Обзор проекта ЦБ РФ о внесении изменений в Положение 821-П

9 Июля был опубликован проект Указания ЦБ о внесении изменений в Положение 821-П.

Большинство изменений планируется ввести в действие с 1 октября 2026 года. Оставшиеся вступят в силу годом позже — с 1 октября 2027 года.

Ключевые изменения включают:

1. Расширение сферы действия Положения
   Теперь требования Положения распространяются на обеспечение защиты переводов ДС, выполняемых в том числе с применением биометрической аутентификации. Также биометрические персональные данные будут отнесены к защищаемой информации согласно требованиям 821-П.
2. Совмещение с иной деятельностью
   Если организация объединяет несколько видов деятельности, подпадающих под требования  ГОСТ 57580.1, в едином контуре, то при реализации требований 821-П к информационной инфраструктуре следует использовать наивысший из установленных уровней защищенности (УЗ).
3. Обновление нормативных ссылок
   Ссылки на Положение 683-П заменены на 851-П, а в число объектов регулирования включены филиалы иностранных банков.
4. Требования к отчетности
   Вводится обязательность предоставления отчетности в Банк России по следующим формам:
   • 0409071 — для кредитных организаций
   • 0403202 — для некредитных организаций
   • 0420722 — для некредитных организаций, совмещающих деятельность, попадающую под требования 757-П
     Это аналогично требованиям 851-П в отношении формы 0409071.

5. Облегчение требований к прикладному ПО
   Организации, совмещающие деятельность в соответствии с 757-П, могут не проводить сертификацию или оценку соответствия прикладного ПО при его изменении, если у них внедрены сертифицированные ФСТЭК процессы безопасной разработки (за исключением ПО, взаимодействующего со СКЗИ).
6. Синхронизация времени через ГЛОНАСС
   Становится обязательным подключение к системе ГЛОНАСС для обеспечения синхронизации времени при регистрации доступа к защищаемой информации. Системы, подключаемые к ГЛОНАСС, должны соответствовать требованиям ГОСТ 57580.1.
7. Контроль синхронизации времени
   Устанавливаются допустимые пределы отклонения времени:
   • на технологических участках — не более 3 секунд
   • на остальных объектах информационной инфраструктуры — не более 5 секунд.

8. Регистрация действий пользователей
   Вводятся требования, аналогичные положению 851-П. В частности, необходимо фиксировать:
   • время начала и завершения сессии
   • IP-адреса устройств и АС
   • используемые порты
   • информацию о геолокации (если имеется возможность)

9. Информирование о киберинцидентах
   В явном виде в рамках Положения устанавливаются сроки подачи информации в Банк России о выявленных инцидентах информационной безопасности и результатах их расследования, аналогично 851-П.
10. Срок сертификации для значимых организаций
    При получении статуса системно значимой кредитной организации или значимой на рынке платежных услуг организация должна пройти сертификацию (не ниже 4 уровня) в течение 18 месяцев. Аналогично требованиям, представленным 851-П.
11. PDCA (Plan-Do-Check-Act)
    Соблюдения цикла PDCA (Plan-Do-Check-Act) должно быть четко отражено при реализации мер защиты информации, как и в 851-П.
12. Уточнение понятия «риск реализации угроз безопасности информации»
    Теперь под риском понимается вероятность возникновения угроз, связанных с недостатками процессов обеспечения защиты информации.
13. Запрет на иностранные СКЗИ
    Вводится полный запрет на использование средств криптографической защиты иностранного производства, использующихся при обработке биометрических данных, применяемых для идентификации и аутентификации.

Большинство обновленных требований, за исключением требований, связанных с использованием биометрии при аутентификации и подключении к ГЛОНАСС, перешли в новое Положение из 851-П.

Не исключено, что последующие обновленные версии Положений ЦБ также будут стремиться быть похожими на недавно вступившее в силу Положение.