СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
IT TASK
27 мая
#Статьи #ИБ

Основные изменения в Положении № 851-П: ужесточение требований к защите данных в банках

Основные изменения в Положении 851-П: ужесточение требований к защите данных в банках

Изображение: Andrea Piacquadio (pexels)

Резкий рост мошенничества в банковской сфере побудил государство усилить регуляторные меры. В первом квартале 2025 года банки предотвратили 43,8 млн попыток хищения, что вдвое больше среднего показателя 2024 года. Общая сумма предотвращенных хищений составила 4,6 трлн рублей. На фоне этих угроз 30 января 2025 года Центробанк утвердил Положение № 851-П, направленное на усиление защиты данных и финансовой инфраструктуры.

Анна Коршунова, специалист ИБ IT Task, разбирает ключевые изменения.

Причины принятия

Зарегистрированное Минюстом 6 марта Положение № 851-П распространяется на все российские банки и представительства иностранных кредитных организаций. Его цель — сократить число хищений средств и персональных данных за счет более строгого регулирования.

Поводом к реформе стал рост мошеннических схем, включая манипуляции с доверием клиентов. В частности, с 1 апреля вступил в силу закон № 41-ФЗ, дополнивший уголовное право термином «злоупотребление доверием». В рамках парламентского рассмотрения отчета ЦБ за 2024 год был подготовлен проект № 884058-8. Он включает инициативы по цифровому рублю и универсальному платежному коду.

Параллельно были обновлены методические рекомендации Центробанка: № 3-МР пришли на смену устаревшим № 12-МР, утратившим актуальность.

Основные изменения по сравнению с Положением 683-П

1. Расширен перечень защищаемой информации

К электронным сообщениям, данным об операциях и ключам СКЗИ добавилась банковская тайна (регулируется ст. 26 ФЗ «О банках и банковской деятельности»).

2. Какие организации подлежат оценке

Одним из основных изменений стало внедрение обязательной оценки соответствия требованиям ГОСТ Р 57580, а также выполнение всех остальных положений нового нормативного акта.

Согласно Федеральному закону от 08.08.2024 № 275-ФЗ, филиал иностранного банка представляет собой структурное подразделение, имеющее только один офис на территории России с четко указанным адресом. Для начала работы филиал должен пройти аккредитацию или получить лицензию Банка России.

Такие филиалы вправе обслуживать исключительно юридических лиц. Взаимодействие с физическими лицами и индивидуальными предпринимателями запрещено — за исключением переводов без открытия счета и операций по покупке или продаже иностранной валюты.

3. Новые требования для филиалов иностранных банков

Ранее, несмотря на наличие рекомендаций соблюдать законодательство страны присутствия, ответственность за возможные нарушения лежала на головном офисе за рубежом. Такой подход не обеспечивал реальных гарантий соблюдения требований.

С вступлением в силу Положения № 851-П ситуация изменилась: теперь именно филиалы иностранных банков будут нести прямую ответственность за невыполнение норм. В связи с этим перед ними открываются два возможных сценария:

  • До 31 декабря 2026 года: пройти оценку на соответствие требованиям ГОСТ Р 57580.1 по минимальному уровню защиты информации и обеспечить уровень не ниже третьего.
  • После 1 января 2027 года: пройти оценку уже по стандартному уровню защиты информации и в течение четырех месяцев обеспечить соответствие ГОСТ на уровне не ниже четвертого.

В дальнейшем такие оценки должны проводиться раз в два года, причем обязательный уровень соответствия остаётся не ниже четвертого.

4. Сертификация ПО

ПО для электронных сообщений выделено в отдельную категорию, и для него системно значимые организации обязаны соблюдать ОУД4.

Если в исходный код ПО были внесены изменения, то необходимо повторно аттестовываться.

5. Жесткий контроль клиентских устройств

Банки обязаны блокировать операции при изменении IMEI устройства и требовать личного визита клиента для подтверждения личности.

6. Криптозащита данных

С 1 октября 2025:

  • для УНЭП потребуются: подтвержденные ФСБ средства электронной подписи;
  • для цифрового рубля: сертифицированные СКЗИ для обеспечения целостности сообщений.

7. Учет мошеннических операций

С 1 октября 2025 года вводится уточненное понятие «операция без согласия клиента», которое теперь включает случаи, когда согласие получено:

  • под влиянием обмана;
  • при злоупотреблении доверием.

Крупные банки обязаны внедрить в мобильные приложения функцию подачи жалоб на такие операции. Остальные организации должны обеспечить прием заявлений через другие каналы.

При мошенничестве в отношении детей банки обязаны уведомлять законных представителей

8. Что не поменялось

Без изменений остались следующие пункты:

  • Ежегодные тесты на проникновение уязвимостей и оценка защиты по ГОСТ Р 57580.1-2017;
  • Периодичность проверок — раз в 2 года (с привлечением лицензиатов ФСТЭК «б», «д», «е»).

Заключение

ЦБ усиливает контроль за информационной безопасностью в банковской сфере, делая ее более устойчивой и прозрачной. Особое внимание уделяется филиалам иностранных банков, которые обязаны проходить оценку соответствия.

В фокусе новых требований:

1. Иностранные банки и ГОСТ 57580;

2. Прием заявлений от клиентов;

3. Требования к СКЗИ.

Реализация этих норм делают банковскую сферу менее уязвимой и повышают доверие клиентов.

IT TASK
Автор: IT TASK
Компания "АйТи Таск" – системный интегратор в области информационных технологий и информационной безопасности.
Комментарии: