О нас О нас
Услуги Услуги
Экспертные материалы Экспертные материалы
Контакты Контакты
ФБК
ФБК Legal
Положение Банка России №851-П: обновленные требования к обеспечению защиты информации для кредитных организаций

Положение Банка России №851-П: обновленные требования к обеспечению защиты информации для кредитных организаций

22 июня 2025

18.03.2025 на сайте Банка России было опубликовано Положение №851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (https://www.garant.ru/hotlaw/federal/1803033/), которое заменит действующее положение №683-П и внесет существенные изменения в сферу регулирования информационной безопасности кредитно-финансового сектора.

Вносимые изменения призваны:

  • включить в сферу регулирования иностранные банки, которые работают в России через свои филиалы;
  • снизить количество финансовых преступлений за счет внедрения новых механизмов противодействия совершению операций без добровольного согласия;
  • защитить права и законные интересы клиентов кредитных организации;
  • повысить уровень кибербезопасности в банковском секторе – уточняя и дополняя существующие требования по защите информации.

Обновленные требования (за исключением отдельных положений) вступают в силу с 29 марта 2025 года.

Ключевые нововведения Положения №851-П

Требования к защите информации для филиалов иностранных банков

Одной из предпосылок издания Положения №851-П было принятие Федерального закона от 08.08.2024 №275-ФЗ «О внесении изменений в Федеральный закон «О банках и банковской деятельности» и отдельные законодательные акты Российской Федерации», которым в качестве отдельного субъекта финансовой системы были введены филиалы иностранных банков. Новое Положение также включает их в область своего регулирования и устанавливает для них поэтапные требования к реализуемому уровню защиты информации по ГОСТ Р 57580.1-2017:

  • с даты вступления в силу Положения по 31.12.2026 – минимальный уровень защиты информации, уровень соответствия не ниже третьего;
  • с 01.01.2027 – стандартный уровень защиты информации, уровень соответствия не ниже четвертого;
  • оценка соответствия уровню защиты информации, предусмотренному ГОСТ Р 57580.1-2017, – не реже одного раза в два года с привлечением проверяющих организаций.

Расширение состава защищаемой информации

В состав защищаемой информации включена банковская тайна, содержащаяся в документах, составленных при осуществлении банковских операций в электронном виде.

1. Дополнение перечня сведений о действиях клиентов

С 01.10.2025 регистрации дополнительно подлежат следующие данные о действиях клиентов на этапе их идентификации, аутентификации и авторизации:

  • дата и время начала и окончания соединения в рамках сессии на транспортном уровне;
  • ip-адрес и порт устройства, с использованием которого осуществлен доступ к АС/ПО кредитной организации;
  • ip-адрес и порт АС/ПО кредитной организации;
  • геолокационные данные устройства клиента (при наличии).

2. Реализация функционала приема обращений клиентов

С 01.10.2025 системно значимые кредитные организации и кредитные организации, значимые на рынке платежных услуг, будут обязаны обеспечить для клиентов-физических лиц посредством мобильных приложений возможность:

  • подать заявление о каждом случае операции без добровольного согласия;
  • сформировать справку об операции без добровольного согласия;
  • подтвердить, что операция, в отношении которой получен запрос Банка России, является операцией без добровольного согласия.

Также с 01.10.2025 кредитные организации должны обеспечить возможность приема и регистрацию заявлений физических лиц о случаях зачисления наличных денежных средств на банковские счета третьих лиц с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств, осуществленного под влиянием обмана или при злоупотреблении доверием.

3. Уведомление законных представителей

Обязанности кредитных организации дополнены необходимостью уведомления (в случаях, предусмотренных договором об использовании ЭСП) законных представителей (родителей, усыновителей или попечителя) несовершеннолетних клиентов в возрасте от 14 до 18 лет о:

  • предоставлении указанным клиентам ЭСП;
  • совершаемых указанными клиентами операциях.

3. Дополнительные требования по противодействию

Обязанности кредитных организации дополнены необходимостью установления в рамках реализуемой системы управления рисками (в случаях, предусмотренных договором об использовании ЭСП) ограничений по параметрам операций по приему наличных денежных средств с использованием преобразованных данных платежной карты посредством банкоматов или иных технических устройств.

4. Уточнение требований к СКЗИ

С 01.10.2025 кредитные организации в случае применения усиленной неквалифицированной электронной подписи (УНЭП) обязаны использовать средства ЭП и средства УЦ, имеющие подтверждение соответствия требованиям ФСБ России. Для мобильных приложений кредитных организаций, участвующих в платформе цифрового рубля, также предусмотрено использование СКЗИ с подтверждением соответствия требованиям ФСБ России.

5. Контроль использования мобильных номеров

Обязанности кредитных организации дополнены необходимостью осуществления контроля изменения идентификационного модуля (SIM-карты) в устройстве клиента и в случае выявления факта его изменения – реализации запрета на осуществление аутентификации и авторизации клиента с использованием абонентского номера клиента или сторонних сервисов для аутентификации и авторизации, использующих указанный номер, до момента подтверждения принадлежности абонентского номера клиенту.

6. Уточнение отдельных действующих положений

  • Конкретизированы условия повторной оценки соответствия программного обеспечения по требованиям к оценочному уровню доверия (ОУД)
  • Зафиксирована обязанность кредитных организаций при реализации требований к обеспечению защиты информации использовать цикл PDCA
  • Добавлена обязанность по проверке легитимности совершаемых клиентами банковских операций в соответствии с 115-ФЗ
  • Закреплена обязанность кредитных организаций самостоятельно проводить не реже одного раза в два года оценку выполнения требований к обеспечению защиты информации
  • На уровне Положения зафиксированы сроки предоставления кредитными организациями в Банк России сведений о выявленных инцидентах защиты информации
Получать все новости
Delivery Club
Банк Халынов
Альфа Банк
Home Credit Bank
YAMAHA
@Mail.ru
Центр Внедрения ПРОТЕК
Ростелеком Контакт-центр
FREEDOM finance Банк
Банк Санкт-Петербург
Банк Солидарность
Еврофинанс Моснарбанк
ИКБАНК
Эlmedica
Металлинвестбанк
Roland
Pay p.s.
СДМ банк
Политика в отношении обработки персональных данных
© ООО «ЭфБиКей Сайберсекьюрити» 2025
Настоящий веб-сайт использует файлы cookie, чтобы обеспечить удобную работу пользователей с ним и функциональные возможности сайта. Нажимая кнопку «Я принимаю», вы соглашаетесь с условиями использования файлов cookie в соответствии с «Политикой в отношении обработки персональных данных». Вы можете в любое время отключить файлы cookie в настройках своего браузера.
Я принимаю
Форма обратной связи
Подписка на рассылку новостей
Подпишитесь на наши
новости прямо сейчас!