Положение Банка России 851-П вместо 683-П

О СТАНДАРТЕ

Положение Банка России от 30.01.2025 N 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

На основании статьи 57.4 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» настоящее Положение устанавливает обязательные для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.

В соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 13 декабря 2024 года № ПСД-44) Положение вступает в силу с 29 марта 2025 года, тем самым заменит Положение №683-П,  за исключением пунктов, которые вступают в силу с 1 октября 2025 года, 31 декабря 2026 года и 1 января 2027 года.

Оценка должна проводиться с привлечением сторонней организации не реже одного раза в два года.

Также вышеуказанным субъектам необходимо применять ПО, обрабатывающее защищаемую информацию, имеющее сертификат ФСТЭК России (4 или 5 уровень доверия в зависимости от уровня защиты информации), либо прошедшее оценку по ОУД не ниже 4 (оценка соответствия в отношении прикладного программного обеспечения применительно к оценочному уровню доверия не ниже чем ОУД 4, определенному в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013). Оценку соответствия участники могут проходить самостоятельно либо с привлечением лицензиата ФСТЭК.

К подобному ПО относятся следующие типы ПО:

  • Распространяемое клиентам (например, мобильные версии ПО);
  • ПО, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет» (например, интернет-банк);

Требования 851-П распространяется на следующих субъектов национальной платёжной системы:

  • кредитные организации (в том числе небанковские кредитные организации);
  • иностранные банки (через их филиалы в России);

Для кредитных организаций не изменились требования по реализации уровня соответствия защиты информации по требованиям ГОСТ 57580.1-2017. Уровень должен быть не ниже четвертого. Подтвердить соответствие необходимо посредством аудита, который проведет лицензиат ФСТЭК.

Однако добавились требования для филиалов иностранных банков:

  • С 1 октября 2025 года до 31 декабря 2026 года должны соблюдать минимальный уровень защиты информации, не ниже третьего уровня соответствия требованиям ГОСТ 57580.1-2017.
  • После 1 января 2027 года должны стандартный уровень защиты информации, не ниже четвертого уровня соответствия требованиям ГОСТ 57580.1-2017.

Положение 851-П усиливает требования по обеспечению контроля используемых номеров телефонов клиентов. Теперь необходимо осуществлять проверку принадлежности абонентского номера телефона для клиентов при попытке изменения номера телефона, зафиксированного банком.

Также добавились требования в целях противодействия осуществлению переводов денежных средств без согласия клиента, в том числе по ограничениям максимальной суммы одной операции, порядок приёма заявлений от клиентов по операциям без согласия клиента и под влиянием обмана, порядок уведомления родителей или попечителей о совершаемых несовершеннолетними клиентами операциях.

Отдельно стоит отметить появления более конкретных сроков предоставления информации об инцидентах.

Напишите нам, чтобы получить консультацию по вопросам Положения Банка России 851-П и мы свяжемся с Вами!

Заполнить

ПРЕИМУЩЕСТВА НАШЕЙ КОМПАНИИ

  • Наша компания обладает необходимой лицензией по технической защите конфиденциальной информации для проведения работ от Федеральной службы по техническому и экспортному контролю.
  • В нашей компании работают два специалиста, сертифицированных по программе «Введение, внедрение и оценка соответствия финансовых организаций ГОСТ Р 57589 «Безопасность финансовых (банковских) операций», подготовленной разработчиками стандарта
  • Наши специалисты получили опыт, успешно реализовав проекты в нескольких крупных банках, доведя оценку до необходимого третьего уровня.

ЭТАПЫ ПРОЕКТА

1 Этап

Определение области аудита и анализ локальных нормативных документов по информационной безопасности

2 Этап

Анализ конфигураций информационных систем и оборудования, используемых технических и организационных мер защиты информации. Анализ технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств

3 Этап

Проведение аудита на месте, интервью с ответственными сотрудниками, сбор свидетельств аудита

4 Этап

Подготовка предварительной версии отчетной документации, согласование ее с Заказчиком

5 Этап

Доработка несоответствий

6 Этап

Подтверждение устранения несоответствий, разработка итоговой отчетной документации в соответствии с требованиями Банка России. Подготовка отчётности по форме 0409071.

РЕЗУЛЬТАТЫ ПРОЕКТА

По результатам проведенного аудита подготавливаются:

  • рекомендации по повышению уровня информационной безопасности;
  • определение оценки соответствия защиты информации;
  • итоговая отчетная документация по форме Банка России, включая заполненную форму отчётности 0409071.

Заинтересованы в услуге? Напишите нам!