Оценка соответствия по 851-П: обзор положения Банка России

С 29 марта 2025 года в России вступает в силу новый нормативный документ — Положение Банка России № 851-П. Этот регламент пришел на смену устаревшему 683-П и устанавливает более строгие требования по защите информации в банковской сфере.

Основная цель документа — предотвратить несанкционированные переводы средств за счет повышения уровня кибербезопасности.

Все финансовые организации, включая филиалы иностранных банков, обязаны соответствовать установленным стандартам. В основе требований лежат принципы, изложенные в ГОСТ Р 57580.1–2017, а контроль соответствия проводится в соответствии с методикой ГОСТ Р 57580.2–2018.

Как проходит аудит?

Аудит на соответствие 851-П представляет собой детальное обследование системы информационной безопасности организации. В его рамках специалисты анализируют технические и организационные меры защиты, используя как дистанционные, так и очные методы проверки.

Процесс аудита включает:

• Изучение регламентирующей документации предприятия;
• Анализ конфигураций IT-инфраструктуры, включая сетевое оборудование, серверы и рабочие станции;
• Оценку эффективности установленных средств защиты;
• Проведение интервью с ответственными сотрудниками;
• Визуальное наблюдение за объектами информационной безопасности;
• Определение перечня уже реализованных мер защиты;
• Расчет степени соответствия требованиям на основе ГОСТ Р 57580.2–2018;
• Формирование рекомендаций по устранению выявленных несоответствий.

По завершении аудита организация получает подробный отчет с выводами о текущем уровне защищенности и перечнем необходимых улучшений.

Кого затрагивают требования 851-П?

Все кредитные организации на территории России обязаны соблюдать нормы 851-П.

В зависимости от их значимости и масштаба деятельности выделяют три категории:

1. Системно значимые кредитные организации и операторы платежной инфраструктуры — должны внедрять максимальный уровень защиты.
2. Прочие банки, зарегистрированные в России — обязаны реализовать стандартные меры безопасности.
3. Филиалы иностранных банков — до 31 октября 2026 года могут работать с минимальным уровнем защиты, но затем должны перейти на стандартный уровень.

Помимо аудита, банки обязаны ежегодно проводить тестирование на проникновение и комплексный анализ уязвимостей своих систем.

Какие выгоды получает заказчик?

Аудит на соответствие 851-П помогает не только формально соответствовать требованиям регулятора, но и существенно повышает уровень информационной безопасности организации.

Результаты аудита включают:

• Подробный отчет, оформленный по стандарту ГОСТ Р 57580.2–2018;
• Перечень рекомендаций по устранению уязвимостей и снижению киберрисков;
• Оптимизацию и доработку нормативной документации;
  Консультационное сопровождение по внедрению мер защиты;
  Оценку потенциальных рисков и рекомендации по их минимизации.

Благодаря своевременному аудиту кредитные организации могут избежать санкций со стороны регулятора и защитить своих клиентов от киберугроз.

Почему важно соблюдать 851-П?

Положение направлено на обеспечение безопасности финансовых операций и предотвращение несанкционированных переводов средств.

Несоответствие его требованиям создает благоприятные условия для кибератак, что может привести к утечке конфиденциальных данных, значительным финансовым потерям и ухудшению деловой репутации банка.