Блог

В феврале 2026 года введены изменения в Положение Банка России № 757-П

В феврале 2026 года введены изменения в Положение Банка России № 757-П

Согласно соответствующему Указанию Банка России № 7219-У, изменения вступают в силу с 1 января 2027 года, за исключением пунктов Положения Банка России № 757-П, для которых предусмотрены иные сроки вступления в силу. По опубликованному Указанию, в Положение Банка России № 757-П вносятся следующие изменения:

1. Расширен состав некредитных финансовых организаций, которые должны осуществлять защиту информации в соответствии с требованиями ГОСТ Р 57580.1−2017, и пересмотрены соответствующие уровни защиты информации

В Положение добавлены следующие требования:

  • регистраторы и депозитарии, осуществляющие расчеты по сделкам на торгах, должны реализовать усиленный уровень защиты информации;
  • страховые организации и негосударственные пенсионные фонды (НПФ) должны реализовать стандартный уровень защиты информации, независимо от стоимости их активов (в настоящий момент требуемый уровень защиты информации определяется на основании стоимости активов);
  • операторы инвестиционных и финансовых платформ с числом клиентов более 100 тысяч должны реализовать стандартный уровень защиты информации;
  • операторы информационных систем цифровых финансовых активов (далее — ЦФА) и операторы обмена ЦФА с числом клиентов более 25 тысяч должны реализовать стандартный уровень защиты информации;
  • микрофинансовые организации (МФО), за исключением отдельных категорий, должны реализовать минимальный уровень защиты информации с 1 января 2028 года;
  • операторы инвестиционных платформ, не попавшие под стандартный уровень защиты информации, должны реализовать минимальный уровень защиты информации с 1 января 2028 года.

2. Добавлены ссылки на формы отчетности

Организации должны осуществлять расчет показателей оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного ПО, в соответствии с порядком, определенным в следующих формах:

  • для организаций, совмещающих деятельность с кредитной, — по форме 409 071;
  • для участников рынка ценных бумаг, организаторов торговли и клиринговых организаций — по форме 420 433;
  • для НПФ — по форме 420 266;
  • для операторов инвестиционных и финансовых платформ — по форме 420 722;
  • для страховых организаций — по форме 420 175.

3. Добавлены новые требования при использовании ЕСИА и разделены требования к целостности и подтверждению авторства электронных сообщений

Ранее в пункте 1.9 требования к целостности и подтверждению авторства электронных сообщений были объединены. Теперь они разделены:

  • для организаций, реализующих стандартный или усиленный уровень защиты информации по ГОСТ Р 57 580.1−2017, для обеспечения целостности электронных сообщений необходимо использовать любой вид усиленной электронной подписи или СКЗИ с имитозащитой и аутентификацией отправителя;
  • для организаций, реализующих минимальный уровень защиты информации по ГОСТ Р 57 580.1−2017, для обеспечения целостности электронных сообщений допускается использовать простую электронную подпись.

Новый пункт 1.92: вводит специальные требования при использовании Единой системы идентификации и аутентификации (ЕСИА). В случае использования ЕСИА для идентификации, аутентификации, авторизации клиентов организации обязаны:

  • реализовать возможность отключения технологии единого входа (однократной аутентификации) для совершения финансовых операций;
  • при каждом входе клиента с использованием ЕСИА должно запрашиваться новое подтверждение идентификации и аутентификации клиента.

4. Детализированы требования к регистрации действий клиентов

Введен новый пункт 1.111, который устанавливает для всех НФО обязанность регистрировать следующую информацию о действиях клиентов при приеме электронных сообщений с использованием сети Интернет:

  • дату и время начала и окончания сессии транспортного уровня Модели ISO/OSI;
  • адресацию (сетевой адрес и порт) устройства клиента;
  • адресацию (сетевой адрес и порт) автоматизированной системы НФО, к которой осуществлен доступ.

Это требование аналогично требованиям Положения № 851-П, вступившим в силу в прошлом году.

5. Уточнен перечень необходимой информации для регистрации инцидентов

Расширен перечень сведений, которые необходимо регистрировать по каждому инциденту. Теперь в него входят:

  • сведения о защищаемой информации на технологических участках, где произошел инцидент;
  • сведения о причинах возникновения инцидента защиты информации;
  • результат реагирования на инцидент защиты информации;
  • ·результат расследования инцидента.

Подкатегория сведений, детализирующая итоги именно расследования, стала обязательной для включения в отчетность наравне с уже существовавшим «результатом реагирования», который включает действия по возврату денежных средств или имущества клиента. Таким образом, ключевое изменение заключается в разделении отчетности по инцидентам на две части: меры реагирования (оперативные действия) и результаты расследования (анализ причин и последствий).

6. Определены новые сроки и форматы информирования ЦБ о выявленных инцидентах

Введено требование информировать ЦБ не только об инцидентах защиты информации, но и о компьютерных атаках. Разница между этими понятиями принципиальна и вытекает из требований 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В 187-ФЗ приведены точные определения терминов «компьютерная атака» и "компьютерный инцидент". Ключевое отличие от общего понятия «инцидент защиты информации« — в связи с критической информационной инфраструктурой (далее — КИИ). Проще говоря, любой компьютерный инцидент является инцидентом защиты информации, но не наоборот. Компьютерный инцидент и компьютерная атака— это более узкие понятия, применимые только к объектам КИИ.

Также установлены конкретные сроки предоставления сведений:

  • 3 часа для усиленного и стандартного уровней защиты информации при выявлении инцидента, утечки информации или компьютерного инцидента на объекте КИИ;
  • 24 часа для минимального уровня защиты информации при выявлении инцидента или утечки, а также для всех уровней при компьютерном инциденте, не связанном с КИИ;
  • 30 календарных дней на предоставление результатов расследования инцидента или утечки.

7. Иные изменения

  • Аналогично последним изменениям в Положении № 851-П, добавлена необходимость проведения повторной сертификации ПО или оценки соответствия по ОУД4 при внесении изменений в исходный код (в случае, если были изменены платежные функции или функции безопасности).
  • Добавлена возможность не проводить сертификацию или оценку соответствия по ОУД собственного разработанного ПО АС и приложений (кроме взаимодействующего со СКЗИ), если организация сертифицировала процессы безопасной разработки по ГОСТ Р 56 939−2024 в ФСТЭК России.
  • Введен принцип PDCA (планирование, применение, контроль применения и совершенствование), который должны осуществлять все НФО при реализации мер защиты информации.
  • Уточнены требования при использовании Единой биометрической системы (ЕБС). Теперь ссылка идет на актуальные приказы ФСТЭК и ФСБ, регулирующие защиту биометрии.
  • Требования к формированию, передаче и приему сообщений дополнены требованием контроля дублирования входящих электронных сообщений.
  • Требования по регистрации событий теперь обязательны и для организаций с минимальным уровнем защиты.

Учитывая, что бо́льшая часть изменений вступает в силу с 1 января 2027 года, у организаций есть ограниченное время для приведения своих систем защиты информации, внутренних документов и процессов в соответствие с новыми требованиями.
2026-04-10 14:23