dark-logo

Требования ЦБ к защите информации в НФО и МФО

Указание 7219-У ужесточает Положение 757-П: расширяет круг организаций и вводит для них уровни защиты по ГОСТ Р 57580.1-2017. Основной срок соответствия — 1 января 2027 года. Мы помогаем закрыть требования по управлению инцидентами, регистрации событий и информированию ЦБ.

sootvetsvie CB-head

7219-У ужесточает 757-П

 

Указание Банка России от 28.10.2025 № 7219-У вносит масштабные изменения в Положение 757-П — основной акт по защите информации для некредитных финансовых организаций. Основная часть требований вступает в силу 1 января 2027 года, отдельные положения — с 1 января 2028 года.

 

7219-У расширяет круг организаций и распределяет их по уровням защиты. Уровень определяет объём обязательных мер: усиленный — самый строгий, минимальный — базовый.

Три уровня защиты по ГОСТ 57580.1

 

Мало найти уязвимость — важно довести её до исправления. Выбирайте, как вам удобнее работать с результатами.

01 Усиленный

  • Центральные контрагенты и центральный депозитарий
  • Регистраторы финансовых транзакций
  • Ежегодная оценка соответствия и пентест

02 Стандартный

  • Все страховые организации (вне зависимости от активов)
  • Все НПФ (вне зависимости от вида деятельности)
  • Все регистраторы (кроме РФТ), крупные депозитарии
  • Оценка по ГОСТ 57580.2 с внешним аудитором

03 Минимальный

  • МФО — впервые под обязательными мерами ИБ
  • Операторы инвестиционных платформ
  • Операторы финансовых платформ, операторы ИС с ЦФА, операторы обмена ЦФА (без стандартного уровня)
  • Спецдепозитарии ИФ/ПИФ/НПФ и др. из п. 1.4.4

01 Усиленный

  • Центральные контрагенты и центральный депозитарий
  • Регистраторы финансовых транзакций
  • Ежегодная оценка соответствия и пентест

02 Стандартный

  • Все страховые организации (вне зависимости от активов)
  • Все НПФ (вне зависимости от вида деятельности)
  • Все регистраторы (кроме РФТ), крупные депозитарии
  • Оценка по ГОСТ 57580.2 с внешним аудитором

03 Минимальный

  • МФО — впервые под обязательными мерами ИБ
  • Операторы инвестиционных платформ
  • Операторы финансовых платформ, операторы ИС с ЦФА, операторы обмена ЦФА (без стандартного уровня)
  • Спецдепозитарии ИФ/ПИФ/НПФ и др. из п. 1.4.4

Базовые меры для МФО (уровень 03)

 

Минимальный (третий, самый слабый) уровень ГОСТ 57580.1 всё равно требует управления инцидентами и регистрации ключевых событий. Ниже — обязательные меры этого уровня, которые закрывает SOC.

Управление инцидентами защиты информации

Обнаружение инцидентов ЗИ и реагирование на них. На минимальном уровне обязательны организационные и технические меры процесса, включая регистрацию событий по результатам обнаружения и реагирования (РИ.19).

Регистрация событий идентификации, аутентификации и авторизации

Регистрация событий, связанных с идентификацией, аутентификацией и авторизацией при логическом доступе (РД.40 — регистрация идентификации и аутентификации субъектов доступа).

Регистрация событий доступа к средам виртуализации

Регистрация событий защиты информации, связанных с доступом к средам виртуализации (блок ЗСВ.32–43). На минимальном уровне обязательна часть мер этого блока.

Управление инцидентами защиты информации

Обнаружение инцидентов ЗИ и реагирование на них. На минимальном уровне обязательны организационные и технические меры процесса, включая регистрацию событий по результатам обнаружения и реагирования (РИ.19).

Регистрация событий идентификации, аутентификации и авторизации

Регистрация событий, связанных с идентификацией, аутентификацией и авторизацией при логическом доступе (РД.40 — регистрация идентификации и аутентификации субъектов доступа).

Регистрация событий доступа к средам виртуализации

Регистрация событий защиты информации, связанных с доступом к средам виртуализации (блок ЗСВ.32–43). На минимальном уровне обязательна часть мер этого блока.

Сообщать об инцидентах — обязанность (757-П, п. 1.15)

 

НФО всех уровней обязаны информировать Банк России о выявленных инцидентах защиты информации из утверждённого перечня, о мерах реагирования — через техническую инфраструктуру ЦБ. Срок зависит от уровня защиты.

Усиленный / стандартный 3 часа

С момента выявления инцидента защиты информации — для организаций усиленного и стандартного уровней.

Минимальный / МФО 24 часа

В течение суток с момента выявления — для организаций минимального уровня, включая МФО.

Усиленный / стандартный 3 часа

С момента выявления инцидента защиты информации — для организаций усиленного и стандартного уровней.

Минимальный / МФО 24 часа

В течение суток с момента выявления — для организаций минимального уровня, включая МФО.

Что берёт на себя SOC

 

Большинство базовых мер минимального уровня — это обнаружение, регистрация и реагирование. Ровно то, что делает наш SOC.

Управление инцидентами

Обнаружение, регистрация и реагирование на инциденты силами дежурной смены — процесс РИ под ключ.

Регистрация событий

Сбор и хранение событий идентификации/аутентификации и доступа к виртуализации в SIEM.

Информирование ЦБ

Помогаем зарегистрировать инцидент и передать сведения в Банк России в срок — 24 или 3 часа.

Готовность к оценке

Настраиваем меры и документацию так, чтобы пройти оценку соответствия по ГОСТ 57580.2.

Управление инцидентами

Обнаружение, регистрация и реагирование на инциденты силами дежурной смены — процесс РИ под ключ.

Регистрация событий

Сбор и хранение событий идентификации/аутентификации и доступа к виртуализации в SIEM.

Информирование ЦБ

Помогаем зарегистрировать инцидент и передать сведения в Банк России в срок — 24 или 3 часа.

Готовность к оценке

Настраиваем меры и документацию так, чтобы пройти оценку соответствия по ГОСТ 57580.2.

img_3 1

Ваша проблема — наше решение

check