Указание 7219-У ужесточает Положение 757-П: расширяет круг организаций и вводит для них уровни защиты по ГОСТ Р 57580.1-2017. Основной срок соответствия — 1 января 2027 года. Мы помогаем закрыть требования по управлению инцидентами, регистрации событий и информированию ЦБ.
Требования ЦБ к защите информации в НФО и МФО

7219-У ужесточает 757-П
Указание Банка России от 28.10.2025 № 7219-У вносит масштабные изменения в Положение 757-П — основной акт по защите информации для некредитных финансовых организаций. Основная часть требований вступает в силу 1 января 2027 года, отдельные положения — с 1 января 2028 года.
7219-У расширяет круг организаций и распределяет их по уровням защиты. Уровень определяет объём обязательных мер: усиленный — самый строгий, минимальный — базовый.
Три уровня защиты по ГОСТ 57580.1
Мало найти уязвимость — важно довести её до исправления. Выбирайте, как вам удобнее работать с результатами.
01 Усиленный
- Центральные контрагенты и центральный депозитарий
- Регистраторы финансовых транзакций
- Ежегодная оценка соответствия и пентест
02 Стандартный
- Все страховые организации (вне зависимости от активов)
- Все НПФ (вне зависимости от вида деятельности)
- Все регистраторы (кроме РФТ), крупные депозитарии
- Оценка по ГОСТ 57580.2 с внешним аудитором
03 Минимальный
- МФО — впервые под обязательными мерами ИБ
- Операторы инвестиционных платформ
- Операторы финансовых платформ, операторы ИС с ЦФА, операторы обмена ЦФА (без стандартного уровня)
- Спецдепозитарии ИФ/ПИФ/НПФ и др. из п. 1.4.4
01 Усиленный
- Центральные контрагенты и центральный депозитарий
- Регистраторы финансовых транзакций
- Ежегодная оценка соответствия и пентест
02 Стандартный
- Все страховые организации (вне зависимости от активов)
- Все НПФ (вне зависимости от вида деятельности)
- Все регистраторы (кроме РФТ), крупные депозитарии
- Оценка по ГОСТ 57580.2 с внешним аудитором
03 Минимальный
- МФО — впервые под обязательными мерами ИБ
- Операторы инвестиционных платформ
- Операторы финансовых платформ, операторы ИС с ЦФА, операторы обмена ЦФА (без стандартного уровня)
- Спецдепозитарии ИФ/ПИФ/НПФ и др. из п. 1.4.4
Базовые меры для МФО (уровень 03)
Минимальный (третий, самый слабый) уровень ГОСТ 57580.1 всё равно требует управления инцидентами и регистрации ключевых событий. Ниже — обязательные меры этого уровня, которые закрывает SOC.
Управление инцидентами защиты информации
Обнаружение инцидентов ЗИ и реагирование на них. На минимальном уровне обязательны организационные и технические меры процесса, включая регистрацию событий по результатам обнаружения и реагирования (РИ.19).
Регистрация событий идентификации, аутентификации и авторизации
Регистрация событий, связанных с идентификацией, аутентификацией и авторизацией при логическом доступе (РД.40 — регистрация идентификации и аутентификации субъектов доступа).
Регистрация событий доступа к средам виртуализации
Регистрация событий защиты информации, связанных с доступом к средам виртуализации (блок ЗСВ.32–43). На минимальном уровне обязательна часть мер этого блока.
Управление инцидентами защиты информации
Обнаружение инцидентов ЗИ и реагирование на них. На минимальном уровне обязательны организационные и технические меры процесса, включая регистрацию событий по результатам обнаружения и реагирования (РИ.19).
Регистрация событий идентификации, аутентификации и авторизации
Регистрация событий, связанных с идентификацией, аутентификацией и авторизацией при логическом доступе (РД.40 — регистрация идентификации и аутентификации субъектов доступа).
Регистрация событий доступа к средам виртуализации
Регистрация событий защиты информации, связанных с доступом к средам виртуализации (блок ЗСВ.32–43). На минимальном уровне обязательна часть мер этого блока.
Сообщать об инцидентах — обязанность (757-П, п. 1.15)
НФО всех уровней обязаны информировать Банк России о выявленных инцидентах защиты информации из утверждённого перечня, о мерах реагирования — через техническую инфраструктуру ЦБ. Срок зависит от уровня защиты.
Усиленный / стандартный 3 часа
С момента выявления инцидента защиты информации — для организаций усиленного и стандартного уровней.
Минимальный / МФО 24 часа
В течение суток с момента выявления — для организаций минимального уровня, включая МФО.
Усиленный / стандартный 3 часа
С момента выявления инцидента защиты информации — для организаций усиленного и стандартного уровней.
Минимальный / МФО 24 часа
В течение суток с момента выявления — для организаций минимального уровня, включая МФО.
Что берёт на себя SOC
Большинство базовых мер минимального уровня — это обнаружение, регистрация и реагирование. Ровно то, что делает наш SOC.
Управление инцидентами
Обнаружение, регистрация и реагирование на инциденты силами дежурной смены — процесс РИ под ключ.
Регистрация событий
Сбор и хранение событий идентификации/аутентификации и доступа к виртуализации в SIEM.
Информирование ЦБ
Помогаем зарегистрировать инцидент и передать сведения в Банк России в срок — 24 или 3 часа.
Готовность к оценке
Настраиваем меры и документацию так, чтобы пройти оценку соответствия по ГОСТ 57580.2.
Управление инцидентами
Обнаружение, регистрация и реагирование на инциденты силами дежурной смены — процесс РИ под ключ.
Регистрация событий
Сбор и хранение событий идентификации/аутентификации и доступа к виртуализации в SIEM.
Информирование ЦБ
Помогаем зарегистрировать инцидент и передать сведения в Банк России в срок — 24 или 3 часа.
Готовность к оценке
Настраиваем меры и документацию так, чтобы пройти оценку соответствия по ГОСТ 57580.2.
