Что изменится при введении изменений в положение 821-П: только новое и обновлённое
Обновлено: 20.04.2026
Уже осенью 2026 года начинает действовать обновленная редакция Положения №821-П (изменения внесены указанием №7220-У). В качестве цели обозначено повышение безопасности платежных операций и устойчивости к киберугрозам, а для этого в документ включены корректировки и уточнения в части применения СКЗИ, регистрации действий пользователей, защитных мер при работе с биометрией. Также предъявляются более конкретные и жесткие требования к отчетности, аутентификации и контролю доступа.
Доступ к защищаемой информации
Обновленная редакция положения предъявляет повышенные требования в части контроля этой сферы. Помимо электронной переписки необходимо усиленно защищать информацию о выполненных финансовых переводах, аутентификации и идентификации клиентов и персональные данные (в том числе биометрические).
Для осуществления регистрации результатов совершения действий связанных с осуществлением доступа к защищаемой информации, необходимо:
- использовать информацию о точном значении времени и дате по часовому поясу МСК - с использованием ГЛОНАСС и спутников;
- обеспечить синхронизацию как минимум раз в сутки;
- обеспечить непревышение допустимого отклонения времени от точного значения. Допустимый диапазон отклонения по времени составляет не более 5 секунд (для технологических участков меньше - только 3 секунды);
- обеспечить резервирование объектов ИТ-инфраструктуры, которые применяются для получения данных о МСК и календарной дате, а также эталонных сигналов времени, должно осуществляться с использованием ГЛОНАСС и спутников;
- обеспечить применение мер защиты информации, установленных ГОСТ Р 57580.1-2017, в отношении объектов ИТ-инфраструктуры, которые применяются для получения данных о МСК и календарной дате, а также эталонных сигналов времени, должно осуществляться с использованием ГЛОНАСС и спутников ;
- обеспечить регистрацию случаев, когда допустимое временное отклонение превышено, возникли отказы или нарушена синхронизация. Также организация должна обеспечить реагирование на такие ситуации с фиксацией результатов.
Регистрация действий клиентов
В исходной редакции положения 821-П уже предъявлялись требования по регистрации действий клиентов, в то время как обновленный документ расширяет и уточняет их. Какие уточнения и дополнения законодатели включили в новую редакцию. Фиксация сессий - предъявляются дополнительные требования по регистрации:
- даты и времени начала соединения и окончания сессии на транспортном уровне (согласно ГОСТ Р ИСО/МЭК 7498-1-99);
- идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ (адрес на сетевом уровне и адрес на транспортном уровне (порт) компьютера и (или) коммуникационного устройства (маршрутизатора);
- идентификационная информация, используемая для адресации автоматизированной системы, программного обеспечения, к которым осуществлен доступ с целью совершения действий с защищаемой информацией (адрес на сетевом уровне и адрес на транспортном уровне (порт) автоматизированной системы, используемой оператором по переводу денежных средств;
- географическое местоположение устройства, при помощи которого осуществлен доступ к защищаемой информацией (при наличии).
Использование биометрических персональных данных
В ранее действовавшей редакции Положения 821-П Банк России не предъявлял специальных требований к защите биометрии, к данным этой категории применялись общие меры защиты.
Теперь организациям придется:
- Обеспечивать защиту информации с использованием СКЗИ не ниже класса КС1;
- Проводить оценку корректности функционирования ПО (распространяется на ПО, которое используется в процессе приема/передачи информации об идентификаторах ЭСП).
Цикл PDCA
Внедрение цикла PDCA теперь становится обязательным для организаций, обязанных соблюдать стандартный уровень защиты информации и относящихся к следующим категориям:
- операторов по переводу денежных средств;
- банковских платежных агентов и субагентов;
- операторы услуг информационного обмена;
- операторов услуг платежной инфраструктуры;
- операторы электронных платформ.
Что именно потребуется делать организациям
Планировать (P) - заранее формировать годовые, квартальные, помесячные или иные планы, где будут учтено то, какие меры защиты нужно внедрить, сколько времени на это потребуется и какие ресурсы необходимы.
Использовать / применять (D) - следуя утвержденным планам, нужно внедрить выбранные меры, и документально зафиксировать каждый исполнение.
Контролировать (С) - обеспечить регулярную проверку эффективности внедренных защитных мер, а также их работоспособность.
Совершенствовать (А) - анализировать итоги контрольных мероприятий (например, проверок, аудитов), инцидентов, постоянно осуществлять мониторинг состояния защитных мер, искать слабые места и направления, где необходимо усилить безопасность, совершенствовать планы и инструменты ИБ, тестировать изменения на предмет их эффективности для конкретной организации.
Как правило, в большинстве компаний в той или иной форме уже реализованы элементы этого цикла. Мы поможем проанализировать существующие бизнес-процессы и составить план действий по их адаптации и переходу на полноценный цикл PDCA с оптимальными затратами для организации и минимальным стрессом для сотрудников.
СКЗИ: изменения и дополнения
С 01.01.2031 года операторов значимых платежных систем ожидают новые требования к использованию СКЗИ:
- В аппаратных модулях безопасности (АМБ) СКЗИ должны быть сертифицированными (то есть необходимо подтверждать соответствие требованиям ФСБ);
- В иных технических средствах инфраструктуры использовать СКЗИ можно будет только по согласованию с ФСБ;
- Будет запрещено использовать иностранные СКЗИ для защиты данных, связанных с идентификацией, а также аутентификацией с использованием биометрических ПДн.
Отчетность
Обновленное Положение включает в себя более детализированные требования к отчетности. Так, операторы по переводу денежных средств, которые являются кредитными организациями должны подавать в Банк России отчетность по установленным формам, размещенным на официальном портале ведомства (0409071, 0416071, 0403202, 0420722).
Перед подачей отчетов потребуется оценить технологические меры защиты, а также безопасность и корректность работы софта для обработки платежных данных.
Отчеты должны храниться в течение 5 лет с момента составления.
В части отчетности перед Банком России в действие вводится отдельное Приложение 3, где указаны конкретные сроки предоставления не только информации о выявленных инцидентах защиты данных, но также о принятых мерах по реагированию на такие инциденты.
Обновленное Положение 821-П включает в себя положения, усиливающие контроль за защитой информации, требования становятся более детализированными, конкретными и жесткими, и многие из них вступают в действие уже в 2026 году.
