Добавить в корзинуПозвонить
Найти в Дзене
ITG Security
7 подписчиков

Положение 757-П меняется, что нужно успеть сделать НФО до 2027 года

3
6 мин
Представьте, январь 2027 года, первый рабочий день. Регулятор уже ждёт отчётность по новым формам, клиенты проходят повторную аутентификацию при каждой транзакции, а журналы действий пользователей должны вестись в автоматическом режиме уже вчера. Ваша организация готова? Если вы работаете в сфере некредитных финансов — вопрос не риторический. С 1 января 2027 года вступают в силу изменения в Положение ЦБ РФ №757-П, утверждённые Указанием №7219-У. И времени на подготовку значительно меньше, чем кажется. Разбираем все ключевые изменения — без воды и бюрократического языка. Раньше действие Положения 757-П распространялось на ограниченный круг организаций. После вступления в силу Указания №7219-У этот круг существенно расширится. С 1 января 2027 года под действие Положения подпадают: Важный нюанс: организации из категории исключений не освобождаются от требований 757-П полностью. Для них срок вступления в силу сдвинут на год — до 1 января 2028 года. То есть готовиться нужно уже сейчас. Если
Оглавление

Представьте, январь 2027 года, первый рабочий день. Регулятор уже ждёт отчётность по новым формам, клиенты проходят повторную аутентификацию при каждой транзакции, а журналы действий пользователей должны вестись в автоматическом режиме уже вчера. Ваша организация готова?

Если вы работаете в сфере некредитных финансов — вопрос не риторический. С 1 января 2027 года вступают в силу изменения в Положение ЦБ РФ №757-П, утверждённые Указанием №7219-У. И времени на подготовку значительно меньше, чем кажется.

Разбираем все ключевые изменения — без воды и бюрократического языка.

Кого затронут изменения, список стал значительно длиннее

Раньше действие Положения 757-П распространялось на ограниченный круг организаций. После вступления в силу Указания №7219-У этот круг существенно расширится.

С 1 января 2027 года под действие Положения подпадают:

  • расчётные депозитарии — те, кто проводит расчёты по итогам биржевых сделок совместно с организаторами торгов и клиринговыми организациями
  • все страховые организации и негосударственные пенсионные фонды — без исключений
  • регистраторы — организации, ведущие реестры владельцев ценных бумаг
  • операторы инвестиционных платформ
  • микрофинансовые организации — за исключением государственных МФО и МФО предпринимательского финансирования

Важный нюанс: организации из категории исключений не освобождаются от требований 757-П полностью. Для них срок вступления в силу сдвинут на год — до 1 января 2028 года. То есть готовиться нужно уже сейчас.

Если ваша организация впервые попадает под действие Положения — объём предстоящей работы будет значительным. Тем важнее начать как можно раньше.

Регистрация действий клиентов: теперь фиксируется всё

Одно из самых ощутимых изменений касается требований к логированию. Раньше НФО были обязаны фиксировать лишь базовые события. Теперь требования стали принципиально иными.

НФО со стандартным, усиленным и минимальным уровнем защиты информации обязаны вести полноценную регистрацию действий клиентов в информационных системах.

Что именно нужно фиксировать:

  • все входы в систему — как успешные, так и неудачные попытки
  • идентификаторы устройств, с которых осуществлялся вход
  • дату и время с точностью до секунды
  • IP-адрес
  • идентификатор клиента
  • метод аутентификации
  • идентификатор сессии (там, где это технически возможно)

Сроки хранения журналов — не менее 5 лет. Для отдельных категорий операций, в первую очередь финансовых транзакций, этот срок может быть увеличен — если того требуют отраслевые нормативные акты.

На практике это означает необходимость либо модернизировать существующие системы логирования, либо внедрять новые. Для организаций, которые прежде не уделяли этому направлению достаточного внимания, задача может оказаться весьма трудоёмкой.

ЕСИА и аутентификация, однократный вход уходит в прошлое

Для МФО, использующих Единую систему идентификации и аутентификации, изменения коснутся самой логики работы с клиентами.

С 1 января 2027 года технология однократной аутентификации (Single Sign-On) для финансовых операций будет запрещена. Простыми словами: нельзя будет автоматически выполнять финансовые операции на основании аутентификации через ЕСИА, которую клиент прошёл ранее — например, при входе в личный кабинет.

Новое правило: при каждой финансовой операции организация обязана заново запрашивать идентификацию и аутентификацию клиента. Каждый раз. Без исключений.

Это требование направлено на снижение риска несанкционированных операций — в том числе в случаях, когда сессия клиента была скомпрометирована. С точки зрения информационной безопасности логика понятна. С точки зрения UX — потребует переработки клиентских сценариев и, возможно, дополнительной коммуникации с пользователями.

Электронные подписи, требования ужесточаются

Изменения затронули и сферу электронного документооборота. Ключевое нововведение касается усиленной неквалифицированной электронной подписи (УНЭП).

Новое требование: УНЭП должна быть создана с помощью средств удостоверяющего центра и средств электронной подписи, имеющих подтверждение соответствия требованиям ФСБ России.

Помимо этого, расширяется требование о подтверждении факта составления сообщения уполномоченным лицом. Если раньше оно распространялось не на всех, то теперь действует для всех НФО — включая организации с минимальным уровнем защиты информации.

Зачем это нужно:

Комплекс этих мер решает сразу несколько задач. Во-первых, обеспечивается целостность сообщений — защита от подделки и несанкционированного изменения данных. Во-вторых, исключается подписание документов третьими лицами. В-третьих, электронные сообщения получают юридическую равнозначность бумажным — а значит, организации смогут полностью перевести документооборот в электронный формат без дублирования на бумаге.

Цикл PDCA: безопасность становится процессом, а не разовой акцией

Пожалуй, одно из самых системных нововведений — требование выстроить полноценный цикл управления мерами защиты информации. Речь идёт о методологии PDCA (Plan → Do → Check → Act), которая давно используется в менеджменте качества, а теперь становится обязательной для НФО со стандартным и усиленным уровнем защиты.

Что это означает на практике:

Планировать (Plan) — заранее определять, какие меры защиты, когда и как будут внедрены. Решения фиксируются в годовом плане с указанием конкретных мероприятий, сроков, ответственных лиц и необходимых ресурсов.

Применять (Do) — внедрять меры в соответствии с утверждённым планом и документировать факт их выполнения.

Контролировать (Check) — регулярно проверять, работают ли внедрённые меры так, как задумано. Не формально, а реально.

Совершенствовать (Act) — анализировать результаты проверок и произошедшие инциденты, выявлять слабые места, обновлять планы и улучшать защитные меры.

Многие НФО уже реализуют отдельные элементы этого цикла — осознанно или нет. Задача теперь состоит в том, чтобы выстроить их в единую, документально подтверждённую систему. Это переход от реактивного подхода к проактивному: не «тушим пожары», а предотвращаем их.

Отчётность: новые формы и сжатые сроки

Обновлённое Положение детализирует требования к отчётности сразу в нескольких направлениях.

Новые формы отчётности — в зависимости от типа организации:

0420175 - Страховые организации

0420266 - Негосударственные пенсионные фонды

0409071 - Клиринговые организации и профучастники рынка ценных бумаг

Расчёт показателей оценки — НФО теперь обязаны не просто выполнять требования, но и проводить расчёты показателей соответствия уровня защиты информации действующим стандартам. Это означает необходимость выстроить измеримую систему контроля.

Сроки уведомления о киберинцидентах сокращены:

  • критичные инциденты (взломы, утечки данных) — уведомить регулятора в течение 3 часов
  • иные значимые киберинциденты — в течение 24 часов

Три часа — это очень мало. Особенно если в организации не выстроены процессы обнаружения инцидентов, внутренней эскалации и подготовки уведомлений. Это требование фактически делает обязательным наличие работающего SOC или хотя бы чётких процедур реагирования на инциденты.

Изменения в 757-П — не просто очередной регуляторный документ. Это сигнал о том, что требования к защите информации в финансовом секторе становятся строже и системнее. Те организации, которые воспринимают комплаенс не как обязанность, а как инструмент управления рисками, окажутся в более выгодном положении — и перед регулятором, и перед клиентами.

Что делать прямо сейчас

До вступления изменений в силу остаётся меньше года. Звучит как много — но на практике это очень сжатые сроки, особенно если предстоит модернизация ИТ-инфраструктуры, обучение персонала и выстраивание новых процессов.

Минимальный план действий:

  1. Определите, попадает ли ваша организация под новые или расширенные требования 757-П
  2. Проведите аудит текущего состояния — зафиксируйте, что уже соответствует требованиям, а что нет
  3. Оцените объём работ — технических, организационных, документационных
  4. Составьте дорожную карту с реалистичными сроками и ответственными
  5. Начните с критичных направлений — логирование, отчётность, процедуры реагирования на инциденты

Информационная безопасность не терпит формального подхода. Любое упущение — это либо санкции со стороны регулятора, либо уязвимость, которой воспользуются злоумышленники. А чаще всего — и то, и другое.