Положение 851-П
«Об установлении обязательных для КО, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
Действующая редакция
с 30 января 2025
Описание Положения 851-П
Объекты:
Кредитные организации (КО).
Иностранные банки, осуществляющие деятельность на территории Российской Федерации через свои филиалы.
Самое главное:
851-П устанавливает обязательные для КО и филиалов иностранных банков требования к обеспечению защиты информации при осуществлении банковской деятельности. Цель требований – минимизация рисков и противодействие осуществлению переводов денежных средств (в том числе электронных) без согласия клиента (владельца счета).
Используемые термины:
Кредитная организация (КО) – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Банка России имеет право осуществлять банковские операции, предусмотренные Федеральным законом от 02.12.1990 № 395-I «О банках и банковской деятельности». К ним относятся банки и небанковские КО.
Иностранный банк – банк, признанный таковым по законодательству иностранного государства, на территории которого он зарегистрирован.
Электронные сообщения – информация, в том числе составляющая банковскую тайну, содержащаяся в документах, составленных при осуществлении банковских операций в электронном виде.
Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация и использование которых обеспечиваются КО, филиалом иностранного банка для осуществления банковских операций.
Технологические участки – участки осуществления финансовых операций:
- идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций, в том числе идентификация клиентов при создании сертификатов ключей проверки электронных подписей и выдаче таких сертификатов клиентам в соответствии с требованиями пункта 1 части 1 статьи 13 Федерального закона «Об электронной подписи» в целях осуществления операций с цифровыми рублями;
- формирование (подготовка), передача и прием электронных сообщений;
- удостоверение права клиентов распоряжаться денежными средствами;
- осуществление банковской операции, учет результатов ее осуществления;
- хранение электронных сообщений и информации об осуществленных банковских операциях.
Идентификационный модуль устройства клиента – идентификационный модуль, определенный в соответствии с подпунктом 3 статьи 2 Федерального закона от 7 июля 2003 года № 126-ФЗ «О связи», используемый в устройстве клиента, идентифицированном в соответствии с абзацем вторым подпункта 5.2.1 851-П.
Электронное средство платежа – средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт и их преобразованных данных (токенизированных (цифровых) платежных карт), а также иных технических устройств.
Электронный кошелек – электронное средство платежа (за исключением предоплаченных карт), использованное в системах (средствах) дистанционного обслуживания в целях совершения операций по переводу электронных денежных средств.
Информация, которую необходимо защищать
Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств:
- информации, в том числе составляющей банковскую тайну, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде, формируемых работниками КО, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, и (или) клиентами КО, филиалов иностранных банков;
- информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
- информации об осуществленных банковских операциях;
- информации, связанной с приемом к исполнению и исполнением распоряжений пользователя платформы цифрового рубля;
- ключевой информации средств криптографической защиты информации (СКЗИ), в том числе средств электронной подписи, используемой при осуществлении банковских операций.
В случае если защищаемая информация содержит персональные данные, КО, филиалы иностранных банков должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Определение уровня защиты для КО и реализация ГОСТ Р 57580.1-2017
Усиленный уровень защиты информации по ГОСТ Р 57580.1-2017 должны реализовывать:
- системно значимые КО, КО, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, КО, значимые на рынке платежных услуг.
Стандартный уровень защиты информации по ГОСТ Р 57580.1-2017 должны реализовывать:
- КО, не относящиеся к КО, указанным в абзаце втором подпункта 3.1 851-П.
Минимальный уровень защиты информации по ГОСТ Р 57580.1-2017 должны реализовывать:
- филиалы иностранных банков.
КО, указанные в абзаце третьем подпункта 3.1 851-П, ставшие КО, указанными в абзаце втором подпункта 3.1 851-П, не позднее восемнадцати месяцев после того, как стали КО, указанными в абзаце втором подпункта 3.1 851-П, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня защиты информации.
КО, филиалы иностранных банков, совмещающие деятельность с деятельностью некредитной финансовой организации, оператора услуг информационного обмена, оператора услуг платежной инфраструктуры, оператора электронных платформ и формирующие в отношении объектов информационной инфраструктуры один контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация наиболее высокого уровня защиты информации, установленного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, из предусмотренных настоящим пунктом и нормативными актами Банка России, устанавливающими на основании статьи 76 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и части 3 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» требования к обеспечению защиты информации для некредитных финансовых организаций, операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ.
КО должны обеспечивать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом «д» пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.
Филиалы иностранных банков должны обеспечивать уровень соответствия защиты информации не ниже третьего, предусмотренного подпунктом «г» пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.
Оценка соответствия защиты информации и оценка выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, КО, филиалами иностранных банков должны осуществляться не реже одного раза в два года.
Требования к обеспечению защиты информации, применяемые в отношении прикладного ПО автоматизированных систем и приложений
КО, филиалы иностранных банков должны использовать для осуществления банковских операций прошедшее сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю в соответствии с порядком, установленным постановлением Правительства Российской Федерации от 26 июня 1995 года № 608 «О сертификации средств защиты информации», или прошедшее оценку соответствия по требованиям к оценочному уровню доверия (ОУД) не ниже чем ОУД4, предусмотренного пунктом 7.6 раздела 7 ГОСТ Р ИСО/МЭК 15408-3-2013, и обрабатывающее защищаемую информацию:
- прикладное программное обеспечение автоматизированных систем и приложений, распространяемое клиентам для совершения действий в целях осуществления банковских операций;
- программное обеспечение, эксплуатируемое на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет».
В отношении прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, не указанных выше, КО, филиалы иностранных банков должны самостоятельно определять необходимость проведения сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.
Системно значимые КО, КО, значимые на рынке платежных услуг, в случае принятия ими решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года № 76.
КО, не являющиеся системно значимыми КО и не являющиеся значимыми на рынке платежных услуг, филиалы иностранных банков в случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 5 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года № 76.
КО, не являющиеся системно значимыми КО и не являющиеся значимыми на рынке платежных услуг, ставшие системно значимыми КО или значимыми на рынке платежных услуг, не позднее восемнадцати месяцев после того, как стали КО, указанными в абзаце первом настоящего подпункта, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года № 76.
КО, филиалы иностранных банков, которые используют для осуществления банковских операций прошедшее оценку соответствия прикладное программное обеспечение автоматизированных систем и приложений, а также отдельное программное обеспечение, при внесении изменений в исходный текст указанного прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, реализующего технологию обработки защищаемой информации в соответствии с подпунктом 5.2 пункта 5 851-П, должны проводить оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.
Требования к обеспечению защиты информации, применяемые в отношении технологии обработки защищаемой информации
Целостность электронных сообщений:
- В целях обеспечения целостности электронных сообщений КО, филиалы иностранных банков должны обеспечивать реализацию мер по использованию любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи», или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
- При использовании усиленной неквалифицированной электронной подписи в целях обеспечения целостности электронных сообщений КО, филиалы иностранных банков должны обеспечить использование усиленной неквалифицированной электронной подписи, созданной с использованием средств электронной подписи и средств удостоверяющего центра, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом «ш» части первой статьи 13 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности».
- При осуществлении банковских операций с использованием мобильной версии приложения КО, являющиеся участниками платформы цифрового рубля, в целях обеспечения целостности электронных сообщений должны обеспечить применение СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, посредством использования которых реализуются двухсторонняя аутентификация, шифрование и имитозащита информации на прикладном уровне и (или) на уровне представления данных в соответствии с эталонной моделью взаимосвязи открытых систем.
Защита информации на технологических участках
КО, филиалы иностранных банков должны осуществлять регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации.
| №пп | Технологический участок/Описание технический меры защиты |
|---|---|
| Все технологические участки | |
| 1. | Обеспечение целостности и достоверность защищаемой информации |
| Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций, в том числе идентификация клиентов при создании сертификатов ключей проверки электронных подписей и выдаче таких сертификатов клиентам в соответствии с требованиями пункта 1 части 1 статьи 13 Федерального закона «Об электронной подписи» в целях осуществления операций с цифровыми рублями | |
| 1. | Идентификация устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры КО, филиалов иностранных банков |
| 2. | В случае если банковская операция осуществляется с использованием мобильной версии приложения, КО, филиалы иностранных банков должны проверить использование клиентом - физическим лицом абонентского номера подвижной радиотелефонной связи в случае его использования во взаимоотношениях с КО, филиалом иностранного банка и использовать полученные сведения при анализе характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности) |
| В случае если банковская операция осуществляется с использованием мобильной версии приложения, КО, филиалы иностранных банков должны контролировать изменение идентификационного модуля, определенного в соответствии с подпунктом 3 статьи 2 Федерального закона от 7 июля 2003 года № 126-ФЗ «О связи», используемого в устройстве клиента, идентифицированном в соответствии с абзацем вторым подпункта 5.2.1 851-П | |
| 3. | В случае выявления факта изменения идентификационного модуля устройства клиента КО, филиалы иностранных банков не вправе осуществлять аутентификацию и авторизацию клиента с использованием абонентского номера подвижной радиотелефонной связи клиента или с использованием информационных систем третьих лиц, обеспечивающих аутентификацию и авторизацию физических лиц посредством указанного абонентского номера подвижной радиотелефонной связи, до момента подтверждения принадлежности клиенту абонентского номера подвижной радиотелефонной связи способом, не связанным с использованием абонентского номера подвижной радиотелефонной связи клиента, или с использованием информационных систем третьих лиц, обеспечивающих аутентификацию и авторизацию физических лиц посредством указанного абонентского номера подвижной радиотелефонной связи |
| Формирование (подготовка), передача и прием электронных сообщений | |
| 1. | Двойной контроль посредством осуществления проверки правильности формирования (подготовки) электронных сообщений |
| 2. | Входной контроль посредством осуществления проверки правильности заполнения полей электронного сообщения и прав владельца электронной подписи |
| 3. | Контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено КО в соответствии пунктом 2.2 Положения Банка России от 29 июня 2021 года № 762-П «О правилах осуществления перевода денежных средств» |
| 4. | Структурный контроль электронных сообщений |
| 5. | Защита при передаче по каналам связи защищаемой информации |
| Удостоверение права клиентов распоряжаться денежными средствами | |
| 1. | Подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 пункта 5 851-П |
| 2 | Получение от клиента подтверждения совершаемой банковской операции |
| Осуществление банковской операции, учет результатов ее осуществления | |
| 1. | Проверка соответствия (сверка) выходных электронных сообщений соответствующим входным электронным сообщениям |
| 2. | Проверка соответствия (сверка) результатов осуществления банковских операций информации, содержащейся в электронных сообщениях |
| 3. | Направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором |
| 4. | КО, филиалы иностранных банков должны реализовывать механизмы подтверждения использования клиентом адреса электронной почты в случае его использования во взаимоотношениях с КО, филиалом иностранного банка, на который КО, филиалом иностранного банка направляются уведомления о совершаемых банковских операциях, справки (выписки) по совершенным банковским операциям |
Регистрация событий
КО, филиалы иностранных банков должны регистрировать результаты выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем и программного обеспечения:
- дата (день, месяц, год) и время (часы, минуты, секунды) осуществления банковской операции;
- присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
- код, соответствующий технологическому участку;
- результат осуществления банковской операции (успешная или неуспешная);
- идентификационная информация, используемая для адресации устройства, с использованием и в отношении которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (адрес компьютера и (или) коммуникационного устройства (маршрутизатора) на сетевом уровне).
Регистрации дополнительно подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения на технологическом участке идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций, в том числе идентификация клиентов при создании сертификатов ключей проверки электронных подписей и выдаче таких сертификатов клиентам в соответствии с требованиями пункта 1 части 1 статьи 13 Федерального закона «Об электронной подписи» в целях осуществления операций с цифровыми рублями:
- дата (день, месяц, год) и время (часы, минуты, секунды) начала соединения и окончания соединения сессии на транспортном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, при авторизации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций;
- идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (адрес на сетевом уровне и адрес на транспортном уровне (порт) компьютера и (или) коммуникационного устройства (маршрутизатора), предусмотренные разделом 11 ГОСТ Р ИСО 7498-3-97 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 3. Присвоение имен и адресация»;
- идентификационная информация, используемая для адресации автоматизированной системы, программного обеспечения, к которым осуществлен доступ с целью осуществления банковских операций (адрес на сетевом уровне и адрес на транспортном уровне (порт) автоматизированной системы, программного обеспечения, предусмотренные разделом 11 ГОСТ Р ИСО 7498-3-97);
- географическое местоположение устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (при наличии).
Подтверждение составления электронных сообщений
КО, филиалы иностранных банков должны обеспечить подтверждение составления электронных сообщений уполномоченным на это лицом. КО, филиалы иностранных банков в целях подтверждения составления электронных сообщений уполномоченным на это лицом должны:
- обеспечить использование электронной подписи в соответствии с Федеральным законом «Об электронной подписи»;
- осуществлять признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, в соответствии со статьей 6 Федерального закона «Об электронной подписи».
Защита информации с использованием СКЗИ
Обеспечение защиты информации с помощью СКЗИ при осуществлении банковских операций осуществляется в соответствии с Федеральным законом «Об электронной подписи», Федеральным законом «О персональных данных», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года № 66, приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» и технической документацией на СКЗИ.
В случае если КО, филиал иностранного банка применяют СКЗИ российского производства, СКЗИ должны иметь подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом «ш» части первой статьи 13 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности».
Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) КО, филиалом иностранного банка.
Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ, используемые для изготовления криптографических ключей.
Формирование рекомендаций для клиентов
КО, филиалы иностранных банков должны формировать для клиентов рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средств вычислительной техники, в целях противодействия осуществлению переводов денежных средств без согласия клиента. КО, филиалы иностранных банков должны доводить до клиентов информацию о возможных рисках получения несанкционированного доступа к защищаемой информации с целью совершения действий в целях осуществления банковских операций лицами, не обладающими правом на их совершение, и мерах по снижению указанных рисков:
- мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства, с использованием которого клиентом совершались действия в целях осуществления банковской операции;
- мерах по контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления банковской операции, и своевременному обнаружению воздействия вредоносного кода.
Регистрация событий и информирование Банка России
КО, филиалы иностранных банков к инцидентам (событиям), связанным с нарушением требований к обеспечению защиты информации, должны относить события, которые привели или могут привести к осуществлению банковских операций без согласия клиента, неоказанию услуг, связанных с осуществлением банковских операций, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
КО, филиалы иностранных банков должны регистрировать инциденты защиты информации с указанием:
- защищаемой информации, обрабатываемой на технологическом участке (участках), на котором (которых) произошел несанкционированный доступ к защищаемой информации;
- результата реагирования на инцидент защиты информации, в том числе действий по возврату денежных средств.
КО, филиалы иностранных банков в целях реализации требований к обеспечению защиты информации должны осуществлять информирование Банка России, в том числе на основании запросов Банка России:
- о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, принятых мерах и проведенных мероприятиях по реагированию на выявленные КО, филиалом иностранного банка или Банком России инциденты защиты информации, включенные в перечень типов инцидентов, а также о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на своих официальных сайтах в сети «Интернет», выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия;
- о сайтах в сети «Интернет», которые используются КО, филиалом иностранного банка для осуществления их деятельности, принадлежащих им и (или) принадлежащих иной организации, но администрируемых в интересах КО, филиала иностранного банка на основании договора возмездного оказания услуг.
| №п/п | Вид сведений | Срок предоставления |
|---|---|---|
| 1. | Сведения о выявлении инцидента защиты информации | В течение 3 часов с момента выявления инцидента защиты информации, и (или) незаконного раскрытия банковской тайны, и (или) иной защищаемой, информации, указанной в пункте 1 851-П |
| 2. | Сведения о выявлении незаконного раскрытия банковской тайны и (или) иной защищаемой информации, указанной в пункте 1 851-П | |
| 3. | Сведения о результатах расследования инцидента защиты информации или незаконного раскрытия банковской тайны и (или) иной защищаемой информации, указанной в пункте 1 851-П | В течение 30 дней со дня направления в Банк России сведений о выявлении инцидента защиты информации, или незаконного раскрытия банковской тайны, и (или) иной защищаемой информации, указанной в пункте 1 851-П |
| 4. | Сведения о компьютерных инцидентах (в соответствии с частью 5 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации») | В течение 3 часов с момента выявления компьютерного инцидента в случае его связи с функционированием значимого объекта критической информационной инфраструктуры. В течение 24 часов с момента выявления компьютерного инцидента во всех иных случаях |
Некоторые возможные риски несоблюдения требований 851-П
1. Административные и финансовые санкции со стороны Банка России.
Основание: Статья 15.26.1 КоАП РФ «Нарушение кредитной организацией требований законодательства в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также в области защиты информации». Несоблюдение 851-П может быть квалифицировано как нарушение требований в области защиты информации.
Риски: Наложение крупных штрафов на организацию и должностных лиц (сотни тысяч – миллионы рублей), предписание об устранении нарушений, запрет на осуществление отдельных операций.
2. Отзыв (аннулирование) лицензии на осуществление банковских операций.
Основание: Федеральный закон № 395-1 «О банках и банковской деятельности» (ст. 20). Систематическое или грубое нарушение требований нормативных актов Банка России, в том числе в области ИБ и защиты прав потребителей (клиентов), является основанием для отзыва лицензии.
Риски: Прекращение деятельности, исключительные репутационные потери, банкротство КО.
3. Гражданско-правовая ответственность перед клиентами и репутационные потери.
Основание: Гражданский кодекс РФ, Федеральный закон № 161-ФЗ «О национальной платежной системе». Если в результате недостатков в системе защиты будет доказана вина банка в осуществлении несанкционированного перевода, банк обязан возместить клиенту сумму потери.
Риски: Прямые финансовые убытки от возврата средств, судебные издержки, компенсация морального вреда. Невозвратимый ущерб деловой репутации, отток клиентов, падение стоимости бизнеса.
4. Нарушение законодательства о персональных данных.
Основание: Федеральный закон № 152-ФЗ «О персональных данных», КоАП РФ (ст. 13.11). Компрометация данных аутентификации клиентов приравнивается к нарушению безопасности ПДн.
Риски: Отдельные административные штрафы со стороны Роскомнадзора (до сотен тысяч рублей для должностных лиц, до миллионов — для юридических), возможное приостановление обработки ПДн.
