П и мы свяжемся с Вами!
ЗаполнитьПРЕИМУЩЕСТВА НАШЕЙ КОМПАНИИ
- Наша компания обладает необходимой лицензией по технической защите конфиденциальной информации для проведения работ от Федеральной службы по техническому и экспортному контролю.
- В нашей компании работают два специалиста, сертифицированных по программе «Введение, внедрение и оценка соответствия финансовых организаций ГОСТ Р 57589 «Безопасность финансовых (банковских) операций», подготовленной разработчиками стандарта
- Наши специалисты получили опыт, успешно реализовав проекты в нескольких крупных банках, доведя оценку до необходимого третьего уровня.
ЭТАПЫ ПРОЕКТА
Определение области аудита и анализ локальных нормативных документов по информационной безопасности
Анализ конфигураций информационных систем и оборудования, используемых технических и организационных мер защиты информации. Анализ технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств
Проведение аудита на месте, интервью с ответственными сотрудниками, сбор свидетельств аудита
Подготовка предварительной версии отчетной документации, согласование ее с Заказчиком
Доработка несоответствий
Подтверждение устранения несоответствий, разработка итоговой отчетной документации в соответствии с требованиями Банка России. Подготовка отчётности по форме 0409071.
РЕЗУЛЬТАТЫ ПРОЕКТА
По результатам проведенного аудита подготавливаются:
- рекомендации по повышению уровня информационной безопасности;
- определение оценки соответствия защиты информации;
- итоговая отчетная документация по форме Банка России, включая заполненную форму отчётности 0409071.