Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Обзор Положения 851-П: новые требования к защите информации в банковском секторе

Рост числа мошеннических операций в банках стал одной из главных причин, почему правила по защиты информации стали строже. Правительство всерьез обеспокоено масштабами хищений средств, когда клиенты теряют деньги без своего согласия, поэтому в январе 2025 года было введено Положение 851-П.

О ключевых изменениях рассказывает Анна Коршунова, младший специалист отдела информационной безопасности IT Task.

О предпосылках введения

30 января 2025 года Банк России утвердил Положение № 851-П, которое вводит обязательные требования для банков по защите информации. Этот документ, зарегистрированный в Минюсте 6 марта, направлен на борьбу с несанкционированными денежными переводами и начнет действовать через 10 дней после публикации за исключением некоторых пунктов с особыми сроками. Основная цель его принятия – улучшить защиту информации для российских банков и филиалов иностранных банков, которые работают в России, но не были упомянуты в Положении Банка России № 683-П.

Рост числа мошеннических операций в банковской сфере стал одной из главных причин ужесточения правил: клиенты теряют деньги без своего согласия. Например, законопроект № 842276-8, который включает контроль за снятием наличных и создание государственных систем для борьбы с мошенничеством, был опубликован 1 апреля 2025 под номером № 41-ФЗ. В этом законе вводится понятие «злоупотребление доверием путем введения в заблуждение».

И также в апреле по итогам расширенного заседания четырех комитетов палаты по отчету Банка России о деятельности за 2024 год, был сформирован проект постановления № 884058-8. Теперь депутаты намерены предложить регулятору продолжить работу над законопроектами о совершенствовании регулирования вопросов оборота цифрового рубля, а также о создании условий для внедрения универсального платежного кода при оплате в безналичном порядке товаров работ и услуг (в том числе в рамках платежной системы и на платформе цифрового рубля).

Кроме того, Банк России выпустил новые методические рекомендации № 3-МР, которые заменили старые рекомендации № 12-МР. Это произошло из-за того, что Положения ЦБ, на которые содержались ссылки в 12-МР, утратили силу, а с 29 марта к ним стало относиться и Положение № 683-П.

Положение 851-П: ключевые отличия от 683-П

Среди нововведений в регулировании банковского сектора отметим следующие:

1. Защищаемая информация. В перечне защищаемой информации, к которой до этого относились только электронные сообщения о банковских операциях, авторизационная информация, информация о банковских операциях и ключи СКЗИ, добавилось понятие банковской тайны. 

Подробно оно не описывается в Положении 851-П, так как уже регулируется статьей 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности». Дополнение перечня защищаемой информации не несет глобальных преобразований в требованиях, кроме пересмотра области применения внутренних нормативных документов.

2. Оцениваемые организации. К более существенным изменениям относится внедрение оценки ГОСТ Р 57580 и необходимость обеспечения выполнения остальных требований Положения. 

Филиал иностранного банка в соответствии с Федеральным законом от 08.08.2024 № 275-ФЗ – это структурное подразделение, которое имеет один филиал на территории Российской Федерации по строго указанному адресу. При этом для осуществления деятельности филиалы обязаны получить лицензию Банка России или аккредитацию филиала, а обслуживать могут только юридические лица.

Операции с физическими лицами и индивидуальными предпринимателями они проводить не могут (за исключением денежных переводов без открытия банковского счета и купли-продажи валюты). 

3. Ужесточение ответственности. Несмотря на имеющиеся рекомендации по соблюдению законодательства страны, в которой находится филиал иностранного банка, ответственность за его несоблюдение ранее была на головном офисе за границей, что не несло гарантий исполнения.

После введения нового участника в Положении № 851-П филиалы иностранных банков будут лично нести ответственность за неисполнение требований Положений. У филиалов иностранных банков есть два сценария действий:

  • Провести оценку соответствия требованиями ГОСТ Р 57580.1 по минимальному уровню защиты информации и обеспечить уровень соответствия требованиям ГОСТ не ниже третьего до 31 декабря 2026 года;

  • Провести оценку соответствия требованиям ГОСТ Р 57580.1 по стандартному уровню защиты информации и обеспечить уровень соответствия ГОСТ не ниже четвертого после 1 января 2027 в течение 4 месяцев. 

Соответственно, все последующие оценки соответствия проводятся с периодичностью раз в два года по стандартному уровню защиты информации, а итоговый уровень соответствия должен быть не ниже четвертого.

4. Требование пункта 4.1. Модернизации было подвергнуто требование пункта 4.1 о проведении сертификации или оценки соответствия по требованиям к оценочному уровню доверия не ниже ОУД 4 прикладного программного обеспечения. 

В новом Положении № 851-П сертификация или оценка соответствия должна проводится в отношении того же ПО, что и описанного в Положении № 683-П. Однако ПО для приема электронных сообщений к исполнению через сеть Интернет получило новое название – отдельное программное обеспечение. 

5. Особенности проведения оценки соответствия и сертификации. Регулятор обозначил возможность организациям самостоятельно определять необходимость сертификации или оценки соответствия в отношении прикладного ПО, обрабатывающего защищаемую информацию, но не указанного в Положении. При этом в случае принятия решения о проведении оценки соответствия, системно значимые кредитные организации или значимые на рынке платежных услуг, должны обеспечивать оценочный уровень доверия не ниже ОУД 4. 

Кроме того, Банк России также дал уточнение в части проведения повторной оценки соответствия и сертификации: кредитные организации и филиалы иностранных банков при внесении изменений в исходный текст прикладного ПО автоматизированных систем и приложений, а также отдельного программного обеспечения, реализующего технологию обработки защищаемой информации, должны снова проводить оценку соответствия.

6. Контроль использования клиентом абонентского номера и устройства. Теперь кредитные организации и филиалы иностранных банков обязаны контролировать изменение идентификационного модуля, используемого в устройстве клиента, IMEI. В случае его изменения они не вправе осуществлять аутентификацию и авторизацию клиента с использованием абонентского номера. 

Следовательно, в случае осуществления банковской операции через мобильное приложения (при этом идентификационный модуль устройства клиента изменился) – банк со своей стороны отклоняет данную банковскую операцию и уведомляет о причине клиента. А он, в свою очередь, должен явиться лично в банк и подтвердить личность.

7. Формулировки в отношении криптографической защиты информации. В Положении №851-П требуется обеспечить реализацию СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения или любого вида усиленной электронной подписи, что в соответствии с Федеральным законом № 63-ФЗ «Об электронной подписи» включает как УКЭП, так и УНЭП.

С 1 октября 2025 года вступают новые требования:

  • – В случае реализации УНЭП необходимо использовать электронную подпись, созданную с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям ФСБ.

  • – В случае подключения к платформе цифрового рубля, целостность всех электронных сообщений с мобильного устройства должна быть обеспечена с использованием сертифицированных СКЗИ. 

8. Новые обстоятельства в пункте 10. Уделим внимание пункту, начинающему действовать с 1 октября 2025 года, где введено два новых обстоятельства к понятию «без согласия клиента» – с согласия клиента, полученного под влиянием обмана; с согласия клиента, полученного при злоупотреблении доверием.

В рамках требования системно значимые кредитные организации и кредитные организации, значимые на рынке платежных услуг, должны реализовать в мобильной версии приложения возможность для клиента заявить о каждом случае совершения операции без согласия или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием. 

Если организация не относится к таковым, необходимо обеспечить прием заявлений физических лиц. Перечень информации для формирования справки о случаях совершения операций без согласия клиента или с его согласия, полученного под влиянием обмана или при злоупотреблении доверием, представлен в Приложении 1 к Положению № 851-П. В приложении 2 к Положению № 851-П представлен перечень сведений, предоставляемых в Банк России, об инциденте и его устранению, а также сроках предоставления данных сведений.

9. Несовершеннолетний клиент. В рамках пункта 11 определено еще одно новое понятие – несовершеннолетний клиент. В случаях, предусмотренных договором, кредитные организации и филиалы иностранных банков обязали уведомлять законных представителей о том, что было совершено мошенническое действие в отношении несовершеннолетнего клиента. 

Несмотря на обновление требований, некоторые положения остались неизменными:

  • Российские кредитные организации по-прежнему обязаны проводить ежегодное тестирование на проникновение и анализ уязвимостей, а также оценку соответствия системы защиты информации по ГОСТ Р 57580.1-2017. Системно значимые банки должны обеспечивать усиленный уровень защиты, остальные – стандартный;
  • Периодичность проверок сохранилась: оценка соответствия проводится не реже одного раза в два года с привлечением лицензиатов ФСТЭК «б», «д», «е». 

Подводим итоги

Таким образом, Положение № 851-П вносит ряд существенных изменений, направленных на повышение безопасности банковских операций:

  • Расширен перечень защищаемой информации и перечень поднадзорных организаций;
  • Введены новые термины, такие как «с согласия клиента, полученного под влиянием обмана» и «с согласия клиента, полученного при злоупотреблении доверием», которые получили большое применение в современной судебной практике;
  • Уточнены требования к электронной подписи, приему заявлений о совершении операций без согласия клиента и к сертификации и оценке соответствия новых версий прикладного ПО. 

Внедрение новых норм потребует от кредитных организаций значительных усилий по модернизации ИТ-инфраструктуры, однако в долгосрочной перспективе это укрепит устойчивость банковской системы к мошенническим действиям.


117

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.