Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Положение Банка России № 851-П от 30.01.2025

Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

П.5

Для проведения оценки соответствия по документу войдите в систему.

Список требований

5. Кредитные организации, филиалы иностранных банков должны выполнять следующие требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации:
5.1. Кредитные организации, филиалы иностранных банков должны обеспечить целостность электронных сообщений.
В целях обеспечения целостности электронных сообщений кредитные организации, филиалы иностранных банков должны обеспечивать реализацию мер по использованию любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон "Об электронной подписи"), или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Требование начнет действовать с 01.10.2025

При использовании усиленной неквалифицированной электронной подписи в целях обеспечения целостности электронных сообщений кредитные организации, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (далее - требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности).<1-3>
<1-3>Абзац третий подпункта 5.1 пункта 5 действует с 01.10.2025.
При осуществлении банковских операций с использованием мобильной версии приложения кредитные организации, являющиеся участниками платформы цифрового рубля, в целях обеспечения целостности электронных сообщений должны обеспечить применение СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, посредством использования которых реализуются двухсторонняя аутентификация, шифрование и имитозащита информации на прикладном уровне и (или) на уровне представления данных в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель" <4> (далее - ГОСТ Р ИСО/МЭК 7498-1-99), в соответствии с требованиями нормативного акта Банка России, принятого на основании статьи 82.10 Федерального закона "О Центральном банке Российской Федерации (Банке России)", пункта 7 части 1, части 3 статьи 30.7 Федерального закона "О национальной платежной системе". <1-4>
<4> Принят постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 и введен в действие 1 января 2000 года (М., ИПК "Издательство стандартов", 1999).
<1-4> Абзац четвертый подпункта 5.1 пункта 5 действует с 01.10.2025
5.2. Кредитные организации, филиалы иностранных банков должны осуществлять регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором - пятом пункта 1 настоящего Положения, при совершении следующих действий (далее - технологические участки):
- идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций, в том числе идентификация клиентов при создании сертификатов ключей проверки электронных подписей и выдаче таких сертификатов клиентам в соответствии с требованиями пункта 1 части 1 статьи 13 Федерального закона "Об электронной подписи" в целях осуществления операций с цифровыми рублями;
- формирование (подготовка), передача и прием электронных сообщений;
- удостоверение права клиентов распоряжаться денежными средствами;
- осуществление банковской операции, учет результатов ее осуществления;
- хранение электронных сообщений и информации об осуществленных банковских операциях.
5.2.1. Технология обработки защищаемой информации, применяемая на всех технологических участках, указанных в подпункте 5.2 настоящего пункта, должна обеспечивать целостность и достоверность защищаемой информации.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце втором подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций, филиалов иностранных банков.
В случае если банковская операция осуществляется с использованием мобильной версии приложения, кредитные организации, филиалы иностранных банков должны проверить использование клиентом - физическим лицом абонентского номера подвижной радиотелефонной связи в случае его использования во взаимоотношениях с кредитной организацией, филиалом иностранного банка и использовать полученные сведения при анализе характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности).
В случае если банковская операция осуществляется с использованием мобильной версии приложения, кредитные организации, филиалы иностранных банков должны контролировать изменение идентификационного модуля, определенного в соответствии с подпунктом 3.2 статьи 2 Федерального закона от 7 июля 2003 года N 126-ФЗ "О связи", используемого в устройстве клиента, идентифицированном в соответствии с абзацем вторым настоящего подпункта (далее - идентификационный модуль устройства клиента).
В случае выявления факта изменения идентификационного модуля устройства клиента кредитные организации, филиалы иностранных банков не вправе осуществлять аутентификацию и авторизацию клиента с использованием абонентского номера подвижной радиотелефонной связи клиента или с использованием информационных систем третьих лиц, обеспечивающих аутентификацию и авторизацию физических лиц посредством указанного абонентского номера подвижной радиотелефонной связи, до момента подтверждения принадлежности клиенту абонентского номера подвижной радиотелефонной связи способом, не связанным с использованием абонентского номера подвижной радиотелефонной связи клиента, или с использованием информационных систем третьих лиц, обеспечивающих аутентификацию и авторизацию физических лиц посредством указанного абонентского номера подвижной радиотелефонной связи.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
двойной контроль посредством осуществления проверки правильности формирования (подготовки) электронных сообщений;
входной контроль посредством осуществления проверки правильности заполнения полей электронного сообщения и прав владельца электронной подписи;
контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено кредитной организацией в соответствии с пунктом 2.2 Положения Банка России от 29 июня 2021 года N 762-П "О правилах осуществления перевода денежных средств" <5>);
структурный контроль электронных сообщений;
защиту при передаче по каналам связи защищаемой информации.
<5> Зарегистрировано Минюстом России 25 августа 2021 года, регистрационный N 64765, с изменениями, внесенными Указаниями Банка России от 25 марта 2022 года N 6104-У (зарегистрировано Минюстом России 25 апреля 2022 года, регистрационный N 68320), от 3 августа 2023 года N 6497-У (зарегистрировано Минюстом России 10 августа 2023 года, регистрационный N 74717).
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;
получение от клиента подтверждения совершаемой банковской операции.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями;
проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях;
направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором.
Кредитные организации, филиалы иностранных банков должны реализовывать механизмы подтверждения использования клиентом адреса электронной почты в случае его использования во взаимоотношениях с кредитной организацией, филиалом иностранного банка, на который кредитной организацией, филиалом иностранного банка направляются уведомления о совершаемых банковских операциях, справки (выписки) по совершенным банковским операциям.
В случае использования единой системы идентификации и аутентификации, определенной в соответствии с пунктом 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - единая система идентификации и аутентификации), кредитные организации, филиалы иностранных банков должны соблюдать требования к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210 <6>, а также требования технической и эксплуатационной документации по подключению к единой системе идентификации и аутентификации.
<6> Зарегистрирован Минюстом России 25 августа 2015 года, регистрационный N 38668, с изменениями, внесенными приказом Министерства связи и массовых коммуникаций Российской Федерации от 22 февраля 2017 года N 71 (зарегистрирован Минюстом России 2 июня 2017 года, регистрационный N 46934).
5.2.2. Кредитные организации, филиалы иностранных банков должны регистрировать результаты выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, указанных в подпункте 5.2 настоящего пункта, включая регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.
5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) осуществления банковской операции;
присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат осуществления банковской операции (успешная или неуспешная);
идентификационная информация, используемая для адресации устройства, с использованием и в отношении которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (адрес компьютера и (или) коммуникационного устройства (маршрутизатора) на сетевом уровне).
5.2.4. Регистрации подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) совершения действий клиентом в целях осуществления банковской операции;
присвоенный клиенту идентификатор, позволяющий установить клиента в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат совершения клиентом действия в целях осуществления банковской операции (успешная или неуспешная);
идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (адрес компьютера и (или) коммуникационного устройства (маршрутизатора) на сетевом уровне, международный идентификатор абонента (индивидуальный номер абонента клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, абонентский номер подвижной радиотелефонной связи и (или) иной идентификатор устройства).
Регистрации дополнительно подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения на технологическом участке, указанном в абзаце втором подпункта 5.2 настоящего пункта:<1-5>
дата (день, месяц, год) и время (часы, минуты, секунды) начала соединения и окончания соединения сессии на транспортном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, при авторизации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций; <1-6>
идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (адрес на сетевом уровне и адрес на транспортном уровне (порт) компьютера и (или) коммуникационного устройства (маршрутизатора), предусмотренные разделом 11 государственного стандарта Российской Федерации ГОСТ Р ИСО 7498-3-97 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 3. Присвоение имен и адресация" <7> (далее - ГОСТ Р ИСО 7498-3-97); <1-7>
идентификационная информация, используемая для адресации автоматизированной системы, программного обеспечения, к которым осуществлен доступ с целью осуществления банковских операций (адрес на сетевом уровне и адрес на транспортном уровне (порт) автоматизированной системы, программного обеспечения, предусмотренные разделом 11 ГОСТ Р ИСО 7498-3-97); <1-8>
географическое местоположение устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (при наличии).<1-9>
<7> Принят и введен в действие с 1 июля 1998 года постановлением Комитета Российской Федерации по стандартизации, метрологии и сертификации от 19 августа 1997 года N 286 (М., ИПК "Издательство стандартов", 1997).
<1-5> Абзац седьмой подпункта 5.2.4 пункта 5 действует с 01.10.2025.
<1-6> Абзац восьмой подпункта 5.2.4 пункта 5 действует с 01.10.2025.
<1-7> Абзац девятый подпункта 5.2.4 пункта 5 действует с 01.10.2025.
<1-8> Абзац десятый подпункта 5.2.4 пункта 5 действует с 01.10.2025.
<1-9> Абзац одиннадцатый подпункта 5.2.4 пункта 5 действует с 01.10.2025.
5.2.5. Кредитные организации, филиалы иностранных банков должны хранить информацию, указанную в абзацах втором, четвертом пункта 1, подпунктах 5.2.3 и 5.2.4 настоящего пункта, абзацах четвертом и пятом пункта 12 настоящего Положения, а также обеспечивать ее целостность и доступность не менее пяти лет начиная с даты ее формирования (поступления).
5.2.6. При выполнении клиентами действий с использованием автоматизированных систем, программного обеспечения на технологических участках, предусмотренных абзацами вторым, четвертым подпункта 5.2 настоящего пункта, кредитные организации, филиалы иностранных банков должны убедиться в том, что действия в целях осуществления банковской операции совершаются тем клиентом - физическим лицом либо тем представителем клиента, которые были идентифицированы в соответствии с требованиями Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
5.3. Кредитные организации, филиалы иностранных банков должны обеспечить подтверждение составления электронных сообщений уполномоченным на это лицом.
Кредитные организации, филиалы иностранных банков в целях подтверждения составления электронных сообщений уполномоченным на это лицом должны:
- обеспечить использование электронной подписи в соответствии с Федеральным законом"Об электронной подписи";
- осуществлять признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, в соответствии со статьей 6 Федерального закона "Об электронной подписи".
При использовании усиленной неквалифицированной электронной подписи в целях подтверждения составления электронных сообщений уполномоченным на это лицом кредитные организации, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности. <1-10>
В целях обеспечения целостности электронных сообщений кредитные организации, филиалы иностранных банков должны обеспечивать реализацию мер по использованию любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона "Об электронной подписи"), или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
<1-10> Абзац пятый подпункта 5.3 пункта 5 действует с 01.10.2025.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.