8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Новости » Изменения в Положение 757-П Банка России в части требований по защите информации для НФО

Изменения в Положение 757-П Банка России в части требований по защите информации для НФО

19 февраля 2026
Изменения в Положение 757-П Банка России в части требований по защите информации для НФО

 

17 Февраля было опубликовано указание Банка России № 7219, которое вносит изменения в Положение 757-П для НФО.

Обзор изменений в Положение ЦБ РФ №757-П

В соответствии с новыми правилами изменены требования по защите информации для следующих типов НФО:

  1. Абсолютно все страховые организации должны обеспечить реализацию стандартного уровня защиты информации по ГОСТ 57580.1 (вне зависимости от стоимости активов)
  2. Абсолютно все негосударственные пенсионные фонды должны обеспечить реализацию стандартного уровня защиты информации (вне зависимости от вида осуществляемой деятельности)
  3. Абсолютно все регистраторы должны обеспечивать стандартный уровень защиты информации (кроме регистраторов финансовых транзакций, для которых актуален усиленный уровень защиты информации)
  4. Депозитарии, осуществляющие расчеты по результатам сделок, совершенных на торгах организаторов торговли, должны обеспечить реализацию стандартного уровня защиты информации
  5. Микрофинансовые организации должны обеспечить реализацию минимального уровня защиты информации
  6. Операторы инвестиционных платформ, количество клиентов которых, меньше 100 000 лиц за прошедшие 3 квартала, должны обеспечить реализацию минимального уровня защиты информации

В соответствии с новыми правилами, каждая некредитная финансовая организация, которая реализует стандартный или усиленный уровень защиты информации, должна дополнительно проводить оценку выполнения технологических мер защиты информации, а также оценку выполнения требований к прикладному программному обеспечению и направлять данную информации в ЦБ в соответствии с установленными для каждого типа НФО формами отчетности.

Включая:

  • 6406-У, отчетная форма 0409071 в случае совмещения НФО роли кредитной организации
  • 7119-У, отчетная форма 0420433 для участников рынка ценных бумаг, организаторов торговли и клиринговых организаций
  • 6796-У, отчетная форма 0420266 для негосударственных пенсионных фондов
  • 7122-У, отчетная форма 0420722 для операторов инвестиционных и финансовых платформ, а также для НФО, в которых осуществляется выпуск цифровых финансовых активов и операторов обмена цифровых финансовых активов
  • 7124-У, отчетная форма 0420175 для страховых организаций

В состав новых требований также входит:

  1. НФО осуществляющие самостоятельную разработку ПО могут не проводить сертификацию или оценку по ОУД, если НФО проводила сертификацию процессов безопасной разработки в соответствии с ГОСТ 56939-2024
  2. Отражение прямого указания о необходимости соблюдения цикла PDCA (цикла Демминга)
  3. Внесены изменения в технологические меры защиты, связанные с применением СКЗИ. Установлено требование для НФО, реализующих стандартный или усиленный уровень защиты информации, применять УНЭП, созданную с использованием средств электронной подписи и средств удостоверяющего центра, имеющих лицензию ФСБ. При этом требование об обязательном применении УНЭП, УКЭП либо СКЗИ, реализующих имитозащиту с аутентификацией отправителя, может не применяться в случаях, когда передача электронных сообщений осуществляется через выделенные сегменты, а использование СКЗИ признано неактуальным в моделях угроз
  4. Изменены отдельные технологические требования, связанные с осуществлением проверок электронных сообщений
  5. Все НФО обязаны осуществлять регистрацию даты, времени, идентификационной информации, включая IP-адрес и порт подключаемого устройства, IP-адрес и порт автоматизированной системы НФО при обмене электронных сообщений
  6. Определение дополнительных требований по управлению инцидентами информационной безопасности, включая определение необходимости хранить и защищать информацию об инцидентах для НФО, реализующих минимальный уровень защиты, а также определение конкретных сроков направления информации о каждом из выявленных инцидентов

Когда изменения вступают в силу?

  1. Изменения вступают в силу с 1 января 2027 года.
  2. Требование о необходимости соблюдения требований ГОСТ для микрофинансовых организаций (кроме МКК предпринимательского финансирования и МКК, учредителем которых является Российская Федерация, субъект Российской Федерации или муниципальное образование) вступит в силу с 31 декабря 2027 года.
  3. Требование о необходимости соблюдения требований ГОСТ для всех МКК вступит в силу с 1 января 2028 года.