Положение Банка России № 851-П от 30.01.2025

13.1. Оценка соответствия защиты информации должна осуществляться в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" <12> (далее - ГОСТ Р 57580.2-2018).
<12> Утвержден и введен в действие 1 сентября 2018 года приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018).

13.2. Оценка соответствия защиты информации должна осуществляться с привлечением проверяющих организаций.

В целях обеспечения защиты информации кредитные организации, филиалы иностранных банков должны хранить результат оценки соответствия защиты информации, подготовленный проверяющей организацией в виде отчета, не менее пяти лет начиная с даты его выдачи проверяющей организацией.

13.3. Кредитные организации должны обеспечивать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6ГОСТ Р 57580.2-2018.
Филиалы иностранных банков должны обеспечивать уровень соответствия защиты информации не ниже третьего, предусмотренного подпунктом "г" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.<1-12>
Филиалы иностранных банков должны обеспечивать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6ГОСТ Р 57580.2-2018. <1-13>
<1-11> Абзац второй подпункта 13.3 пункта 13 Положения действует по 31.12.2026.
<1-12> Абзац третий подпункта 13.3 пункта 13 действует с 01.01.2027.

13.4. Оценка соответствия защиты информации и оценка выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, кредитными организациями, филиалами иностранных банков должны осуществляться не реже одного раза в два года.

13.5. Кредитные организации при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет значений указанной оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в пунктах 4.3 и 5.3 Порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации", установленного Указанием Банка России от 10 апреля 2023 года N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" <13>.
<13> Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный N 74823, с изменениями, внесенными Указаниями Банка России от 8 декабря 2023 года N 6621-У (зарегистрировано Минюстом России 22 января 2024 года, регистрационный N 76927), от 12 марта 2024 года N 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный N 78345), от 10 июля 2024 года N 6800-У (зарегистрировано Минюстом России 25 октября 2024 года, регистрационный N 79916), от 4 сентября 2024 года N 6840-У (зарегистрировано Минюстом России 10 октября 2024 года, регистрационный N 79758), от 16 декабря 2024 года N 6961-У (зарегистрировано Минюстом России 19 декабря 2024 года, регистрационный N 80633).