В феврале 2026 года введены изменения в Положение Банка России № 757-П
Согласно соответствующему Указанию Банка России № 7219-У, изменения вступают в силу с 1 января 2027 года, за исключением пунктов Положения Банка России № 757-П, для которых предусмотрены иные сроки вступления в силу. По опубликованному Указанию, в Положение Банка России № 757-П вносятся следующие изменения:
1. Расширен состав некредитных финансовых организаций, которые должны осуществлять защиту информации в соответствии с требованиями ГОСТ Р 57580.1−2017, и пересмотрены соответствующие уровни защиты информации
В Положение добавлены следующие требования:
2. Добавлены ссылки на формы отчетности
Организации должны осуществлять расчет показателей оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного ПО, в соответствии с порядком, определенным в следующих формах:
3. Добавлены новые требования при использовании ЕСИА и разделены требования к целостности и подтверждению авторства электронных сообщений
Ранее в пункте 1.9 требования к целостности и подтверждению авторства электронных сообщений были объединены. Теперь они разделены:
Новый пункт 1.92: вводит специальные требования при использовании Единой системы идентификации и аутентификации (ЕСИА). В случае использования ЕСИА для идентификации, аутентификации, авторизации клиентов организации обязаны:
4. Детализированы требования к регистрации действий клиентов
Введен новый пункт 1.111, который устанавливает для всех НФО обязанность регистрировать следующую информацию о действиях клиентов при приеме электронных сообщений с использованием сети Интернет:
Это требование аналогично требованиям Положения № 851-П, вступившим в силу в прошлом году.
5. Уточнен перечень необходимой информации для регистрации инцидентов
Расширен перечень сведений, которые необходимо регистрировать по каждому инциденту. Теперь в него входят:
Подкатегория сведений, детализирующая итоги именно расследования, стала обязательной для включения в отчетность наравне с уже существовавшим «результатом реагирования», который включает действия по возврату денежных средств или имущества клиента. Таким образом, ключевое изменение заключается в разделении отчетности по инцидентам на две части: меры реагирования (оперативные действия) и результаты расследования (анализ причин и последствий).
6. Определены новые сроки и форматы информирования ЦБ о выявленных инцидентах
Введено требование информировать ЦБ не только об инцидентах защиты информации, но и о компьютерных атаках. Разница между этими понятиями принципиальна и вытекает из требований 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В 187-ФЗ приведены точные определения терминов «компьютерная атака» и "компьютерный инцидент". Ключевое отличие от общего понятия «инцидент защиты информации« — в связи с критической информационной инфраструктурой (далее — КИИ). Проще говоря, любой компьютерный инцидент является инцидентом защиты информации, но не наоборот. Компьютерный инцидент и компьютерная атака— это более узкие понятия, применимые только к объектам КИИ.
Также установлены конкретные сроки предоставления сведений:
7. Иные изменения
Учитывая, что бо́льшая часть изменений вступает в силу с 1 января 2027 года, у организаций есть ограниченное время для приведения своих систем защиты информации, внутренних документов и процессов в соответствие с новыми требованиями.
Согласно соответствующему Указанию Банка России № 7219-У, изменения вступают в силу с 1 января 2027 года, за исключением пунктов Положения Банка России № 757-П, для которых предусмотрены иные сроки вступления в силу. По опубликованному Указанию, в Положение Банка России № 757-П вносятся следующие изменения:
1. Расширен состав некредитных финансовых организаций, которые должны осуществлять защиту информации в соответствии с требованиями ГОСТ Р 57580.1−2017, и пересмотрены соответствующие уровни защиты информации
В Положение добавлены следующие требования:
- регистраторы и депозитарии, осуществляющие расчеты по сделкам на торгах, должны реализовать усиленный уровень защиты информации;
- страховые организации и негосударственные пенсионные фонды (НПФ) должны реализовать стандартный уровень защиты информации, независимо от стоимости их активов (в настоящий момент требуемый уровень защиты информации определяется на основании стоимости активов);
- операторы инвестиционных и финансовых платформ с числом клиентов более 100 тысяч должны реализовать стандартный уровень защиты информации;
- операторы информационных систем цифровых финансовых активов (далее — ЦФА) и операторы обмена ЦФА с числом клиентов более 25 тысяч должны реализовать стандартный уровень защиты информации;
- микрофинансовые организации (МФО), за исключением отдельных категорий, должны реализовать минимальный уровень защиты информации с 1 января 2028 года;
- операторы инвестиционных платформ, не попавшие под стандартный уровень защиты информации, должны реализовать минимальный уровень защиты информации с 1 января 2028 года.
2. Добавлены ссылки на формы отчетности
Организации должны осуществлять расчет показателей оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного ПО, в соответствии с порядком, определенным в следующих формах:
- для организаций, совмещающих деятельность с кредитной, — по форме 409 071;
- для участников рынка ценных бумаг, организаторов торговли и клиринговых организаций — по форме 420 433;
- для НПФ — по форме 420 266;
- для операторов инвестиционных и финансовых платформ — по форме 420 722;
- для страховых организаций — по форме 420 175.
3. Добавлены новые требования при использовании ЕСИА и разделены требования к целостности и подтверждению авторства электронных сообщений
Ранее в пункте 1.9 требования к целостности и подтверждению авторства электронных сообщений были объединены. Теперь они разделены:
- для организаций, реализующих стандартный или усиленный уровень защиты информации по ГОСТ Р 57 580.1−2017, для обеспечения целостности электронных сообщений необходимо использовать любой вид усиленной электронной подписи или СКЗИ с имитозащитой и аутентификацией отправителя;
- для организаций, реализующих минимальный уровень защиты информации по ГОСТ Р 57 580.1−2017, для обеспечения целостности электронных сообщений допускается использовать простую электронную подпись.
Новый пункт 1.92: вводит специальные требования при использовании Единой системы идентификации и аутентификации (ЕСИА). В случае использования ЕСИА для идентификации, аутентификации, авторизации клиентов организации обязаны:
- реализовать возможность отключения технологии единого входа (однократной аутентификации) для совершения финансовых операций;
- при каждом входе клиента с использованием ЕСИА должно запрашиваться новое подтверждение идентификации и аутентификации клиента.
4. Детализированы требования к регистрации действий клиентов
Введен новый пункт 1.111, который устанавливает для всех НФО обязанность регистрировать следующую информацию о действиях клиентов при приеме электронных сообщений с использованием сети Интернет:
- дату и время начала и окончания сессии транспортного уровня Модели ISO/OSI;
- адресацию (сетевой адрес и порт) устройства клиента;
- адресацию (сетевой адрес и порт) автоматизированной системы НФО, к которой осуществлен доступ.
Это требование аналогично требованиям Положения № 851-П, вступившим в силу в прошлом году.
5. Уточнен перечень необходимой информации для регистрации инцидентов
Расширен перечень сведений, которые необходимо регистрировать по каждому инциденту. Теперь в него входят:
- сведения о защищаемой информации на технологических участках, где произошел инцидент;
- сведения о причинах возникновения инцидента защиты информации;
- результат реагирования на инцидент защиты информации;
- ·результат расследования инцидента.
Подкатегория сведений, детализирующая итоги именно расследования, стала обязательной для включения в отчетность наравне с уже существовавшим «результатом реагирования», который включает действия по возврату денежных средств или имущества клиента. Таким образом, ключевое изменение заключается в разделении отчетности по инцидентам на две части: меры реагирования (оперативные действия) и результаты расследования (анализ причин и последствий).
6. Определены новые сроки и форматы информирования ЦБ о выявленных инцидентах
Введено требование информировать ЦБ не только об инцидентах защиты информации, но и о компьютерных атаках. Разница между этими понятиями принципиальна и вытекает из требований 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В 187-ФЗ приведены точные определения терминов «компьютерная атака» и "компьютерный инцидент". Ключевое отличие от общего понятия «инцидент защиты информации« — в связи с критической информационной инфраструктурой (далее — КИИ). Проще говоря, любой компьютерный инцидент является инцидентом защиты информации, но не наоборот. Компьютерный инцидент и компьютерная атака— это более узкие понятия, применимые только к объектам КИИ.
Также установлены конкретные сроки предоставления сведений:
- 3 часа для усиленного и стандартного уровней защиты информации при выявлении инцидента, утечки информации или компьютерного инцидента на объекте КИИ;
- 24 часа для минимального уровня защиты информации при выявлении инцидента или утечки, а также для всех уровней при компьютерном инциденте, не связанном с КИИ;
- 30 календарных дней на предоставление результатов расследования инцидента или утечки.
7. Иные изменения
- Аналогично последним изменениям в Положении № 851-П, добавлена необходимость проведения повторной сертификации ПО или оценки соответствия по ОУД4 при внесении изменений в исходный код (в случае, если были изменены платежные функции или функции безопасности).
- Добавлена возможность не проводить сертификацию или оценку соответствия по ОУД собственного разработанного ПО АС и приложений (кроме взаимодействующего со СКЗИ), если организация сертифицировала процессы безопасной разработки по ГОСТ Р 56 939−2024 в ФСТЭК России.
- Введен принцип PDCA (планирование, применение, контроль применения и совершенствование), который должны осуществлять все НФО при реализации мер защиты информации.
- Уточнены требования при использовании Единой биометрической системы (ЕБС). Теперь ссылка идет на актуальные приказы ФСТЭК и ФСБ, регулирующие защиту биометрии.
- Требования к формированию, передаче и приему сообщений дополнены требованием контроля дублирования входящих электронных сообщений.
- Требования по регистрации событий теперь обязательны и для организаций с минимальным уровнем защиты.
Учитывая, что бо́льшая часть изменений вступает в силу с 1 января 2027 года, у организаций есть ограниченное время для приведения своих систем защиты информации, внутренних документов и процессов в соответствие с новыми требованиями.