Положение БР №851-П от 30.01.2025 «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории РФ через свои филиалы, требований к обеспечению ЗИ при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

Положение Центрального банка Российской Федерации от 30.01.2025 № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

Ссылки

Изменяемые документы

Положение БР №683-П от 17.04.2019 «Об установлении обязательных для кредитных организаций требований к обеспечению ЗИ при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

Обзоры документа

Аналитический центр УЦСБ

9 марта 2025 года вступило в силу Положение Центрального банка РФ (далее – Банк России) от 30.01.2025 № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории РФ через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – 851-П).

851-П заменяет Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – 683-П) и включает следующие изменения:

в перечень участников банковской деятельности добавлены филиалы иностранных банков;
филиалам иностранных банков с 1 октября 2025 года до 31 декабря 2026 необходимо реализовать минимальный уровень защиты информации;
перечень защищаемой информации дополнен информацией, содержащейся в электронных сообщениях (в том числе составляющей банковскую тайну);
необходимо проводить оценку соответствия при внесении изменений в исходный текст:
- прикладного ПО автоматизированных систем (далее – АС) и приложений, которые используются для осуществления банковских операций и прошедших оценку соответствия;
- отдельного ПО, реализующего технологию обработки защищаемой информации;
в отношении ПО, распространяемого клиентам и эксплуатируемого на участках приема электронных сообщений через сеть «Интернет», необходимо провести сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю России (далее – ФСТЭК России) или оценку соответствия по требованиям не ниже, чем ОУД4;
кредитные организации и филиалы иностранных банков должны убедиться в том, что действия в целях осуществления банковской операции совершаются клиентом – физическим лицом или представителем клиента, которые были идентифицированы в соответствии с требованиями Федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
кредитные организации в случаях, предусмотренных договором об использовании электронного средства платежа, должны уведомлять законных представителей несовершеннолетних клиентов 14 – 18 лет, о переводе без согласия;
определены новые сроки предоставления кредитными организациями и филиалами иностранных банков в Банк России сведений о выявленных инцидентах, о принятых мерах и проведенных мероприятиях по реагированию на выявленный инцидент защиты информации:

№ п/п	Вид сведений	Срок предоставления
1.	Сведения о выявлении инцидента защиты информации	В течение 3 часов с момента выявления инцидента защиты информации, и (или) незаконного раскрытия банковской тайны, и (или) иной защищаемой информации, указанной в п. 1 851-П
2.	Сведения о выявлении незаконного раскрытия банковской тайны и (или) иной защищаемой информации, указанной в п. 1 851-П	В течение 3 часов с момента выявления инцидента защиты информации, и (или) незаконного раскрытия банковской тайны, и (или) иной защищаемой информации, указанной в п. 1 851-П
3.	Сведения о результатах расследования инцидента защиты информации или незаконного раскрытия банковской тайны и (или) иной защищаемой информации, указанной в п. 1 851-П	В течение 30 дней со дня направления в Банк России сведений о выявлении инцидента защиты информации, или незаконного раскрытия банковской тайны, и (или) иной защищаемой информации, указанной в п. 1 851-П
4.	Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 3 и 4 ст. ст. 13.12, если такие действия (бездействие) не содержат уголовно наказуемого деяния	В течение 3 часов с момента выявления компьютерного инцидента в случае его связи с функционированием значимого объекта критической информационной инфраструктуры. В течение 24 часов с момента выявления компьютерного инцидента во всех иных случаях

для системно значимых кредитных организаций, кредитных организаций, значимых на рынке платежных услуг вводятся требования, согласно которым они должны обеспечить возможность использования мобильной версии приложения для приема заявлений с указанием даты регистрации и регистрационного номера заявления о каждом случае совершения операций:
- без согласия клиента;
- с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием;
а также ряд других изменений.

Гарант ПРАЙМ

Банки должны обеспечивать защиту информации не только при денежных переводах, но и при совершении иных операций в рамках своей деятельности. Решено обновить требования. Они распространяются в т. ч. на иностранные банки, которые работают в России через свои филиалы.

Уточнены нормы об использовании средств электронной подписи и средств криптографической защиты информации. Введены механизмы противодействия совершению операций с использованием кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении доверием. Также прописаны нормы, направленные на предотвращение вовлечения несовершеннолетних в преступную деятельность с использованием финансовых механизмов.

Прежние требования признаны утратившими силу.

Положение вступает в силу по истечении 10 дней после его официального опубликования, за исключением отдельных норм, для которых установлены иные сроки.

Текст документа

Быстрый просмотр сохранённой копии

Хаб Злонова

Ссылки

Изменяемые документы

Обзоры документа

Аналитический центр УЦСБ

Гарант ПРАЙМ

Текст документа

Обратные ссылки

Реклама (эксперимент)

Оглавление

Недавние НПА

Обзор изменений в законодательстве за март 2025 года

58-ФЗ от 07.04.2025 «О внесении изменений в Федеральный закон "О безопасности КИИ"»

ПП-372 от 26.03.2025 «О проведении эксперимента по повышению уровня защищенности ГИС ФОИВ и подведомственных им учреждений»

Приказ ФСБ России №117 от 18.03.2025 «Об утверждении Требований о ЗИ, содержащейся в ГИС, иных ИС госорганов, ГУП, госучреждений, с использованием шифро(крипто)средств»

Реклама (эксперимент)