Оценка соответствия требованиям Положения Банка России № 851-П

Кому нужна оценка по 851-П

Услуга предназначена для организаций, на которые распространяется регулирование Банка России в части защиты информации при осуществлении банковской деятельности:

• кредитных организаций;
• небанковских кредитных организаций;
• иностранных банков, работающих в России через филиалы;
• подразделений ИБ, ИТ, комплаенса и внутреннего контроля, отвечающих за соблюдение регуляторных норм.

Проверка особенно актуальна, если вашей организации нужно подтвердить уровень защиты информации, подготовиться к отчетности, выявить несоответствия до внешней проверки или оценить готовность к переходу с 683-П на актуальное регулирование по 851-П.

Когда нужна проверка по 851-П

Аудит по 851-П целесообразно проводить, если банк или филиал иностранного банка:

• готовится к плановой оценке защиты информации;
• должен подтвердить соответствие по ГОСТ Р 57580.2-2018;
• формирует сведения для отчетности по форме 0409071;
• менял ИТ-инфраструктуру, автоматизированные системы или процессы обработки защищаемой информации;
• внедрял либо обновлял дистанционные банковские сервисы;
• проводил изменения в процессах идентификации, аутентификации или авторизации клиентов;
• хочет заранее выявить отклонения от норм Банка России;
• переходит с 683-П на новое регулирование по 851-П.

Регулярная независимая оценка позволяет не ограничиваться формальной проверкой документов. Вы понимаете фактическое состояние защиты информации: какие меры реализованы, где есть разрывы, какие действия нужно выполнить до отчетного периода или запроса регулятора.

Какие риски помогает закрыть оценка соответствия № 851-П

Проверка помогает выявить нарушения и слабые места, которые могут повлиять на соблюдение норм Банка России, устойчивость процессов ИБ, а также корректность отчетности.

В рамках работ анализируются риски, связанные с:

• неполной реализацией положений 851-П;
• недостаточным уровнем соответствия по ГОСТ Р 57580.2-2018;
• отсутствием подтверждающих документов и свидетельств внедрения мер защиты;
• несоответствиями в процессах обработки защищаемой информации;
• недостаточной регистрацией действий работников и клиентов;
• нарушениями в управлении инцидентами защиты информации;
• пробелами в защите прикладного ПО и автоматизированных систем;
• некорректной подготовкой сведений для отчетности;
• отсутствием плана устранения выявленных нарушений.

Результаты проверки нужны не только для подтверждения соответствия. Они помогают управлять рисками ИБ на уровне процессов, инфраструктуры, документов и отчетных материалов.

Что регулирует Положение Банка России № 851-П

Положение № 851-П устанавливает обязательные правила защиты информации при осуществлении банковской деятельности. Основная цель регулирования — противодействие переводам денежных средств без согласия клиента, а также защита информации, которая обрабатывается в автоматизированных системах кредитной организации.

851-П заменило Положение № 683-П и уточнило регулирование по нескольким направлениям: защита банковской информации, регистрация действий клиентов и работников, учет инцидентов, технологические меры защиты, безопасность прикладного программного обеспечения, а также порядок оценки фактического состояния ИБ.

Для кредитных организаций это означает необходимость не только внедрить организационные и технические меры, но также регулярно подтверждать их фактическое выполнение.

Что проверяется в рамках работ

В рамках аудита анализируются документы, процессы, инфраструктура, автоматизированные системы и фактическое выполнение мер защиты информации.

Проверка может включать:

• локальные нормативные документы по информационной безопасности;
• описание объектов информационной инфраструктуры;
• процессы обработки защищаемой информации;
• автоматизированные системы и прикладное ПО;
• технологические участки банковских операций;
• меры идентификации, аутентификации и авторизации;
• регистрацию действий работников и клиентов;
• процессы фиксации и расследования инцидентов ИБ;
• соответствие ГОСТ Р 57580.1-2017;
• расчет показателей по ГОСТ Р 57580.2-2018;
• внедрение технологических мер защиты информации;
• безопасность прикладного программного обеспечения;
• готовность данных для отчетности по форме 0409071.

Перечень проверяемых объектов зависит от инфраструктуры банка, состава автоматизированных систем, применяемых сервисов дистанционного обслуживания, объема защищаемой информации и внутренних процессов организации.

Этапы оценки по 851-П

1. Сбор исходных данных

Определяется состав объектов проверки. Анализируются сведения об информационной инфраструктуре, автоматизированных системах, процессах обработки защищаемой информации, а также действующих внутренних документах.

После этого формируется перечень объектов оценки и список материалов, необходимых для дальнейшей работы.

2. Анализ документации

Изучаются локальные нормативные акты, политики, регламенты, модели угроз, документы по управлению доступом, реагированию на инциденты и эксплуатации средств защиты информации.

По результатам анализа фиксируются документальные несоответствия, недостающие свидетельства и зоны, где требуется доработка внутренних материалов.

3. Интервьюирование ответственных сотрудников

Проводятся интервью с представителями ИБ, ИТ, владельцами процессов, внутренним контролем и другими ответственными подразделениями.

Это позволяет сопоставить документы с фактической практикой и выявить расхождения между регламентами и реальным выполнением мер защиты.

4. Обследование инфраструктуры

Проверяются автоматизированные системы, технологические участки, процессы регистрации событий, управление доступом, средства защиты информации и другие элементы инфраструктуры, связанные с 851-П.

После этого этапа становится понятно, как меры защиты реализованы на практике и какие участки требуют дополнительной проверки или доработки.

5. Расчет показателей соответствия

На основании собранных данных проводится оценка по ГОСТ Р 57580.2-2018 и рассчитываются показатели защищенности.

После расчета определяется текущий уровень соответствия и перечень положений, по которым есть отклонения.

6. Подготовка рекомендаций

Для выявленных несоответствий формируются рекомендации: какие документы нужно доработать, какие процессы изменить, какие технические или организационные меры внедрить.

Рекомендации оформляются в виде плана корректирующих мероприятий с приоритетами и понятной последовательностью действий.

7. Сопровождение устранения несоответствий

При необходимости специалисты СБК помогают устранить выявленные нарушения: доработать документы, настроить процессы, подготовить недостающие свидетельства и повторно проверить реализацию мер защиты.

Такой формат снижает риск повторного выявления тех же нарушений при последующей проверке или запросе регулятора.

8. Подготовка итогового отчета

По итогам работ формируется отчет. В нем фиксируются результаты проверки, уровень соответствия, выявленные несоответствия, выводы и рекомендации.

Отчет можно использовать для внутреннего контроля, планирования доработок и подготовки отчетности в Банк России.

Что вы получите по итогам работ

По результатам независимой оценки защиты информации вы получаете:

• отчет о проведенной проверке;
• выводы о соблюдении Положения Банка России № 851-П;
• расчет уровня соответствия по ГОСТ Р 57580.2-2018;
• перечень выявленных несоответствий;
• описание рисков, связанных с нарушением регуляторных норм;
• рекомендации по устранению замечаний;
• план корректирующих мероприятий;
• консультационную поддержку по подготовке сведений для отчетности;
• при необходимости — сопровождение внедрения корректирующих мер.

Итоговый результат — не только подтверждение текущего уровня соответствия. Вы получаете понятный план действий для повышения зрелости процессов информационной безопасности.

Регуляторная база

При проведении работ учитываются:

• Положение Банка России № 851-П;
• ГОСТ Р 57580.1-2017;
• ГОСТ Р 57580.2-2018;
• Указание Банка России № 6406-У в части отчетности по форме 0409071;
• Методические рекомендации Банка России 3-МР от 06.03.2025;
• правила защиты информации при использовании СКЗИ;
• порядок фиксации и информирования об инцидентах защиты информации;
• законодательство о безопасности критической информационной инфраструктуры, если объекты организации относятся к КИИ.