Положение Банка России от 30 января 2025 г. № 851-П

Положение Банка России от 30 января 2025 г. № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента (заменяющее № 683-П).

Ключевые выдержки из Положения Ц Б РФ от 30.01.2025 № 851-П:

1) Для противодействия финансовым операциям без согласия пользователя устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации.

2) Объекты информации для защиты:
— защита электронных сообщений,
— информация, необходимая для авторизации клиентов при совершении операции,
— информация об осуществленных банковских операций,
— криптографические ключи, связанные с осуществлением финансовых операций.

3) Среди требований:
— Необходимо соблюдать требования 152-ФЗ в отношении защиты персональных данных.
— Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
— Должно использоваться сертифицированное прикладное ПО или ПО, в отношении которого проведена оценка уязвимостей к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4. Это требование распространяется на:
а) программное обеспечение, распространяемое клиентам для осуществления банковских операций;
б) программное обеспечение, обрабатывающее защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети Интернет.

4) Кредитные организации должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.

5) Эксплуатация СКЗИ в соответствии с технической документацией, а применение СКЗИ — только сертифицированных ФСБ России.

6) Кредитные организации должны: - обеспечивать рекомендации для клиентов по защите информации от воздействия вредоносных кодов в целях противодействия осуществлению переводов денежных средств без согласия клиента;
— довести до клиентов информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления банковских операций.

7) Кредитные организации должны обеспечивать регистрацию инцидентов защиты информации. По каждому инциденту регистрируются следующие данные:
а) защищаемая информация, обрабатываемая на технологическом участке, на котором произошел несанкционированный доступ к защищаемой информации;
б) результат реагирования на инцидент защиты информации, в том числе действий по возврату денежных средств или электронных денежных средств.

8) Кредитные организации должны осуществлять информирование Банка России, в том числе на основании его запросов:
а) — о явленных инцидентах защиты информации, включенных в перечень типов инцидентов,
б) о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети Интернет, выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия.

9) Оценка соответствия защиты информации должна осуществляться в соответствии с ГОСТ Р 57 580.2−2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

10) Кредитные организации должны обеспечить уровень соответствия не ниже четвертого с 1 января 2023 года.

11) При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитными организациями, являющимися объектами критической информационной инфраструктуры Российской Федерации, настоящее Положение применяется наряду с требованиями ФЗ от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Источник

Ответственность:
В части законодательства о банках и банковской деятельности:
  • Статья 19 ФЗ «О банках и банковской деятельности»: принятие Банком России мер в отношении организаций, допустивших нарушение, а именно штрафы, предписания, ограничения деятельности.
В части законодательства о национальной платежной системе:
  • ч.2 ст. 13.12 КоАП РФ: Нарушение правил защиты информации
  • ст. 13.14 КоАП РФ: Разглашение информации с ограниченным доступом
  • ч.2 ст. 15.26 КоАП РФ: Нарушение законодательства о банках и банковской деятельности
  • ст. 15.36 КоАП РФ: Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе

Ответственные лица
  • Руководители государственных органов (организаций)
  • Зам. руководителя по ИБ

Связанные документы:

ИТ-решения, которые закрывают требования нормативных документов

  • vGate превью Средство защиты компонентов виртуальной платформы.
  • Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
  • Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
  • Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
  • Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
  • Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
  • Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций
  • Jinn Server  превью Система массовой проверки и формирования электронной подписи в юридически значимом электронном документообороте.
  • Соболь  превью Надежный программно-аппаратный комплекс, обеспечивающий доверенную загрузку операционной системы.
  • ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
  • ViPNet Client 4/4U превью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
  • ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
  • ViPNet Coordinator KB превью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
  • ViPNet CSP 4 превью Инструмент для надежной криптографической защиты информации.
  • ViPNet CSS Connect превью Приложение для защищенного общения корпоративных пользователей.
  • ViPNet HSM превью Высокопроизводительная программно-аппаратная криптографическая платформа в составе продуктовой линейки ViPNet PKI.
  • ViPNet PKI Client превью Универсальный программный комплекс, предназначенный для решения основных задач пользователя при работе с сервисами.
  • ViPNet PKI Service превью Программно-аппаратный комплекс предназначенный для выполнения криптографических операций в прикладных сценариях информационных систем: генерации ключей, формирования и проверки электронной подписи (ЭП), шифрования данных.
  • ViPNet Terminal 4 превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
  • ViPNet TLS Gateway превью Шлюз безопасности, обеспечивающий аутентификацию пользователей и создание защищенных соединений в соответствии с TLS-протоколом.
  • ViPNet Coordinator HW 4/5 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
  • ViPNet Coordinator VA 4/5 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
  • ViPNet L2−10G превью Программно-аппаратный комплекс (ПАК) ViPNet L2−10G — шлюз безопасности, который обеспечивает шифрование данных в канале Ethernet (темная оптика, MAN, WAN, выделенный канал).