Вышло новое положение Банка России № 851-П. Отличия в сравнении с 683-П. На что стоит обратить внимание
Положение Банка России № 851-П от 30 января 2025 г (далее – 851-П) вступило в силу 29.03.2025 г. и устанавливает требования к защите информации в кредитных организациях и филиалах иностранных банков, осуществляющих свою деятельность на территории Российской Федерации, направленные на уменьшение случаев совершения платежей без согласия клиента.
Время чтения: 8 минут. Сложность: средняя
29.03.2025 вступило в силу новое положение 851-П, которое пришло на смену 683-П.
851-П распространяется на кредитные организации и филиалы иностранных банков, осуществляющих финансовую деятельность на территории Российской Федерации (далее – КО и ФИБ).
Так же, как и в 683-П, защите подлежит информация в автоматизированных и информационных системах (далее - ЗИ), используемых для осуществления банковских операций (далее - БО):
Требования предъявляются к защите информации при переводах денежных средств:
Ключевые изменения в новом положении:
851-П распространяется на кредитные организации и филиалы иностранных банков, осуществляющих финансовую деятельность на территории Российской Федерации (далее – КО и ФИБ).
Так же, как и в 683-П, защите подлежит информация в автоматизированных и информационных системах (далее - ЗИ), используемых для осуществления банковских операций (далее - БО):
- электронные сообщения о БО;
- авторизационная информация;
- информация о БО;
- ключи СКЗИ.
Требования предъявляются к защите информации при переводах денежных средств:
- в отношении АС, ПО, СВТ, телекоммуникационного оборудования, используемых для БО (далее - объекты ИИ);
- к прикладному ПО АС и приложений;
- технологиям обработки.
Ключевые изменения в новом положении:
- Добавлены новые участники - Филиалы иностранных банков
- Небольшие изменения по сертификации прикладного ПО АС и приложений и оценке ОУД4
- Изменения требований к СКЗИ
- Введение новых технологических мер
- Введение новых понятий: операции без согласия, под влиянием обмана и с злоупотреблением доверия и требования по недопущению этих операций
- Введение новых методических рекомендаций по направлению отчетностей
- Новые сроки подачи информации по инцидентам
Ниже рассматриваются изменения положения БР 851-П относительно 683-П.
Оценка по ОУД4 должна проводиться при каждом изменении, вносимом в код прикладного ПО АС и приложений
Филиалы иностранных банков, осуществляющие деятельность на территории РФ теперь должны выполнять те же требования, что и отечественные банки.
В рамках ОУД4: системно значимые КО и ФИБ вправе сами определять необходимость проведения сертификации или оценки соответствия ОУД4 для прикладного ПО АС и приложений, не обрабатывающих защищенную информацию.
Оценка по ОУД4 должна проводиться при каждом изменении, вносимом в код прикладного ПО АС и приложений.
В рамках ОУД4: системно значимые КО и ФИБ вправе сами определять необходимость проведения сертификации или оценки соответствия ОУД4 для прикладного ПО АС и приложений, не обрабатывающих защищенную информацию.
Оценка по ОУД4 должна проводиться при каждом изменении, вносимом в код прикладного ПО АС и приложений.
Требования касательно использования ЭП
При использовании УНЭП необходимо использовать сертифицированные ФСБ России средства ЭП и средства УЦ
Для обеспечения целостности так же, как и в 683-П, необходимо обеспечить использование УНЭП, УКЭП или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
При использовании УНЭП необходимо использовать сертифицированные ФСБ России средства ЭП и средства УЦ, что накладывает дополнительные расходы на обеспечение данного требования. Раньше такого требования к банкам не было.
Для КО, являющихся участниками платформы цифрового рубля, для обеспечения целостности электронных сообщений должны использоваться сертифицированные ФСБ России СКЗИ, при помощи которых реализуются двухсторонняя аутентификация, шифрование и имитозащита информации на прикладном уровне или на уровне представления данных в соответствии с моделью ЭМВОС.
При использовании УНЭП необходимо использовать сертифицированные ФСБ России средства ЭП и средства УЦ, что накладывает дополнительные расходы на обеспечение данного требования. Раньше такого требования к банкам не было.
Для КО, являющихся участниками платформы цифрового рубля, для обеспечения целостности электронных сообщений должны использоваться сертифицированные ФСБ России СКЗИ, при помощи которых реализуются двухсторонняя аутентификация, шифрование и имитозащита информации на прикладном уровне или на уровне представления данных в соответствии с моделью ЭМВОС.
Технические требования защиты информации
При использовании мобильного приложения, кредитные организации, филиалы иностранных банков должны обеспечить контроль изменения идентификационного модуля устройства клиента (номера SIM-карты).
Введен новый блок требований регистрации действий клиентов на участке ИАА.
Регистрации подлежат следующие данные:
Введен новый блок требований регистрации действий клиентов на участке ИАА.
Регистрации подлежат следующие данные:
- дата (день, месяц, год) и время (часы, минуты, секунды) начала соединения и окончания соединения сессии, при авторизации устройства, с использованием которого осуществлен доступ к ОИИ;
- идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к АС, ПО с целью осуществления банковских операций (сетевой и транспортный адрес (порт) компьютера и (или) коммуникационного устройства (маршрутизатора)…;
- идентификационная информация, используемая для адресации ОИИ (сетевой и транспортный адрес (порт) АС кредитной организации);
- географическое местоположение устройства, с использованием которого осуществлен доступ к ОИИ (при наличии).
Иные требования
Введены новые требования для операций без согласия, под влиянием обмана и с злоупотреблением доверия. КО должны обеспечить в мобильном приложении возможность подачи заявлений.
Так же введено требование для операций, осуществляемых несовершеннолетними клиентами.
В рамках реализуемой КО системы управления рисками, КО должны устанавливать ограничения по параметрам (на сумму одной операции, общую сумму, период времени) операций по приему наличных денежных средств с использованием преобразованных данных платежной карты, посредством банкоматов или иных технических устройств.
КО должны обеспечить возможность использования мобильной версии приложения для приема заявлений клиентов - физических лиц о каждом случае совершения операций без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием, для формирования на основании указанного заявления справки о каждой указанной операции, содержащей информацию, указанную в приложении 1 к положению 851-П.
КО должны обеспечить прием заявлений о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.
КО должны уведомлять законных представителей (родителей, усыновителей или попечителя) несовершеннолетних клиентов в возрасте от 14 до 18 лет о предоставлении указанным несовершеннолетним клиентам электронных средств платежа, о совершаемых указанными несовершеннолетними клиентами операциях с использованием электронных средств платежа.
КО и ФИБ к инцидентам (событиям), связанным с нарушением требований к обеспечению защиты информации, должны относить:
Так же введено требование для операций, осуществляемых несовершеннолетними клиентами.
В рамках реализуемой КО системы управления рисками, КО должны устанавливать ограничения по параметрам (на сумму одной операции, общую сумму, период времени) операций по приему наличных денежных средств с использованием преобразованных данных платежной карты, посредством банкоматов или иных технических устройств.
КО должны обеспечить возможность использования мобильной версии приложения для приема заявлений клиентов - физических лиц о каждом случае совершения операций без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием, для формирования на основании указанного заявления справки о каждой указанной операции, содержащей информацию, указанную в приложении 1 к положению 851-П.
КО должны обеспечить прием заявлений о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.
КО должны уведомлять законных представителей (родителей, усыновителей или попечителя) несовершеннолетних клиентов в возрасте от 14 до 18 лет о предоставлении указанным несовершеннолетним клиентам электронных средств платежа, о совершаемых указанными несовершеннолетними клиентами операциях с использованием электронных средств платежа.
КО и ФИБ к инцидентам (событиям), связанным с нарушением требований к обеспечению защиты информации, должны относить:
- события, которые привели или могут привести к осуществлению банковских операций без согласия клиента;
- события по неоказанию услуг, связанных с осуществлением банковских операций;
- события, включенные в перечень типов инцидентов, согласованный с ФСБ России в ГосСОПКА.
Новые методические рекомендации
Информация о рекомендуемых формах и сроке предоставления отчетов размещается на сайте ЦБ РФ.
Центральный Банк так же опубликовал новые методические рекомендации 3-МР, по расчету выполнения технологических мер защиты информации на замену 12-МР.
Новая методика 3-МР не вносит изменений в методику расчета численных показателей.
Основные нововведения 3-МР – обновление существующих технологических мер ЗИ, по которым должны вестись расчеты, заносимые в 1 и 2 разделы формы отчетности 0409071. Причём напрямую не рассматриваются технологические меры, представленные в 851-П, а рекомендуется при оценке использовать аналогичные меры, представленные в 683-П.
Новая методика 3-МР не вносит изменений в методику расчета численных показателей.
Основные нововведения 3-МР – обновление существующих технологических мер ЗИ, по которым должны вестись расчеты, заносимые в 1 и 2 разделы формы отчетности 0409071. Причём напрямую не рассматриваются технологические меры, представленные в 851-П, а рекомендуется при оценке использовать аналогичные меры, представленные в 683-П.
Требования необходимые к выполнению филиалам иностранных банков
Рекомендуется до 01.01.2027 провести GAP-анализ и вводить необходимую техническую реализацию требований ГОСТ 57580.
Иностранным банкам, которые осуществляют свою деятельность на территории РФ через свои филиалы, необходимо:
o После 01.01.2027 (но не позднее 29.03.2027) провести оценку соответствия по стандартному уровню ЗИ, обеспечить уровень соответствия требованиям ГОСТ 57580.1 не ниже четвертого.
Рекомендуется до 01.01.2027 провести GAP-анализ и вводить необходимую техническую реализацию требований ГОСТ 57580.
- Обеспечить выполнение всех действующих в настоящий момент технологических мер ЗИ;
- Провести оценку соответствия требованиям ГОСТ 57580.1:
o После 01.01.2027 (но не позднее 29.03.2027) провести оценку соответствия по стандартному уровню ЗИ, обеспечить уровень соответствия требованиям ГОСТ 57580.1 не ниже четвертого.
- Последующие оценки соответствия по ГОСТ 57580.1 должны проводиться каждые 2 года с момента проведения прошлой.
Рекомендуется до 01.01.2027 провести GAP-анализ и вводить необходимую техническую реализацию требований ГОСТ 57580.
Требования необходимые к выполнению филиалам иностранных банков
29.03.2025 – вступление в силу положения 851-П.
01.10.2025 – Требования по использованию УНЭП, регистрация аутентификации клиентов, прием заявлений клиентов.
01.01.2027 – Ужесточение требований к Филиалам иностранных банков (оценка ГОСТ 57580 – стандартный уровень не ниже четвертого уровня соответствия).
01.10.2025 – Требования по использованию УНЭП, регистрация аутентификации клиентов, прием заявлений клиентов.
01.01.2027 – Ужесточение требований к Филиалам иностранных банков (оценка ГОСТ 57580 – стандартный уровень не ниже четвертого уровня соответствия).
04 АПРЕЛЯ / 2025
По всем вопросам свяжитесь с нами любым удобным способом:
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02
E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02