29 марта 2025 положение Банка России № 851-П вступило в силу и заменило прежнее 683-П.
Оглавление
1. Расширение сферы действия на филиалы иностранных банков
2. Выполнение требований непрерывным PDCA-циклом
3. Принцип наивысшего уровня защиты при совмещении видов деятельности
4. Обновленные требования к сертификации и оценке соответствия ПО
5. Усиление требований к применению криптографии
6. Антимошеннические технологии и контроль SIM-карт
7. Обновление методических рекомендаций для отчетности — переход с 12-MP на 3-MP
8. Изменение сроков уведомления об инцидентах
9..Практические рекомендации
10. Ключевые риски несоответствия - штрафы, органичения
2. Выполнение требований непрерывным PDCA-циклом
3. Принцип наивысшего уровня защиты при совмещении видов деятельности
4. Обновленные требования к сертификации и оценке соответствия ПО
5. Усиление требований к применению криптографии
6. Антимошеннические технологии и контроль SIM-карт
7. Обновление методических рекомендаций для отчетности — переход с 12-MP на 3-MP
8. Изменение сроков уведомления об инцидентах
9..Практические рекомендации
10. Ключевые риски несоответствия - штрафы, органичения
1. Расширение сферы действия на филиалы иностранных банков
1.1. Что изменилось?
В обновленной версии Положения 851-П ключевым нововведением стало расширение сферы регулирования на филиалы иностранных банков. Ранее нормативные документы Банка России распространялись исключительно на кредитные организации (КО) и некредитные финансовые организации (НФО), оставляя филиалы иностранных банков вне поля регулирования. Теперь они стали полноправными участниками системы регулирования информационной безопасности Банком России.
В обновленной версии Положения 851-П ключевым нововведением стало расширение сферы регулирования на филиалы иностранных банков. Ранее нормативные документы Банка России распространялись исключительно на кредитные организации (КО) и некредитные финансовые организации (НФО), оставляя филиалы иностранных банков вне поля регулирования. Теперь они стали полноправными участниками системы регулирования информационной безопасности Банком России.
1.2. Ключевые требования для филиалов иностранных банков
1.3. Практические шаги
Важно! Филиалы иностранных банков получили переходный период до 2027 года только для реализации стандартного уровня защиты, но требования минимального уровня защиты, а также требования 851-П нужно выполнять уже сейчас.
- Провести оценку соответствия уровням защиты информации ГОСТ 57580.1-2017 с привлечением внешней организации, имеющей соответствующую лицензию ФСТЭК
- Провести оценку выполнения требований к обеспечению информационной безопасности по требованиям 851-П (самостоятельно или с привлечением внешней организации)
- Разработать план совершенствования системы защиты информации
- Подготовить документы для отчетности в Банк России
- Обучить персонал новым процедурам и требованиям
Важно! Филиалы иностранных банков получили переходный период до 2027 года только для реализации стандартного уровня защиты, но требования минимального уровня защиты, а также требования 851-П нужно выполнять уже сейчас.
2. Выполнение требований непрерывным PDCA-циклом
2.1. Новая группировка требований
Положение 851-П структурирует все требования по защите информации в четыре группы:
2.2. Обязательный PDCA-цикл
Для всех групп требований необходимо организовать полный цикл с учетом методической базы:
Plan (Планирование) — документирование принципов, способов и порядка реализации мер защиты
Do (Внедрение) — реализация мер защиты
Check (Контроль) — периодический внутренний контроль выполнения мер защиты
Act (Совершенствование) — актуализация документации и процессов по итогам анализа необходимости такой актуализации
2.3. Чек-лист для организации PDCA
По итогам контролей, информации об инцидентах ЗИ и изменениях нормативных документов принимаются решения о совершенствовании, составляется и выполняется план работ.
Положение 851-П структурирует все требования по защите информации в четыре группы:
- Требования в отношении объектов информационной инфраструктуры (п.3)
- Требования в отношении прикладного ПО АС и приложений (п.4)
- Требования к технологии обработки защищаемой информации (п.5)
- Иные требования (криптография, логирование, инциденты) (п.6-13)
2.2. Обязательный PDCA-цикл
Для всех групп требований необходимо организовать полный цикл с учетом методической базы:
Plan (Планирование) — документирование принципов, способов и порядка реализации мер защиты
Do (Внедрение) — реализация мер защиты
Check (Контроль) — периодический внутренний контроль выполнения мер защиты
Act (Совершенствование) — актуализация документации и процессов по итогам анализа необходимости такой актуализации
2.3. Чек-лист для организации PDCA
- Определен контур безопасности, технологические процессы и ИТ-инфраструктура
- Разработан пакет документов по защите информации (ЗИ)
- Назначены ответственные за системы и процессы
- Реализованы меры защиты
- Проводится плановый внутренний контроль по каждой мере
- Проводится плановый внешний аудит по ГОСТ 57580.1-2017
По итогам контролей, информации об инцидентах ЗИ и изменениях нормативных документов принимаются решения о совершенствовании, составляется и выполняется план работ.
«Важно, чтобы процесс велся постоянно, а не время от времени. PDCA подразумевает не только цикличность, но и постоянство операций и процессов», – отмечает Юлия Задубровская, руководитель направления безопасности финансовых организаций Infosecurity (ГК Softline)
Получите бесплатную консультацию по внедрению всех этапов PDCA — заполните форму обратной связи
3. Принцип наивысшего уровня защиты при совмещении видов деятельности
3.1. Что изменилось?
В обновленном Положении 851-П Банк России устранил пробел в регулировании организаций со смешанной деятельностью. Новый документ однозначно закрепляет принцип наивысшего уровня: при совмещении различных видов деятельности и размещении инфраструктуры в одном контуре безопасности организация обязана применять самый высокий из предусмотренных уровень защиты информации.
ПРИМЕР
Кредитная организация + профучастник рынка ценных бумаг.
- Кредитная организация требует: стандартный уровень защиты
- Профучастник требует: минимальный уровень защиты
Результат: все объекты в едином контуре → стандартный уровень защиты
В обновленном Положении 851-П Банк России устранил пробел в регулировании организаций со смешанной деятельностью. Новый документ однозначно закрепляет принцип наивысшего уровня: при совмещении различных видов деятельности и размещении инфраструктуры в одном контуре безопасности организация обязана применять самый высокий из предусмотренных уровень защиты информации.
ПРИМЕР
Кредитная организация + профучастник рынка ценных бумаг.
- Кредитная организация требует: стандартный уровень защиты
- Профучастник требует: минимальный уровень защиты
Результат: все объекты в едином контуре → стандартный уровень защиты
3.2. Алгоритм определения уровня защиты
- Инвентаризация видов деятельности — изучить все лицензии организации и необходимые финансовые и бизнес-показатели.
- Сопоставление с требованиями — определить требуемый уровень защиты для каждого вида деятельности.
- Анализ контуров безопасности — выявить общие объекты инфраструктуры.
- Применение принципа максимума — выбрать наивысший уровень защиты.
- Документирование решения — зафиксировать обоснование во внутренних документах.
Важно! Данное требование действует только при размещении объектов в едином контуре безопасности. Разные контуры безопасности могут иметь разные уровни защиты.
4. Обновленные требования к сертификации и оценке соответствия программного обеспечения
4.1. Ключевые принципы
Сертификация
- Для системно значимых КО и значимых на рынке платежных услуг — сертификация ПО не ниже 4-го уровня доверия по приказу ФСТЭК № 76
- Срок проведения сертификации — в течение 18 месяцев после получения статуса
- Для иных КО — сертификация ПО не ниже 5-го уровня доверия по приказу ФСТЭК № 76
Оценка соответствия
- Оценка соответствия ПО требованиям к оценочному уровню доверия не ниже ОУД4 по ГОСТ Р ИСО/МЭК 15408-3-2013
- Проведение повторной оценки — если изменения в исходном коде затрагивают реализацию технологии обработки защищаемой информации
4.2. Практический алгоритм сертификации и/или оценки соответствия
Сертификация
- Для системно значимых КО и значимых на рынке платежных услуг — сертификация ПО не ниже 4-го уровня доверия по приказу ФСТЭК № 76
- Срок проведения сертификации — в течение 18 месяцев после получения статуса
- Для иных КО — сертификация ПО не ниже 5-го уровня доверия по приказу ФСТЭК № 76
Оценка соответствия
- Оценка соответствия ПО требованиям к оценочному уровню доверия не ниже ОУД4 по ГОСТ Р ИСО/МЭК 15408-3-2013
- Проведение повторной оценки — если изменения в исходном коде затрагивают реализацию технологии обработки защищаемой информации
4.2. Практический алгоритм сертификации и/или оценки соответствия
- Инвентаризация текущего ПО — составить перечень продуктов для сертификации или оценки соответствия
- Определить, что будет выполняться: сертификация или оценка
- Выбор аккредитованной лаборатории ФСТЭК или лицензиата ФСТЭК
- Подготовка технического задания на сертификацию/оценку соответствия
- Проведение сертификации УД4/УД5 или оценки соответствия ОУД4
- Организация повторной сертификации/оценки соответствия при необходимости
5. Усиление требований к криптографии
5.1. Переход на УНЭП с сертификацией ФСБ
С 1 октября 2025 года для обеспечения целостности распоряжений и подтверждения полномочий при помощи УНЭП необходимо использовать СКЗИ с сертификатом ФСБ и УЦ, соответствующий требованиям Приказа ФСБ № 796.
5.2. Требования к цифровому рублю
Участники платформы цифрового рубля должны использовать в мобильном приложении, обеспечивающем работу с цифровым рублем, СКЗИ, соответствующие требованиям:
- двухсторонней аутентификации участников
- шифрования данных транзакций (ГОСТ-34.12, ГОСТ-34.13)
- имитозащиты информации с аутентификацией отправителя сообщения (ГОСТ-34.11)
5.3. План внедрения требований к применению криптографии
С 1 октября 2025 года для обеспечения целостности распоряжений и подтверждения полномочий при помощи УНЭП необходимо использовать СКЗИ с сертификатом ФСБ и УЦ, соответствующий требованиям Приказа ФСБ № 796.
5.2. Требования к цифровому рублю
Участники платформы цифрового рубля должны использовать в мобильном приложении, обеспечивающем работу с цифровым рублем, СКЗИ, соответствующие требованиям:
- двухсторонней аутентификации участников
- шифрования данных транзакций (ГОСТ-34.12, ГОСТ-34.13)
- имитозащиты информации с аутентификацией отправителя сообщения (ГОСТ-34.11)
5.3. План внедрения требований к применению криптографии
- Аудит текущих СКЗИ — составить карту используемых средств криптографической защиты
- Поэтапная замена — обновить СКЗИ до 01.10.2025
- Контроль актуальности — организовать периодическую проверку сертификатов
6. Антимошеннические технологии и контроль SIM-карт
Положение 851-П предписывает КО внедрение комплексной системы противодействия SIM-свопу, при которой злоумышленники получают доступ к банковским сервисам путем подмены SIM-карты клиента. Согласно новым требованиям, банки обязаны автоматически приостанавливать доступ к мобильному приложению и блокировать использование сторонних систем авторизации (включая Госуслуги) при обнаружении факта замены SIM-карты до подтверждения легитимности этой операции альтернативными способами верификации.
6.1. Защита от SIM-свопа
Банки обязаны внедрить систему контроля замены SIM-карт клиентов.
При выявлении замены SIM-карты:
- запрет авторизации по номеру телефона в мобильном приложении.
- блокировка использования сторонних систем авторизации по номеру телефона (Госуслуги).
- требование подтверждения клиентом смены номера способами, не связанными с телефоном.
6.2. Расширенное логирование клиентских операций
С 1 октября 2025 года обязательная регистрация:
- даты и времени начала/окончания сессии
- технической информации об устройстве клиента
- географического местоположения устройства
- информации о системе устройства
6.3. Защита несовершеннолетних
Новые требования по уведомлению законных представителей:
- информирование об использовании электронных средств платежа
- уведомления о совершаемых операциях
- согласование операций свыше установленного лимита
Важно! Информирование должно выполняться в соответствии с его условиями и порядком, указанными в договоре, при наличии в нем подобных пунктов.
6.1. Защита от SIM-свопа
Банки обязаны внедрить систему контроля замены SIM-карт клиентов.
При выявлении замены SIM-карты:
- запрет авторизации по номеру телефона в мобильном приложении.
- блокировка использования сторонних систем авторизации по номеру телефона (Госуслуги).
- требование подтверждения клиентом смены номера способами, не связанными с телефоном.
6.2. Расширенное логирование клиентских операций
С 1 октября 2025 года обязательная регистрация:
- даты и времени начала/окончания сессии
- технической информации об устройстве клиента
- географического местоположения устройства
- информации о системе устройства
6.3. Защита несовершеннолетних
Новые требования по уведомлению законных представителей:
- информирование об использовании электронных средств платежа
- уведомления о совершаемых операциях
- согласование операций свыше установленного лимита
Важно! Информирование должно выполняться в соответствии с его условиями и порядком, указанными в договоре, при наличии в нем подобных пунктов.
7. Обновление методических рекомендаций: 12-МР → 3-МР
7.1. Ключевые изменения
Методические рекомендации 3-МР от 06.03.2025 заменили устаревшие 12-МР (от 02.11.2022) и расширили перечень кодов участников Платежной системы Банка России.
7.2. Алгоритм подготовки отчетности
Важно! Требования по предоставлению отчетности по форме 0409071 распространяются только на российские кредитные организации. Филиалам иностранных банков пока отправлять такую отчетность не нужно, но исполнять требования 851-П и реализовывать меры ГОСТ Р 57580.1-2017, а также проходить оценку они обязаны.
Методические рекомендации 3-МР от 06.03.2025 заменили устаревшие 12-МР (от 02.11.2022) и расширили перечень кодов участников Платежной системы Банка России.
7.2. Алгоритм подготовки отчетности
- Оценка соответствия ГОСТ 57580.1-2017
- Оценка технологических мер и требований к ПО Положений ЦБ по PDCA и расчет оценок по методике 3-МР
- Заполнение формы 0409071
- Отправка отчетности в ЦБ РФ в течение 30 рабочих дней после завершения оценки соответствия ГОСТ 57580.1-2017
- Повторить не позднее, чем через 2 года
Важно! Требования по предоставлению отчетности по форме 0409071 распространяются только на российские кредитные организации. Филиалам иностранных банков пока отправлять такую отчетность не нужно, но исполнять требования 851-П и реализовывать меры ГОСТ Р 57580.1-2017, а также проходить оценку они обязаны.
8. Формализация требований к срокам информирования об инцидентах
Внимание! Кредитные организации направляют информацию в ГосСОПКА через инфраструктуру ФинЦЕРТ.
9..Практические рекомендации по внедрению
9.1. Этапы подготовки к соответствию 851-П
Этап 1. Аудит и планирование (уже сейчас)
- Провести комплексный аудит текущего состояния ИБ
- Актуализировать реестр объектов ИТ-инфраструктуры
- Разработать план внедрения по всем группам требований
Этап 2. Базовое внедрение (до сентября 2025)
- Настроить централизованное логирование
- Подготовить процедуры по методике 3-МР
- Обучить персонал новым требованиям
Этап 3. Критические изменения (до 1 октября 2025)
- Внедрить контроль замены SIM-карт
- При использовании УНЭП перейти на СКЗИ и УЦ с сертификацией ФСБ
- Запустить расширенное логирование клиентских операций
Этап 4. Полное соответствие для филиалов иностранных банков (до 1 января 2027):
- Обеспечить стандартный уровень защиты
- Обеспечить уровень соответствия не ниже 4-го
Этап 1. Аудит и планирование (уже сейчас)
- Провести комплексный аудит текущего состояния ИБ
- Актуализировать реестр объектов ИТ-инфраструктуры
- Разработать план внедрения по всем группам требований
Этап 2. Базовое внедрение (до сентября 2025)
- Настроить централизованное логирование
- Подготовить процедуры по методике 3-МР
- Обучить персонал новым требованиям
Этап 3. Критические изменения (до 1 октября 2025)
- Внедрить контроль замены SIM-карт
- При использовании УНЭП перейти на СКЗИ и УЦ с сертификацией ФСБ
- Запустить расширенное логирование клиентских операций
Этап 4. Полное соответствие для филиалов иностранных банков (до 1 января 2027):
- Обеспечить стандартный уровень защиты
- Обеспечить уровень соответствия не ниже 4-го
10. Ключевые риски несоответствия
- Штрафы до 1% от размера уставного капитала за нарушение требований
- Ограничения на операции при критических нарушениях ИБ
- Репутационные риски при инцидентах безопасности
- Дополнительные проверки со стороны надзорных органов
Заключение
Положение 851-П представляет собой комплексную модернизацию требований к информационной безопасности в банковской сфере. Изменения в основном направлены на актуализацию требований и формализацию ранее рекомендованных практик. Успешная адаптация требует системного подхода, своевременного планирования и профессиональной экспертной поддержки.
Нужна помощь с внедрением 851-П?
Не рискуйте соответствием — доверьтесь профессионалам. Новые требования Положения 851-П ставят перед финансовыми организациями сложные задачи. Пока конкуренты тратят время на изучение нормативов, вы можете получить готовое решение от экспертов с многолетним опытом работы с регуляторными требованиями.
Услуги экспертов Infosecurity обеспечат вам полное соответствие требованиям
Не рискуйте соответствием — доверьтесь профессионалам. Новые требования Положения 851-П ставят перед финансовыми организациями сложные задачи. Пока конкуренты тратят время на изучение нормативов, вы можете получить готовое решение от экспертов с многолетним опытом работы с регуляторными требованиями.
Услуги экспертов Infosecurity обеспечат вам полное соответствие требованиям
- Комплексный аудит по 851-П — выявим все несоответствия и разработаем эффективный план устранения
- Оценка ОУД4 и помощь в сертификации программного обеспечения — гарантируем полное соответствие требованиям к ПО
- Экспресс-аудиты для филиалов иностранных банков — специальное предложение для организаций, впервые попавших под требования
- Внешний контроль и документирование — снизьте нагрузку на персонал с нашим аутсорсингом контрольных функций
Сроки адаптации к новым требованиям ограничены, а последствия несоответствия могут быть критичными для бизнеса. Свяжитесь с нашими экспертами сегодня для проведения предварительной оценки и разработки плана действий. Оставить заявку
