dark-logo

Изменения в Положение 779-П: что нового и как это затронет вашу организацию

Обновлено: 08.05.2026

Глеб Абрамов

В Положение Банка России № 779-П внесены изменения по трём ключевым направлениям:

  • Новые требования к показателям операционной надёжности
  • Обязательное документирование событий операционного риска
  • Уточнение формулировок по угрозам от поставщиков и персонала

Если ваша организация относится к некредитным финансовым организациям или МФО — эти изменения касаются вас напрямую. Разбираем каждый блок по существу: что изменилось, что теперь обязательно. 

Что изменилось в требованиях к операционной надёжности

НФО обязаны установить и закрепить контрольные показатели уровня операционного риска. Определить орган управления НФО, который утверждает сигнальные и контрольные значения показателей операционной надежности.
Ключевой сдвиг, недостаточно просто соблюдать целевые показатели — теперь нужно установить измеримые пороги реагирования и документально закрепить, кто за них отвечает.

Сигнальные и контрольные значения показателей ОН: новая двухуровневая система

Согласно изменениям в 779-П, каждая некредитная финансовая организация обязана установить и соблюдать два типа контрольных показателей операционной надёжности: сигнальное значение и контрольное значение.

Представьте это как двухуровневую систему тревоги:

Первый уровень — сигнальное значение. Когда фактический показатель операционной надёжности достигает этого порога, организация обязана немедленно запустить меры по устранению отклонения. Это сигнал для операционной команды: что-то идёт не так, нужно действовать прямо сейчас.

Второй уровень — контрольное значение. Если ситуация усугубляется и показатель достигает контрольного значения, информация в обязательном порядке доводится до совета директоров и коллегиального исполнительного органа организации. Это уже не рабочий инцидент — это вопрос стратегического управления рисками.

УровеньПорогЧто происходитКто реагирует
СигнальныйДостижение сигнального значенияЗапуск мер , направленных на устранение превышения фактического значения  Ответственное подразделение / ИБ-команда
КонтрольныйДостижение контрольного значенияЭскалация на высший уровень управленияСовет директоров / Коллегиальный исполнительный орган

Важно понимать, организация не просто «должна иметь» эти значения — она обязана определить конкретный орган управления, который их утверждает. Это означает, что вопрос операционной надежности официально поднимается до уровня корпоративного управления.

Что это значит на практике? Если в вашей организации сегодня нет утвержденных сигнальных и контрольных значений показателей ОН — это уже нарушение требований регулятора. Не потенциальное нарушение в будущем, а действующее несоответствие, которое будет выявлено при проверке.

МФО под действием 779-П с 2028 года: новые пороги и расчёты

Если вы МФО — этот блок для вас.

С 1 января 2028 года требования к операционной надёжности распространяются на микрофинансовые организации. Это принципиально новое регуляторное давление для сектора, который прежде не был охвачен этими нормами.

Под действие требований попадают следующие технологические процессы:

  • дистанционное предоставление займов через интернет
  • дистанционное погашение займов через интернет

Для этих процессов установлены конкретные пороговые значения:

  • Максимально допустимое время простоя и/или деградации — не более 24 часов
  • Порог для признания факта простоя и/или деградации — 5 минут

Это означает: если ваш сервис дистанционной выдачи займов недоступен или деградирует дольше 5 минут — событие уже подлежит фиксации. 

Важно для МФО

2028 год кажется далеким, но выстроить процессы операционной надёжности с нуля — это минимум 12–18 месяцев работы. Те, кто начнёт подготовку сейчас, придут к дедлайну с работающей системой. Те, кто отложит — будут строить её в режиме пожарной команды.

Новая обязанность: документирование событий операционного риска

Изменения в 779-П вводят обязанность, которая меняет саму культуру работы с инцидентами в НФО.

Раньше логика была такой: инцидент произошёл — исправили — двигаемся дальше. Теперь это недостаточно. Регулятор требует доказательств того, что процесс реагирования был управляемым, последовательным и задокументированным.

Принципиальный момент: Банк России может самостоятельно выявить событие операционного риска в вашей организации. И в этом случае регулятор не просто зафиксирует сам факт инцидента — он запросит документированную историю того, как организация на него реагировала. 

Что именно обязаны фиксировать НФО

Организации обязаны регистрировать четыре категории информации по каждому событию операционного риска, связанному с нарушением операционной надёжности:

1. Данные о факте нарушения сигнального или контрольного значения

На практике это означает: точное время фиксации отклонения, значение показателя в момент нарушения, какой именно порог был превышен — сигнальный или контрольный.

2. Данные о причине нарушения

Это не просто «сервер был недоступен». Регулятор ожидает структурированного анализа: что именно привело к нарушению, какое звено в цепочке технологического процесса стало причиной, были ли предпосылки заметны заранее.

3. Информация о принятых мерах и мероприятиях по реагированию

Полная хронология действий команды: что было сделано, в какой последовательности, какие ресурсы были задействованы. В том числе — если событие было выявлено Банком России, а не самой организацией.

4. Информация о результате восстановления технологического процесса

Подтверждение того, что процесс восстановлен, с указанием времени восстановления и оценкой полноты — процесс восстановлен полностью или частично, есть ли остаточные риски.

Минимальный состав документации по событию операционного риска:

  • Зафиксирован факт нарушения с временной меткой и значением показателя
  • Установлена и задокументирована причина нарушения
  • Описана хронология мер реагирования
  • Зафиксирован результат восстановления технологического процесса

Отсутствие хотя бы одного элемента из этого перечня означает неполное соответствие требованиям 779-П — даже если сам инцидент был устранён оперативно и без последствий для клиентов.

Уточнения по угрозам: поставщики и персонал

Изменения в 779-П вносят уточнения в формулировки, касающиеся нейтрализации двух категорий угроз операционной надёжности.

Сигнал для организаций: уточнение формулировок — это не косметическая правка. До уточнения формулировок организации нередко оказывались в «серой зоне»: формально меры по управлению риском существовали, но при проверке регулятор мог трактовать их как недостаточные. Обновлённые формулировки дают более чёткие ориентиры — что именно и в каком объёме нужно делать, чтобы меры признавались соответствующими требованиям.

    Похожие статьи

    графики

    Зачем бизнесу подключаться к ФинЦЕРТ или ГосСОПКА, если это не обязательно по закону

    Защита информации

    Мифы о ФинЦЕРТ и ГосСОПКА, которые мешают бизнесу

    Изменения в 821-П

    Что изменится при введении изменений в положение 821-П: только новое и обновлённое

    Соответствие ЦБ

    графики

    Зачем бизнесу подключаться к ФинЦЕРТ или ГосСОПКА, если это не обязательно по закону

    Защита информации

    Мифы о ФинЦЕРТ и ГосСОПКА, которые мешают бизнесу

    Изменения в 821-П

    Что изменится при введении изменений в положение 821-П: только новое и обновлённое

    Соответствие ЦБ

    графики

    Зачем бизнесу подключаться к ФинЦЕРТ или ГосСОПКА, если это не обязательно по закону

    Защита информации

    Мифы о ФинЦЕРТ и ГосСОПКА, которые мешают бизнесу

    Изменения в 821-П

    Что изменится при введении изменений в положение 821-П: только новое и обновлённое

    Соответствие ЦБ

    Мы используем cookie для улучшения работы, анализа трафика и персонализации контента. Продолжая использовать сайт, вы соглашаетесь на обработку данных в соответствии с нашей Политикой конфиденциальности и соглашаетесь на использование файлов cookie