Оценка соответствия требованиям Положения Банка России № 851-П

Что такое оценка соответствия требованиям Положения Банка России № 851-П

Положение Банка России № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» зарегистрировано Минюстом РФ 6 марта 2025 года.

Положение 851-П пришло на смену Положению Банка России № 683-П, сохранив базовые подходы к обеспечению защиты информации, но дополнив и изменив отдельные требования, включая требования к оценке соответствия, учету инцидентов и мерам защиты информации. Обновленные требования (за исключением отдельных положений) вступают в силу с 29 марта 2025 года.

Цель оказания услуги — проведение независимой оценки выполнения требований Положения Банка России № 851-П, выявление несоответствий и формирование рекомендаций по повышению уровня защищенности и зрелости системы информационной безопасности.

На кого распространяется действие Положения 851-П

Требования Положения Банка России № 851-П распространяются на:

• кредитные организации;
• иностранные банки, осуществляющие деятельность на территории Российской Федерации через свои филиалы.

Оценка соответствия должна проводиться с привлечением сторонней организации не реже одного раза в два года.

Ключевые изменения и требования 851-П по сравнению с 683-П

В соответствии с методическими рекомендациями 3-МР Банка России необходимо проводить оценку выполнения технологических мер, отраженных в 851-П, не реже чем 1 раз в 2 года. Положение 851-П вводит ряд изменений и дополнительных требований, включая:

• установление требований к филиалам иностранных банков по уровням защиты информации в соответствии с ГОСТ Р 57580.1-2017:
  • с 01.10.2025 по 31.12.2026 — не ниже третьего уровня;
  • с 01.01.2027 — не ниже четвертого уровня;
• обязательное проведение оценки соответствия с привлечением сторонней организации не реже одного раза в два года;
• расширение требований по защите банковской тайны в электронных сообщениях;
• расширение перечня регистрируемых данных о действиях клиентов при идентификации, аутентификации и авторизации (с 01.10.2025): дата и время начала и окончания соединения в рамках сессии на транспортном уровне, ip-адрес и порт устройства клиента, ip-адрес и порт АС/ПО кредитной организации, геолокационные данные устройства клиента (при наличии);
• обязательность соблюдения цикла PDCA (планирование, реализация, контроль, совершенствование);
• требования по использованию программного обеспечения с уровнем доверия (ОУД) не ниже 5 уровня, а для системно-значимых организаций — не ниже 4 уровня;
• проверка принадлежности абонентского номера телефона клиенту;
• требования по приему заявлений о переводах без согласия клиента или под влиянием обмана (с 01.10.2025);
• установление конкретных сроков предоставления информации об инцидентах на каждом этапе реагирования (приложение 2).

Этапы проведения оценки соответствия

Оценка соответствия требованиям Положения Банка России № 851-П проводится поэтапно и включает обследование инфраструктуры, анализ документации, интервьюирование персонала и расчет итоговой оценки соответствия.

Сбор исходных сведений.

• Действия: сбор информации об информационной инфраструктуре Банка и существующей документации в области защиты информации.
• Результат: сформирован перечень объектов оценки и комплект исходных данных.

Анализ документации.

• Действия: анализ локальных нормативных документов и получение свидетельств аудита.
• Результат: выявленные несоответствия и зоны риска.

Интервьюирование персонала.

• Действия: интервьюирование ответственных сотрудников Банка.
• Результат: подтверждение фактического выполнения требований.

Обследование инфраструктуры.

• Действия: обследование объектов информационной инфраструктуры в рамках аудита.
• Результат: фактическая картина реализации мер защиты.

Проведение оценки соответствия.

• Действия: анализ собранной информации и подсчет баллов.
• Результат: предварительная оценка соответствия.

Разработка рекомендаций.

• Действия: подготовка рекомендаций по доработке системы обеспечения информационной безопасности.
• Результат: план корректирующих мероприятий.

Внесение изменений (опционально).

• Выполняется заказчиком или с привлечением исполнителя для достижения целевого уровня соответствия.

Итоговая оценка.

• Действия: расчет итоговой оценки по ГОСТ Р 57580.2-2018 по результатам всех доработок.
• Результат: подтвержденный уровень соответствия.

Подготовка отчетности.

• Действия: подготовка отчетных документов.
• Результат: отчет о проведенной оценке соответствия.

Результаты и преимущества для бизнеса

По результатам выполнения работ подготавливается:

• отчет о проведенной оценке соответствия в соответствии с ГОСТ Р 57580.2-2018;
• выводы о степени соответствия требованиям Положения Банка России № 851-П;
• рекомендации по повышению уровня защищенности и устранению выявленных несоответствий;
• помощь в подготовке отчета для Банка России по форме методических рекомендаций 3-МР от 06.03.2025.

Мы помогаем бизнесу пройти путь от формальной оценки соответствия к повышению зрелости информационной безопасности и реальной защищенности.