+7 (495) 980-67-76

«ДиалогНаука» рассказывает о проекте изменений в Положение Банка России от 17 августа 2023 года №821-П

20 июля 2025

Компания «ДиалогНаука», системный интегратор в области информационной безопасности, информирует о проекте изменений в Положение Банка России от 17 августа 2023 года № 821-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». 

Ниже приведены основные планируемые изменения в Положение 821-П.

1. Изменения, направленные на гармонизацию с Положением Банка России от 30.01.2025 № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»:

  • включение в состав субъектов, на которых распространяется действие требований Положения, филиалов иностранных банков;
  • уточнены требования к составу регистрируемых событий при осуществлении клиентами действий в автоматизированных системах (в том числе в системах дистанционного банковского обслуживания):
    • дата и время начала и окончания соединения сессии на транспортном уровне при авторизации устройства, с которого осуществлен доступ к ДБО;
    • идентификационная информация устройства (IP и порт), ПК и/или сетевого оборудования;
    • идентификационная информация АС (ДБО) (IP и порт);
    • географическое местоположение устройства;
  • дополнительно вводится требование, предусматривающее в отношении некоторых мер Положения № 821-П реализацию процессов цикла PDCA (Планирование – Реализация – Контроль – Совершенствование). По сути, тот же подход, что и в Методических рекомендациях № 3-МР (от 06.03.2025), однако количество мер значительно расширено.

2. Оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений:

  • вводится необходимость проводить сертификацию или оценку соответствия по требованиям к оценочному уровню доверия ОУД не ниже ОУД 4, предусмотренного ГОСТ Р ИСО/МЭК 15408-3-2013, при внесении изменений в исходный код ПО;
  • появляется право не проводить сертификацию ПО или оценку по ОУД4 в случае, если организация пройдет сертификацию ФСТЭК России своих процессов разработки в соответствии с ГОСТ 56939-2024 (за исключением ПО с СКЗИ) (с 01.10.2027).

3. Определены требования по защите информации при осуществлении переводов денежных средств с использованием биометрических персональных данных (ПДн):

  • технологические участки логично были изменены: в них включены операции с использованием биометрических ПДн;
  • информация, связанная с идентификацией и/или аутентификацией с использованием биометрических ПДн, отнесена к защищаемой информации;
  • требования по сертификации ПО (или проведению оценки по уровню ОУД4) теперь распространяются и на приложения, используемые для приема/передачи идентификатора электронного средства платежа, применяемого для расчетов с использованием биометрических ПДн;
  • для защиты информации об идентификаторе электронного средства платежа, применяемого для расчетов с использованием биометрических ПДн, необходимо использовать СКЗИ не ниже КС1.

4. При регистрации событий безопасности вменяется обязанность применения ГЛОНАСС, обязательность синхронизации времени (раз в сутки), резервирование инфраструктуры, с использованием которой осуществляется получение времени с использованием ГЛОНАСС, и распространение на эту инфраструктуру требований ГОСТ 57580.1-2017, а также установление минимально допустимого времени расхождения времени на объектах инфраструктуры: не более 3 секунд на участках осуществления переводов денежных средств и не более 5 секунд на участке учета результатов операций и хранения информации.

5. Устанавливаются сроки информирования Банка России о выявленных инцидентах ЗИ (данные детализированы в Приложении 3).

6. Оценка технологических мер ЗИ и в отношении ПО АС (синхронизация с Методическими рекомендациями № 3-МР от 06.03.2025) должна осуществляться для операторов по переводу денежных средств и операторов услуг платежной инфраструктуры не реже одного раза в 2 года, а для операторов электронных платформ – одного раза в три года. Также уточнен состав технологических участков для разных субъектов национальной платежной системы:

  • требования к защите информации банковскими платежными агентами теперь распространяются и на процесс приема электронных средств платежа (не только формирование электронных сообщений), соответственно, добавился участок в таблице технологических мер ЗИ;
  • для операторов услуг платежной инфраструктуры (ОУПИ), осуществляющих деятельность операционных центров (ОЦ), в таблице технологических мер ЗИ убрали требования к участку хранения информации.

7. Утверждены/уточнены требования к отчетности в части реализованных мер защиты информации для субъектов национальной платежной системы:

  • для операторов по переводу денежных средств – форма 0409071;
  • для операторов услуг платежной инфраструктуры, являющихся кредитными организациями, – форма 0409071;
  • для операторов услуг платежной инфраструктуры, не являющихся кредитными организациями, – форма 0403202;
  • для операторов электронных платформ – форма 0420722.

Все требования (за исключением указанного выше) планируются к вступлению в силу с 01.10.2026.

Мы видим планомерное и логичное расширение субъектов и требований, которые были уже введены Положением Банка России № 851-П, и их гармонизацию между собой с учетом Методических рекомендаций 3-МР. Что также является достаточно логичным шагом. Вероятно, не все поднадзорные организации считали исполнение указанных рекомендаций обязательным. Теперь эта «серая зона» была нивелирована.

Также было отдельно отмечено, казалось бы, очевидное требование – если под-надзорные организации совмещают свою деятельность с кредитной организацией (КО) или некредитной организацией (НКО) и если они формируют один контур безопасности, то они должны его защищать по наиболее высокому уровню защиты информации по ГОСТ Р 57580.1-2017, в соответствии с установленными положениями Банка России. Возможно это также устранение «серых зон».

Из совершенно нового – необходимость выделения, включения в контур безопасности (по ГОСТ Р 57580.1-2017) и применения инфраструктуры для получения данных о времени из системы ГЛОНАСС. Странно, что в Положении Банка России № 851-П таких требований нет. Тут опять возникает регуляторный разрыв. Видимо, ожидаем новых изменений в Положения Банка России.

Из приятных сюрпризов необходимо отметить впервые зафиксированное мнение регулятора в отношении легитимности применения сертифицированных процессов разработки безопасного программного обеспечения (по ГОСТ Р 56939-2024) как альтернативы сертификации ФСТЭК России или проведении оценки соответствия по уровню ОУД 4 в отношении ПО АС. Правда, вступление в силу (по крайней мере, по проекту) откладывается до 01.10.2027. Возможно, это связано с пока отсутствующим стандартом по оценке соответствия процессов разработки требованиям ГОСТ Р 56939-2024, который находится в разработке ТК 362.

«Не все изменения очевидны в части их реализации, и какие будут подходы использовать поднадзорные организации, покажет время, а насколько хорошо – наши аудиты», – подытожил Сергей Канивец, Ведущий консультант Отдела консалтинга АО «ДиалогНаука».

Полный текст изменений выложен на официальном сайте Банка России: https://cbr.ru/Queries/XsltBlock/File/90538/6565.

1123
#ИБ
Подписаться на рассылку
Услуги
Оценка соответствия / Приведение в соответствие требованиям Банка России по информационной безопасности (Положения Банка России, 821-П, 802-П, 833-П, 757-П национальный стандарт ГОСТ Р 57580.1-2017, 57580.3-2022, 57580.4-2022)
Все услуги

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.