3-МР для 851-П - Контроль соответствия

Требования к технологическим мерам защиты информации
(Таблица 1.1. 3-МР)

Общие требования к обеспечению защиты информации

Кредитные организации, филиалы иностранных банков должны обеспечить целостность электронных сообщений.
В целях обеспечения целостности электронных сообщений кредитные организации, филиалы иностранных банков должны обеспечивать реализацию мер по использованию любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон "Об электронной подписи"), или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
При использовании усиленной неквалифицированной электронной подписи в целях обеспечения целостности электронных сообщений кредитные организации, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (далее - требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности). <1>
При осуществлении банковских операций с использованием мобильной версии приложения кредитные организации, являющиеся участниками платформы цифрового рубля, в целях обеспечения целостности электронных сообщений должны обеспечить применение СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, посредством использования которых реализуются двухсторонняя аутентификация, шифрование и имитозащита информации на прикладном уровне и (или) на уровне представления данных в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель" (далее - ГОСТ Р ИСО/МЭК 7498-1-99), в соответствии с требованиями нормативного акта Банка России, принятого на основании статьи 82.10 Федерального закона "О Центральном банке Российской Федерации (Банке России)", пункта 7 части 1, части 3 статьи 30.7 Федерального закона "О национальной платежной системе". <2>

<1> Абзац третий подпункта 5.1 пункта 5 действует с 01.10.2025.
<2> Абзац четвертый подпункта 5.1 пункта 5 действует с 01.10.2025.

Требование подпункта 5.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

6. Обеспечение защиты информации с помощью СКЗИ при осуществлении банковских операций осуществляется в соответствии с Федеральным законом "Об электронной подписи", Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 (далее - Положение ПКЗ-2005), приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" и технической документацией на СКЗИ.
В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности".

Требование пункта 6

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на всех технологических участках, указанных в подпункте 5.2 пункта 5

В случае если банковская операция осуществляется с использованием мобильной версии приложения, кредитные организации, филиалы иностранных банков должны проверить использование клиентом - физическим лицом абонентского номера подвижной радиотелефонной связи в случае его использования во взаимоотношениях с кредитной организацией, филиалом иностранного банка и использовать полученные сведения при анализе характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности).
Требование абзаца третьего подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

В случае если банковская операция осуществляется с использованием мобильной версии приложения, кредитные организации, филиалы иностранных банков должны контролировать изменение идентификационного модуля, определенного в соответствии с подпунктом 3.2 статьи 2 Федерального закона от 7 июля 2003 года N 126-ФЗ "О связи", используемого в устройстве клиента, идентифицированном в соответствии с абзацем вторым настоящего подпункта (далее - идентификационный модуль устройства клиента).
Требование абзаца четвертого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

В случае выявления факта изменения идентификационного модуля устройства клиента кредитные организации, филиалы иностранных банков не вправе осуществлять аутентификацию и авторизацию клиента с использованием абонентского номера подвижной радиотелефонной связи клиента или с использованием информационных систем третьих лиц, обеспечивающих аутентификацию и авторизацию физических лиц посредством указанного абонентского номера подвижной радиотелефонной связи, до момента подтверждения принадлежности клиенту абонентского номера подвижной радиотелефонной связи способом, не связанным с использованием абонентского номера подвижной радиотелефонной связи клиента, или с использованием информационных систем третьих лиц, обеспечивающих аутентификацию и авторизацию физических лиц посредством указанного абонентского номера подвижной радиотелефонной связи.
Требование абзаца пятого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Кредитные организации, филиалы иностранных банков должны реализовывать механизмы подтверждения использования клиентом адреса электронной почты в случае его использования во взаимоотношениях с кредитной организацией, филиалом иностранного банка, на который кредитной организацией, филиалом иностранного банка направляются уведомления о совершаемых банковских операциях, справки (выписки) по совершенным банковским операциям.
Требование абзаца девятнадцатого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке идентификации, аутентификации и авторизации клиентов при совершении действий в целях осуществления банковских операций

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце втором подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций, филиалов иностранных банков.

Требование абзаца второго подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде (далее - электронные сообщения)

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

двойной контроль посредством осуществления проверки правильности формирования (подготовки) электронных сообщений

Требование абзаца седьмого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

входной контроль посредством осуществления проверки правильности заполнения полей электронного сообщения и прав владельца электронной подписи

Требование абзаца восьмого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено кредитной организацией с учетом положений пункта 2.2 Положения Банка России от 29 июня 2021 г. N 762-П "О правилах осуществления перевода денежных средств", зарегистрированного Министерством юстиции Российской Федерации 25 августа 2021 г. N 64765, 25 апреля 2022 г. N 68320)

Требование абзаца девятого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

структурный контроль электронных сообщений

Требование абзаца десятого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

защиту при передаче по каналам связи защищаемой информации

Требование абзаца одиннадцатого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке удостоверения права клиентов кредитных организаций распоряжаться денежными средствами

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта

Требование абзаца тринадцатого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

получение от клиента подтверждения совершаемой банковской операции

Требование абзаца четырнадцатого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке осуществления банковской операции и учета результатов ее осуществления

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями

Требование абзаца шестнадцатого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях

Требование абзаца семнадцатого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором.

Требование абзаца восемнадцатого подпункта 5.2.1 пункта 5

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к прикладному программному обеспечению автоматизированных систем и приложений
(Таблица 2.1. 3-МР)

Требование подпункта 4.1 пункта 4 Положения Банка России N 851-П (в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций):

Кредитные организации, филиалы иностранных банков должны использовать для осуществления банковских операций прошедшие сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю в соответствии с порядком, установленным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации" (далее - сертификация), или прошедшие оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД4, предусмотренного пунктом 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" <2> (далее - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения), и обрабатывающие защищаемую информацию:

прикладное программное обеспечение автоматизированных систем и приложений, распространяемых клиентам для совершения действий в целях осуществления банковских операций;
программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее соответственно - отдельное программное обеспечение, сеть "Интернет").

В отношении прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, не указанных в абзацах втором и третьем настоящего подпункта, кредитные организации, филиалы иностранных банков должны самостоятельно определять необходимость проведения сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требование подпункта 4.1 пункта 4 Положения Банка России N 851-П (в отношении программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет"):

Кредитные организации, филиалы иностранных банков должны использовать для осуществления банковских операций прошедшие сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю в соответствии с порядком, установленным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации" (далее - сертификация), или прошедшие оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД4, предусмотренного пунктом 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" <2> (далее - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения), и обрабатывающие защищаемую информацию:

прикладное программное обеспечение автоматизированных систем и приложений, распространяемых клиентам для совершения действий в целях осуществления банковских операций;
программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее соответственно - отдельное программное обеспечение, сеть "Интернет").

В отношении прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, не указанных в абзацах втором и третьем настоящего подпункта, кредитные организации, филиалы иностранных банков должны самостоятельно определять необходимость проведения сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.

Оценка по 3/8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Методические рекомендации Банка России № 3-МР от 06.03.2025

Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 851-П

Группы областей

Список требований