18.03.2025 на сайте Банка России было опубликовано Положение №851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», которое заменит действующее положение № 683-П и внесет существенные изменения в сферу регулирования информационной безопасности кредитно-финансового сектора.
Вносимые изменения призваны:
- включить в сферу регулирования иностранные банки, которые работают в России через свои филиалы;
- снизить количество финансовых преступлений за счет внедрения новых механизмов противодействия совершению операций без добровольного согласия;
- защитить права и законные интересы клиентов кредитных организации;
- повысить уровень кибербезопасности в банковском секторе – уточняя и дополняя существующие требования по защите информации.
Обновленные требования (за исключением отдельных положений) вступают в силу с 29 марта 2025 года.
Ключевые нововведения Положения №851-П:
-
Требования к защите информации для филиалов иностранных банков
Одной из предпосылок издания Положения №851-П было принятие Федерального закона от 08.08.2024 №275-ФЗ «О внесении изменений в Федеральный закон «О банках и банковской деятельности» и отдельные законодательные акты Российской Федерации», которым в качестве отдельного субъекта финансовой системы были введены филиалы иностранных банков. Новое Положение также включает их в область своего регулирования и устанавливает для них поэтапные требования к реализуемому уровню защиты информации по ГОСТ Р 57580.1-2017:
- с даты вступления в силу Положения по 31.12.2026 – минимальный уровень защиты информации, уровень соответствия не ниже третьего;
- с 01.01.2027 – стандартный уровень защиты информации, уровень соответствия не ниже четвертого;
- оценка соответствия уровню защиты информации, предусмотренному ГОСТ Р 57580.1-2017, – не реже одного раза в два года с привлечением проверяющих организаций.
-
Расширение состава защищаемой информации
В состав защищаемой информации включена банковская тайна, содержащаяся в документах, составленных при осуществлении банковских операций в электронном виде.
-
3. Дополнение перечня сведений о действиях клиентов в рамках осуществления переводов денежных средств, подлежащих регистрации и хранению
С 01.10.2025 регистрации дополнительно подлежат следующие данные о действиях клиентов на этапе их идентификации, аутентификации и авторизации:
- дата и время начала и окончания соединения в рамках сессии на транспортном уровне;
- ip-адрес и порт устройства, с использованием которого осуществлен доступ к АС/ПО кредитной организации;
- ip-адрес и порт АС/ПО кредитной организации;
- геолокационные данные устройства клиента (при наличии).
-
Реализация функционала приема обращений клиентов по факту осуществления операций без добровольного согласия
С 01.10.2025 системно значимые кредитные организации и кредитные организации, значимые на рынке платежных услуг, будут обязаны обеспечить для клиентов-физических лиц посредством мобильных приложений возможность:
- подать заявление о каждом случае операции без добровольного согласия;
- сформировать справку об операции без добровольного согласия (состав информации, необходимой для формирования справки, приведен в приложении 1 к Положению);
- подтвердить, что операция, в отношении которой получен запрос Банка России, является операцией без добровольного согласия.
Также с 01.10.2025 кредитные организации должны обеспечить возможность приема и регистрацию заявлений физических лиц о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.
-
Уведомление в соответствии с договором законных представителей о выдаче несовершеннолетним клиентам электронных средств платежа (ЭСП) и о совершаемых ими операциях
Обязанности кредитных организации дополнены необходимостью уведомления (в случаях, предусмотренных договором об использовании ЭСП) законных представителей (родителей, усыновителей или попечителя) несовершеннолетних клиентов в возрасте от 14 до 18 лет о:
- предоставлении указанным клиентам ЭСП;
- совершаемых указанными клиентами операциях.
-
Дополнительные требования, направленные на противодействие осуществлению переводов денежных средств без добровольного согласия
Обязанности кредитных организации дополнены необходимостью установления в рамках реализуемой системы управления рисками (в случаях, предусмотренных договором об использовании ЭСП) ограничений по параметрам операций по приему наличных денежных средств с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств.
-
Уточнение требований к применяемым СКЗИ в целях обеспечения целостности электронных сообщений
С 01.10.2025 кредитные организации в случае применения усиленной неквалифицированной электронной подписи (УНЭП) обязаны использовать средства ЭП и средства УЦ, имеющие подтверждение соответствия требованиям ФСБ России. Для мобильных приложений кредитных организаций, участвующих в платформе цифрового рубля, также предусмотрено использование СКЗИ с подтверждением соответствия требованиям ФСБ России.
-
Контроль использования мобильных номеров телефонов клиентов
Обязанности кредитных организации дополнены необходимостью осуществления контроля изменения идентификационного модуля (SIM-карты) в устройстве клиента и в случае выявления факта его изменения – реализации запрета на осуществление аутентификации и авторизации клиента с использованием абонентского номера клиента или сторонних сервисов для аутентификации и авторизации, использующих указанный номер, до момента подтверждения принадлежности абонентского номера клиенту.
-
Уточнение отдельных действующих положений
- Конкретизированы условия повторной оценки соответствия программного обеспечения по требованиям к оценочному уровню доверия (ОУД): такая оценка осуществляется при внесении изменений в исходный текст ПО, реализующий технологию обработки защищаемой информации (т.е. при внесении изменений как в функции безопасности (например, порядок идентификации клиентов), так и в бизнес-функции (например, алгоритм формирования электронных сообщений).
- Зафиксирована обязанность кредитных организаций при реализации требований к обеспечению защиты информации использовать цикл PDCA (планирование применения, применение, контроль применения и совершенствование применения мер).
- Добавлена обязанность по проверке легитимности совершаемой клиентами банковской операции в соответствии с 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
- Закреплена обязанность кредитных организаций самостоятельно проводить не реже одного раза в два года оценку выполнения требований к обеспечению защиты информации. При проведении такой оценки необходимо осуществлять расчет значений оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в пунктах 4.3 и 5.3 Порядка составления и представления отчетности по форме 0409071 (см. обновленные Методические рекомендации Банка России по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации, утв. Банком России 06.03.2025 № 3-МР).
- На уровне Положения зафиксированы сроки предоставления кредитными организациями в Банк России сведений о выявленных инцидентах защиты информации (приложение 2 к Положению).
Контакты для уточнения информации по обновленным требованиям к обеспечению защиты информации для кредитных организаций и запроса коммерческих предложений:
-
Алексей Карпушкин
Руководитель практики аудиторских и консалтинговых услуг в областях ИБ и ИТ
Aleksey.Karpushkin@fbk.ru -
Михаил Манцуров
Руководитель направления аудиторских и консалтинговых услуг в области ИБ
Mikhail.Mantsurov@fbk.ru