851-П: как Банк России меняет правила ИБ-игры для финансового сектора

Финансовые организации готовятся к масштабным изменениям в сфере информационной безопасности. Банк России ввел новое положение 851-П, которое принципиально меняет подход к защите данных. Новые требования предполагают жесткие дедлайны и повышенную ответственность — включая значительные штрафы и обязательство оперативно уведомлять регулятор обо всех инцидентах.

О ключевых нововведениях, которые затронут финансовый сектор в период с 2025 по 2027 год, и о том, как подготовиться к изменениям, — разбираем в статье.

Иностранные филиалы под контролем

Впервые под действие 851-П подпадают филиалы иностранных банков. Ранее они были исключены из системы нормативного контроля Банка России. Эта мера стала следствием принятия Федерального закона № 275-ФЗ, который закрепил статус таких филиалов как полноценных субъектов финансового рынка.

Для таких организаций установлены четкие сроки адаптации. До конца 2026 года им нужно внедрить как минимум третий уровень защиты по ГОСТ 57580.1-2017. С 1 июля 2027 года — выйти на стандартный (второй) уровень защиты и не ниже четвертого уровня соответствия.

Фактически, филиалам предстоит за два года пройти путь, на который у российских банков ушли годы. В качестве первоочередных мер рекомендуется: провести аудит защиты информации с привлечением внешней лицензированной организации ФСТЭК, оценить выполнение нормативов 851-П (силами внутренних или привлеченных экспертов), разработать детальный план совершенствования СЗИ, подготовить полный пакет документов для отчетности в Банк России и обучить персонал новым процедурам.

При этом самое главное — переходный период не освобождает от ответственности: базовые правила нужно соблюдать уже сейчас.

Непрерывность вместо формальности

Новое положение предписывает внедрение цикла Plan-Do-Check-Act (PDCA) для всех процессов информационной безопасности. Регулятор меняет парадигму от эпизодических мер к системному подходу, основанному на цикле непрерывного улучшения. Это означает, что формальное соответствие требованиям уступает место динамичной системе управления рисками, которая требует постоянного мониторинга, анализа и актуализации защитных мер.

На практике это выражается в необходимости интегрировать PDCA во все ИБ-процессы, отказаться от разовых мероприятий в пользу планового пересмотра и совершенствования системы защиты, а также документировать процесс непрерывного контроля и улучшения.

Одна инфраструктура — наивысший уровень защиты

Обновленное положение 851-П закрывает правовой пробел для организаций, которые совмещают разные виды деятельности (например, банкинг и брокерские услуги). Раньше можно было пытаться разделить уровни защиты. Теперь правило простое: если инфраструктура общая, применяется самый строгий уровень из всех возможных.

Рассмотрим пример: для банковской деятельности установлен стандартный уровень защиты, а для брокерской — минимальный. Если серверы одни и те же, то применяется стандартный как наиболее строгий.

Чтобы корректно применять этот принцип, следует провести инвентаризацию, определить уровни для каждого вида деятельности, найти общие элементы и выбрать самый высокий уровень. Далее — задокументировать и обосновать.

Технический апгрейд: сертификация, криптография и борьба с мошенниками

Банкам предстоит масштабная работа:

1. Жесткая сертификация ПО. Системно значимые банки при выборе варианта сертификации программного обеспечения обязаны сертифицировать его не ниже 4-го уровня доверия по приказу ФСТЭК № 76. Остальные кредитные организации — не ниже 5-го уровня. Процедуру нужно успеть пройти за 18 месяцев после получения статуса.
2. Усиление требований к криптографии. С 1 октября 2025 года все УНЭП должны работать на средствах криптозащиты (СКЗИ), сертифицированных ФСБ. Удостоверяющие центры также должны соответствовать новым строгим стандартам. Участники платформы цифрового рубля обязаны использовать в своих приложениях только ГОСТовское шифрование.
3. Противодействие SIM-свопу. Банки обязаны внедрить системы мониторинга за подменой SIM-карт. Если обнаружена смена, необходимо немедленно блокировать авторизацию по номеру и требовать подтверждение личности иными способами.
4. Расширенное логирование клиентских операций. С 1 октября 2025 года вводится обязательная расширенная регистрация данных о клиентских операциях. Необходимо будет собирать детальный цифровой след по каждой операции: от геолокации и сведений об операционной системе устройства до точного времени сессии.
5. Защита детей. Для несовершеннолетних клиентов вводятся уведомления родителей об операциях и обязательное согласование трат сверх лимита.

Жесткие дедлайны: об инциденте — за 3 часа

В новом положении прописаны четкие сроки информирования регулятора о различных типах происшествий. Если произошел критический инцидент информационной безопасности или утечка данных, информацию необходимо предоставить в ЦБ в течение 3 часов с момента обнаружения. Если выявлена атака на значимый объект КИИ, также сообщение должно быть направлено в течение 3 часов.

Если ситуация связана с функционированием прочих объектов КИИ, установлен срок в течение 24 часов.

Кроме оперативного информирования, необходимо предоставлять итоговый отчет с результатами расследования в течение 30 дней.

Цена ошибки

За нарушение требований или срыв сроков грозят серьезные последствия. Штрафы могут достигать 1% от размера уставного капитала. Надзорные органы могут запретить проведение отдельных операций. Кроме того, организации могут столкнуться с усилением надзора — количеством и длительностью проверок. Также это удар по репутации и снижение доверия со стороны клиентов и партнеров.

Вывод

Положение 851-П комплексно обновляет нормативы по информационной безопасности для банковского сектора. Изменения в основном направлены на актуализацию ранее принятых практик и их формализацию. Чтобы соответствовать новым требованиям, банкам понадобится системный подход, тщательное планирование и помощь экспертов.