Уведомления
02 июля2026
Приглашаем 9 июля на вебинар «Как не упустить преференции от государства для вашего проекта»
На вебинаре мы отдельно поговорим об особенностях налогообложения пре...
26 июня2026
Управляющий партнер (Аудит) ФБК Елена Старовойтова выступила на «Неделе бухгалтерского учета. Летний практикум 2026»
Эксперт осветила стратегические направления развития национальной сис...
26 июня2026
ФБК Консалтинг определена в качестве ПВО второго выпуска облигаций СГ РУС
25 июня 2026 года ООО «СГ Рус» разместила второй выпуск биржевых обли...
23 июня2026
Представители ФБК приняли участие во Всероссийской конференции «Аудит 2030: стратегия, вызовы и трансформация профессии»
Мероприятие, организованное СРО ААС, прошло в Рязани 17–20 июня 2026 ...
11 июня2026
ФБК запустила для банков услугу аудиторского подтверждения для поэтапного вычета НМА
Новое решение позволит банку безопасно реализовать право на поэтапный...
11 июня2026
Конференция «МСФО и управленческий учет – 2026»: основные тезисы экспертов ФБК
Мы собрали главные инсайты и рекомендации от наших специалистов – чит...
05 июня2026
ФБК – лидер в 5 номинациях рэнкингов Эксперт РА по итогам 2025 года!
Высокие позиции в профильных рэнкингах и уверенный рост показателей п...
04 июня2026
Аудиторско-консалтинговая группа ФБК – в рэнкинге крупнейших консалтинговых организаций RAEX
Опубликован очередной рэнкинг по итогам 2025 года.
04 июня2026
Станислав Антонов – о российском аналоге Pillar 2 и его влиянии на МСФО-отчетность
В статье для июньского номера журнала «МСФО на практике» эксперт разб...
03 июня2026
ФБК – в рэнкинге крупнейших аудиторских организаций RAEX по итогам 2025 года!
Опубликован очередной рэнкинг крупнейших аудиторских групп и организа...
En

Положение Банка России № 851-П: обновленные требования к обеспечению защиты информации для кредитных организаций

04 апреля 2025

18.03.2025 на сайте Банка России было опубликовано Положение №851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», которое заменит действующее положение № 683-П и внесет существенные изменения в сферу регулирования информационной безопасности кредитно-финансового сектора.

Вносимые изменения призваны:

  • включить в сферу регулирования иностранные банки, которые работают в России через свои филиалы;
  • снизить количество финансовых преступлений за счет внедрения новых механизмов противодействия совершению операций без добровольного согласия;
  • защитить права и законные интересы клиентов кредитных организации;
  • повысить уровень кибербезопасности в банковском секторе – уточняя и дополняя существующие требования по защите информации.

Обновленные требования (за исключением отдельных положений) вступают в силу с 29 марта 2025 года.

Ключевые нововведения Положения №851-П:

  1. Требования к защите информации для филиалов иностранных банков

    Одной из предпосылок издания Положения №851-П было принятие Федерального закона от 08.08.2024 №275-ФЗ «О внесении изменений в Федеральный закон «О банках и банковской деятельности» и отдельные законодательные акты Российской Федерации», которым в качестве отдельного субъекта финансовой системы были введены филиалы иностранных банков. Новое Положение также включает их в область своего регулирования и устанавливает для них поэтапные требования к реализуемому уровню защиты информации по ГОСТ Р 57580.1-2017:

    • с даты вступления в силу Положения по 31.12.2026 – минимальный уровень защиты информации, уровень соответствия не ниже третьего;
    • с 01.01.2027 – стандартный уровень защиты информации, уровень соответствия не ниже четвертого;
    • оценка соответствия уровню защиты информации, предусмотренному ГОСТ Р 57580.1-2017, – не реже одного раза в два года с привлечением проверяющих организаций.
  2. Расширение состава защищаемой информации

    В состав защищаемой информации включена банковская тайна, содержащаяся в документах, составленных при осуществлении банковских операций в электронном виде.

  3. 3. Дополнение перечня сведений о действиях клиентов в рамках осуществления переводов денежных средств, подлежащих регистрации и хранению

    С 01.10.2025 регистрации дополнительно подлежат следующие данные о действиях клиентов на этапе их идентификации, аутентификации и авторизации:

    • дата и время начала и окончания соединения в рамках сессии на транспортном уровне;
    • ip-адрес и порт устройства, с использованием которого осуществлен доступ к АС/ПО кредитной организации;
    • ip-адрес и порт АС/ПО кредитной организации;
    • геолокационные данные устройства клиента (при наличии).
  4. Реализация функционала приема обращений клиентов по факту осуществления операций без добровольного согласия

    С 01.10.2025 системно значимые кредитные организации и кредитные организации, значимые на рынке платежных услуг, будут обязаны обеспечить для клиентов-физических лиц посредством мобильных приложений возможность:

    • подать заявление о каждом случае операции без добровольного согласия;
    • сформировать справку об операции без добровольного согласия (состав информации, необходимой для формирования справки, приведен в приложении 1 к Положению);
    • подтвердить, что операция, в отношении которой получен запрос Банка России, является операцией без добровольного согласия.

    Также с 01.10.2025 кредитные организации должны обеспечить возможность приема и регистрацию заявлений физических лиц о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.

  5. Уведомление в соответствии с договором законных представителей о выдаче несовершеннолетним клиентам электронных средств платежа (ЭСП) и о совершаемых ими операциях

    Обязанности кредитных организации дополнены необходимостью уведомления (в случаях, предусмотренных договором об использовании ЭСП) законных представителей (родителей, усыновителей или попечителя) несовершеннолетних клиентов в возрасте от 14 до 18 лет о:

    • предоставлении указанным клиентам ЭСП;
    • совершаемых указанными клиентами операциях.
  6. Дополнительные требования, направленные на противодействие осуществлению переводов денежных средств без добровольного согласия

    Обязанности кредитных организации дополнены необходимостью установления в рамках реализуемой системы управления рисками (в случаях, предусмотренных договором об использовании ЭСП) ограничений по параметрам операций по приему наличных денежных средств с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств.

  7. Уточнение требований к применяемым СКЗИ в целях обеспечения целостности электронных сообщений

    С 01.10.2025 кредитные организации в случае применения усиленной неквалифицированной электронной подписи (УНЭП) обязаны использовать средства ЭП и средства УЦ, имеющие подтверждение соответствия требованиям ФСБ России. Для мобильных приложений кредитных организаций, участвующих в платформе цифрового рубля, также предусмотрено использование СКЗИ с подтверждением соответствия требованиям ФСБ России.

  8. Контроль использования мобильных номеров телефонов клиентов

    Обязанности кредитных организации дополнены необходимостью осуществления контроля изменения идентификационного модуля (SIM-карты) в устройстве клиента и в случае выявления факта его изменения – реализации запрета на осуществление аутентификации и авторизации клиента с использованием абонентского номера клиента или сторонних сервисов для аутентификации и авторизации, использующих указанный номер, до момента подтверждения принадлежности абонентского номера клиенту.

  9. Уточнение отдельных действующих положений

    • Конкретизированы условия повторной оценки соответствия программного обеспечения по требованиям к оценочному уровню доверия (ОУД): такая оценка осуществляется при внесении изменений в исходный текст ПО, реализующий технологию обработки защищаемой информации (т.е. при внесении изменений как в функции безопасности (например, порядок идентификации клиентов), так и в бизнес-функции (например, алгоритм формирования электронных сообщений).
    • Зафиксирована обязанность кредитных организаций при реализации требований к обеспечению защиты информации использовать цикл PDCA (планирование применения, применение, контроль применения и совершенствование применения мер).
    • Добавлена обязанность по проверке легитимности совершаемой клиентами банковской операции в соответствии с 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
    • Закреплена обязанность кредитных организаций самостоятельно проводить не реже одного раза в два года оценку выполнения требований к обеспечению защиты информации. При проведении такой оценки необходимо осуществлять расчет значений оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в пунктах 4.3 и 5.3 Порядка составления и представления отчетности по форме 0409071 (см. обновленные Методические рекомендации Банка России по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации, утв. Банком России 06.03.2025 № 3-МР).
    • На уровне Положения зафиксированы сроки предоставления кредитными организациями в Банк России сведений о выявленных инцидентах защиты информации (приложение 2 к Положению).

Контакты для уточнения информации по обновленным требованиям к обеспечению защиты информации для кредитных организаций и запроса коммерческих предложений:

  • Алексей Карпушкин

    Руководитель практики аудиторских и консалтинговых услуг в областях ИБ и ИТ
    Aleksey.Karpushkin@fbk.ru

  • Михаил Манцуров

    Руководитель направления аудиторских и консалтинговых услуг в области ИБ
    Mikhail.Mantsurov@fbk.ru

RAEX
Коммерсант
ТОП-1000 российских менеджеров
Право.RU
Российская газета
Эксперт РА
Платформа ИНФРАГРИН
Forbes