Новая эпоха киберзащиты в финансовом секторе: что меняет Положение ЦБ № 851-П

С 29 марта 2025 года в банковской системе России вступают в силу обновлённые правила информационной безопасности. Министерство юстиции зарегистрировало Положение Банка России № 851-П, которое полностью перестраивает подход к защите данных и борьбе с киберугрозами, заменяя прежний норматив № 683-П.

Основные изменения и акценты 851-П

По сравнению с предыдущим документом новый акт вводит несколько ключевых новшеств:

1. Расширенные объекты защиты.

   Теперь официально под охрану подпадает не только информация в базах данных, но и весь электронный обмен между банком и клиентами, включая защищаемую банковскую тайну.

2. Обязательное применение цикла PDCA.

   Если ранее принцип «Планируй — Выполняй — Проверяй — Улучшай» рассматривался как рекомендация, то теперь он закреплён как обязательный элемент. Это значит, что банки должны не просто внедрить средства защиты, но и выстроить непрерывный процесс анализа и совершенствования.

3. Иностранные филиалы под едиными правилами.

   Новое положение впервые прямо распространяется на зарубежные подразделения кредитных организаций. Для них определён переходный период:

   • с октября 2025 по декабрь 2026 года — обеспечение минимального уровня защиты (не ниже 3-го уровня по ГОСТ 57580.1);
   • с января 2027 года — переход на стандартный уровень (4-й уровень соответствия и выше).

   Аудит необходимо проходить каждые два года при участии независимых экспертов.

4. Доверенное программное обеспечение.

   Все банковские системы и клиентские приложения должны использовать только то ПО, которое прошло оценку соответствия не ниже уровня ОУД-4. Для системно значимых организаций требования ещё строже — требуется подтверждение 5-го уровня доверия.

5. Усиление борьбы с мошенничеством.

   Внедряются конкретные меры против переводов, совершённых под давлением или обманом:

   • проверка владельца телефонного номера при его изменении в профиле клиента;
   • обязательная фиксация параметров входа (IP, геолокация, время, устройство);
   • внедрение автоматизированного анализа транзакций по требованиям 115-ФЗ;
   • обязательный приём заявлений клиентов о переводах без согласия. Для крупнейших банков это должно быть реализовано прямо в мобильных приложениях.
6. Ужесточённые требования к шифрованию.

   С октября 2025 года, если электронное сообщение не подписано квалифицированной ЭП, оно должно быть защищено неквалифицированной подписью, созданной средствами, сертифицированными ФСБ.

Что положение 851-П даст рынку и клиентам

Положение № 851-П решает две стратегические задачи:

1. Унификация стандартов.

   Все участники, включая иностранные филиалы, обязаны работать по единым требованиям. Это делает систему в целом более устойчивой к кибератакам.

2. Снижение рисков мошенничества.

   Внедряются конкретные практические инструменты — контроль номеров, регистрация параметров аутентификации, упрощённая подача заявлений о спорных переводах.

Для банков выполнение новых правил потребует инвестиций в IT-инфраструктуру и пересмотра процессов, а для клиентов это означает дополнительную защиту средств и персональных данных.

Положение № 851-П знаменует переход от общих деклараций к практико-ориентированному регулированию, которое должно значительно повысить безопасность финансовых операций в России.