Top.Mail.Ru
Блог/Цифровое право

Требования к некредитным финкомпаниям по защите информации ужесточат с 2027 года

Полина Недашковская
4 мин 20

Банк России расширил перечень некредитных финансовых организаций (НФО), которые с 2027 года обязаны усилить защиту информации при операциях с клиентами. Основание — Указание Банка России от 28.10.2025 № 7219-У, которым вносятся изменения в Положение Банка России от 20.04.2021 № 757-П. Документ опубликован на сайте регулятора и зарегистрирован в Минюсте в начале февраля.

Содержание

Кого коснутся изменения и что именно нужно сделать

Категория НФО Новые/уточненные требования Нормативная база Срок
Все НФО Расширен круг организаций, обязанных усиливать защиту информации при клиентских операциях № 7219-У к № 757-П с 2027 года
Страховые организации, НПФ, регистраторы Привлечение независимых специалистов не реже 1 раза в 3 года с учетом ГОСТ Р 57580.2-2018; анализ ПО и клиентских приложений на соответствие требованиям ИБ № 7219-У, ГОСТ Р 57580.2-2018 с 2027 года
МФО Обязательное использование антивирусных средств; регистрация событий, связанных с защитой данных № 7219-У с 2027 года
Все НФО Уточнение требований к электронной подписи и средствам криптографической защиты (СКЗИ); порядок регистрации информации о действиях клиентов при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях № 7219-У, ГОСТ Р 57580.1-2017 с 2027 года

Ключевые обновления в Положении № 757-П

  • Скорректирован подп. 1.4.3 п. 1.4 в части требований ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
  • Для страховщиков, НПФ и регистраторов вводится обязательная независимая проверка защиты данных не реже одного раза в три года с учетом ГОСТ Р 57580.2-2018 «Методика оценки соответствия».
  • Обязателен анализ программного обеспечения и клиентских приложений на соответствие требованиям по защите информации.
  • Для МФО устанавливается обязательное применение антивирусных средств и регистрация событий информационной безопасности.
  • Уточняются требования к электронной подписи и средствам криптографической защиты.
  • Фиксируется порядок регистрации информации о действиях клиентов при приеме к исполнению электронных сообщений в автоматизированных системах и приложениях.

Как подготовиться к 2027 году: практический чек-лист

  • Проведите GAP-анализ на соответствие ГОСТ Р 57580.1-2017 и обновленным требованиям № 757-П.
  • Запланируйте независимую проверку (для страховщиков, НПФ и регистраторов) с учетом ГОСТ Р 57580.2-2018.
  • Пересмотрите архитектуру ИБ: антивирусная защита, управление уязвимостями, мониторинг и регистрация событий безопасности.
  • Проведите ревизию ПО и клиентских приложений, оформите результаты тестов и оценки соответствия.
  • Обновите регламенты по ЭП и СКЗИ, включая политику управления ключами и порядок применения ЭП.
  • Настройте учет действий клиентов в автоматизированных системах и мобильных/веб‑приложениях: журналирование, хранение и доступность записей.
  • Обучите персонал и закрепите ответственность за ИБ в локальных актах.

Ответы на вопросы

Вопрос Ответ
Кого касаются изменения с 2027 года? Некредитные финансовые организации, включая страховщиков, НПФ, регистраторов, а также МФО, — в части, установленной № 7219-У к № 757-П.
Как часто нужна независимая проверка? Для страховых, НПФ и регистраторов — не реже одного раза в три года с учетом требований ГОСТ Р 57580.2-2018.
Кому обязательно использовать антивирусные средства и регистрировать события ИБ? МФО — в силу новых требований; для прочих НФО меры защиты реализуются по № 757-П и ГОСТ Р 57580.1-2017.
Какие каналы подпадают под учет действий клиентов? Автоматизированные системы и приложения, через которые принимаются электронные сообщения к исполнению (например, веб‑кабинеты и мобильные приложения).
Нужно ли заранее уведомлять Банк России о выполнении требований? Оформляйте выполнение документально и будьте готовы предоставлять подтверждения по запросу регулятора в рамках действующих процедур контроля.
Когда начать подготовку? Уже сейчас: провести GAP-анализ, утвердить план-график до 2027 года, заложить бюджет на доработки и независимую проверку (при необходимости).

Нормативные акты и стандарты

  • Указание Банка России от 28.10.2025 № 7219-У «О внесении изменений в Положение Банка России от 20.04.2021 № 757-П».
  • Положение Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
  • ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
11715
Этот материал был полезен для вас?
  •  Обновлено:
Автор статьи
Полина Недашковская Автор статьи опыт 9 лет

Опытный юрист с более чем 9-летним стажем работы с запросами клиентов и компаний. Эксперт в области гражданского права, специализируется на сложных делах, требующих глубоких знаний и нестандартных решений. Регулярно публикует статьи в юридическом журнале AMULEX, делясь с читателями экспертным взглядом и анализом актуальных правовых вопросов.

об эксперте ⟶
Блог
Подписаться
Уведомить о
0 Комментарии
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Информация, представленная на странице, не является юридической консультацией или правовым заключением и не может быть применима в иной конкретной ситуации. Для получения профессиональной юридической поддержки рекомендуется обратиться к нам. Статья основана на анализе действующих нормативных актов на момент публикации и актуальна только на дату публикации.