Проект указания Банка России "О внесении изменений в Положение Банка России от 25 июля 2022 года N 802-П" (по состоянию на 24 ноября 2025 г.)

На основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", части пятой статьи 5 Федерального закона от 2 декабря 1990 года N 395-I "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ ___________ 2025 года N _______):

1. Внести в Положение Банка России от 25 июля 2022 года N 802-П "О требованиях к защите информации в платежной системе Банка России"1 следующие изменения:

1.1. В пункте 1:

в абзаце первом слова "пункта 3.10 Положения Банка России от 24 сентября 2020 года N 732-П "О платежной системе Банка России"3 (далее - Положение N 732-П) и кредитными организациями (их филиалами)" заменить словами "пункта 3.7 Положения Банка России от __ ________2025 года N ___ "О платежной системе Банка России"3 (далее - Положение N ____) и кредитными организациями (включая филиалы кредитных организаций), филиалами иностранных банков, через которые иностранные банки осуществляют деятельность на территории Российской Федерации (далее - филиалы иностранных банков), некредитными финансовыми организациями, указанными в части 7 статьи 21 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ";

абзац второй изложить в следующей редакции:

"Требования к защите информации, установленные настоящим Положением, должны выполняться участниками обмена, являющимися кредитными организациями, филиалами иностранных банков, ОПКЦ СБП и ОУИО СБП наряду с требованиями к обеспечению защиты информации при осуществлении переводов денежных средств, установленными в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ";

сноску 1 считать утратившей силу;

сноску 3 изложить в следующей редакции:

"3 Зарегистрировано Минюстом России __ ________ ______ года, регистрационный N ________.".

1.2. В пункте 2:

слова "указанной в пунктах 2.2, 4.2, 6.4 Положения Банка России от 4 июня 2020 года N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"1 (далее - Положение Банка России N 719-П)" заменить словами "указанной в пунктах 2.2, 4.2, 6.4 и 7.5 Положения Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"1 (далее - Положение Банка России N 821-П), пункте 1.1 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"2";

сноску 1 изложить в редакции:

"1 Зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286, с изменениями, внесенными Указанием Банка России от __.__.2025 года N _______ (зарегистрировано Минюстом России ___.___.____, регистрационный N ____);

дополнить сноской 2 в следующей редакции:

"2 Зарегистрировано Министерством юстиции Российской Федерации 15 июня 2021 года N 63880 (с изменениями, внесенными Указанием Банка России от 28 октября 2025 года N 7219-У "О внесении изменений в Положение Банка России от 20 апреля 2021 года N 757-П", зарегистрированным Министерством юстиции Российской Федерации ___ ____ 202__ года N _____).".

1.3. Пункты 3 и 4 изложить в следующей редакции:

"3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация следующих уровней защиты информации, предусмотренных пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст и введенного в действие 1 января 2018 года (далее - ГОСТ Р 57580.1-2017):

участники ССНП, являющиеся системно значимыми кредитными организациям, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, значимыми на рынке платежных услуг, - усиленный уровень защиты информации;

участники ССНП, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего пункта, филиалами иностранных банков - стандартный уровень защиты информации;

участники ССНП, не указанные в абзацах третьем и четвертом настоящего пункта - минимальный уровень защиты информации.

Кредитные организации, указанные в абзаце четвертом настоящего подпункта, ставшие кредитными организациями, указанными в абзаце третьем настоящего подпункта, не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего подпункта, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня защиты информации.

4. Участники обмена, международные финансовые организации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее при совместном упоминании - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация следующих уровней защиты информации, предусмотренных пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017:

участники СБП, являющиеся системно значимыми кредитными организациям, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, значимыми на рынке платежных услуг, - усиленный уровень защиты информации;

участники СБП, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего пункта, филиалами иностранных банков - стандартный уровень защиты информации;

участники СБП, не указанные в абзацах третьем и четвертом настоящего пункта - минимальный уровень защиты информации.

Кредитные организации, указанные в абзаце четвертом настоящего подпункта, ставшие кредитными организациями, указанными в абзаце третьем настоящего подпункта, не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего подпункта, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня защиты информации.".

1.4. Пункт 7 дополнить подпунктом 7.4 в следующей редакции:

"7.4. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктами 7.1, 7.2 пункта 7 настоящего Положения.

Участники СБП, ОПКЦ СБП и ОУИО СБП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктом 7.3 пункта 7 настоящего Положения.".

1.5. Пункт 10 считать утратившим силу.

1.6. В пункте 14:

в абзаце четвертом подпункта 14.3 слова "N 732-П" заменить словами "N ____";

подпункт 14.3 дополнить абзацем следующего содержания:

"применения СКЗИ, предоставляемых Банком России.";

дополнить подпунктом 14.6 в следующей редакции:

"14.6. Участники СБП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктом 14.1 пункта 14 настоящего Положения.

Участники СБП, ОПКЦ СБП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктом 14.2 пункта 14 настоящего Положения.

Участники ССНП, участники СБП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктом 14.3 пункта 14 настоящего Положения.

ОПКЦ СБП должен осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктом 14.4 пункта 14 настоящего Положения.".

1.7. В абзаце первом, втором пункта 15 слова "без согласия клиента" заменить словами "без добровольного согласия клиента".

1.8. В пункте 16:

слова "без согласия клиента" заменить словами "без добровольного согласия клиента";

Подпункт 16.1 изложить в следующей редакции:

"16.1. Участник СБП - банк плательщика должен осуществлять:

мероприятия по противодействию осуществления операций без добровольного согласия клиента, установленные частями 3.1 - 3.15 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ, включая отказ в совершении операции в соответствии с частями 3.4, 3.10 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ с учетом информации об уровне риска операции без добровольного согласия клиента (далее - индикатор уровня риска операции), включенной в электронное сообщение, полученной от ОПКЦ СБП, содержащей в том числе информацию об индикаторе уровня риска операции, сформированном участником СБП - банком получателя;

формирование индикатора уровня риска операции на основе оценки рисков операций в рамках реализуемой участником СБП - банком плательщика системы управления рисками и его направление в электронном сообщении в ОПКЦ СБП, - в случае невыявления признаков осуществления перевода денежных средств без добровольного согласия клиента.";

в подпункте 16.2, абзацах втором - седьмом подпункта 16.3, абзаце первом подпункта 16.4 слова "без согласия клиента" заменить словами "без добровольного согласия клиента";

в абзаце первом подпункта 16.4 слова "компьютерных атак" заменить словами "целенаправленных воздействий";

в абзаце втором подпункта 16.4 слова "N 732-П" заменить словами "N ____";

в абзаце втором подпункта 16.4 слова "компьютерных атаках" заменить словами "целенаправленных воздействиях";

в абзаце пятом подпункта 16.4 слова "абзацем девятым пункта 5.1 Положения Банка России N 719-П" заменить словами "абзацем шестым пункта 5.1 Положения Банка России N 821-П".

1.9. Пункт 18 изложить в редакции:

"ОУИО СБП обязан информировать участника СБП о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе о тех, которые привели или могут привести к осуществлению переводов денежных средств без добровольного согласия клиента или к неоказанию услуг по переводу денежных средств, в соответствии с договором между участником СБП и ОУИО СБП, предусмотренным пунктом 33 статьи 3 Федерального закона от 27 июня 2011 года N 161-ФЗ.".

1.10. В пункте 19:

подпункт 19.3 дополнить абзацем следующего содержания:

"Обращение должно быть подписано усиленной квалифицированной электронной подписью уполномоченного лица либо подписью уполномоченного лица на бумажном носителе;";

подпункт 19.4 изложить в следующей редакции:

"19.4. Не позднее одного рабочего дня после направления обращений участник ССНП должен направить обращение о приостановлении обмена электронными сообщениями или об отмене приостановления обмена электронными сообщениями, подписанного способом указанным в абзаце втором подпункта 19.3 пункта 19 настоящего Положения, посредством личного кабинета ссылка на который размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет", в соответствии с порядком взаимодействия, установленным нормативным актом Банка России, принятым на основании статьи 9.2, частей первой и четвертой статьи 73.1, частей первой, третьей, шестой и восьмой статьи 76.9, частей первой, третьей, шестой и восьмой статьи 76.9-11 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", частей 1, 4, 5 и 7 статьи 35.1 Федерального закона от 27 июня 2011 года N 161-ФЗ.";

1.11. Пункт 20 изложить в следующей редакции:

"Для оценки участниками ССНП, реализующими усиленный и стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017, участниками СБП, реализующими усиленный и стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017, ОПКЦ СБП и ОУИО СБП выполнения ими требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - оценка соответствия) и оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации устанавливаются следующие требования:

оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3 - 6 настоящего Положения;

оценка соответствия должна проводиться в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст и введенного в действие 1 сентября 2018 года (далее - ГОСТ Р 57580.2-2018);

оценка соответствия должна проводиться не реже одного раза в два года.

Для оценки участниками ССНП, реализующими усиленный и стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017, участниками СБП, реализующими усиленный и стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017, выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, устанавливается следующее требование:

в случае представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации" (далее - форма 0409071), установленной Указанием Банка России от 10 апреля 2023 года N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)"1 (далее - Указание Банка России от 10 апреля 2023 года N 6406-У) при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации должны осуществлять расчет значений указанной оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в пункте 4.3 Порядка составления и представления отчетности по форме 0409071 установленного Указанием Банка России от 10 апреля 2023 года N 6406-У.

Для оценки ОПКЦ СБП выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, устанавливается следующее требование:

при представлении отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра" (далее - форма 0403202), установленной Указанием Банка России от 27 июня 2023 года N 6470-У "О формах, методиках составления, порядке и сроках представления отчетности оператора платежной системы, оператора услуг платежной инфраструктуры, оператора по переводу денежных средств в Центральный банк Российской Федерации"2 (далее - Указание Банка России от 27.06.2023 N 6470-У) при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации должны осуществлять расчет значений указанной оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в пункте 2.2 методики составления отчетности по форме 0403202, установленной Указанием Банка России от 27 июня 2023 года N 6470-У.

Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3 - 6 настоящего Положения, уровень соответствия не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.";

дополнить пункт 20 сноской 1 в следующей редакции:

"1 Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный N 74823, с изменениями, внесенными Указаниями Банка России от 8 декабря 2023 года N 6621-У (зарегистрировано Минюстом России 22 января 2024 года, регистрационный N 76927), от 12 марта 2024 года N 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный N 78345), от 10 июля 2024 года N 6800-У (зарегистрировано Минюстом России 25 октября 2024 года, регистрационный N 79916), от 4 сентября 2024 года N 6840-У (зарегистрировано Минюстом России 10 октября 2024 года, регистрационный N 79758), от 16 декабря 2024 года N 6961-У (зарегистрировано Минюстом России 19 декабря 2024 года, регистрационный N 80633);

дополнить пункт 20 сноской 2 в следующей редакции:

"2 Зарегистрировано Минюстом России 27 сентября 2023 года, регистрационный N 75347, с изменениями, внесенными Указанием Банка России от 4 июня 2024 года N 6741-У (зарегистрировано Минюстом России 21 августа 2024 года, регистрационный N 79227).".

1.12. Пункт 21 изложить в следующей редакции:

"Контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств Банк России осуществляет в отношении участников обмена, являющихся кредитными организациями, филиалами иностранных банков и ОПКЦ СБП в соответствии с главой 8 Положения Банка России N 821-П.

Контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств Банк России осуществляет в отношении участников обмена, являющихся некредитными финансовыми организациями, указанными в части 7 статьи 21 Федерального закона от 27 июня 2011 года N 161-ФЗ, в соответствии со статьей 76.5 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".".

1.13. В приложении:

в пункте 1.1 слова "для каждого из контуров" заменить словами "для выполнения функций операторов автоматизированного рабочего места, администраторов автоматизированного рабочего места и администраторов информационной безопасности автоматизированного рабочего места в каждом из контуров. Участник ССНП должен обеспечить использование различных ключевых носителей для криптографических ключей, используемых для подписания исходящих электронных сообщений в контуре формирования электронных сообщений и контуре контроля реквизитов электронных сообщений.";

пункт 1.2 дополнить следующим абзацем:

"Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей должен содержать в том числе перечень объектов информационной инфраструктуры, с использованием которых осуществляется информационное взаимодействие, и протоколы, используемые для информационного взаимодействия.";

дополнить пунктом 1.5 следующего содержания:

"1.5. Участник ССНП в рамках системы управления рисками должен обеспечить контроль извещения в электронном виде о списании денежных средств, направляемого участнику ССНП в соответствии с пунктом 5.29 Положения Банка России N ______, на соответствие реквизитов электронных сообщений, ранее направленных участником ССНП.";

в пункте 2.1 слова "для каждого из контуров" заменить словами "для выполнения функций операторов автоматизированного рабочего места, администраторов автоматизированного рабочего места и администраторов информационной безопасности автоматизированного рабочего места в каждом из контуров. Участник СБП должен обеспечить использование различных ключевых носителей для криптографических ключей, используемых для подписания исходящих электронных сообщений в контуре формирования электронных сообщений и контуре контроля реквизитов электронных сообщений.";

2. Настоящее Указание подлежит официальному опубликованию и вступает в силу с 1 октября 2026 года.

------------------------------

1 Зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286.

------------------------------

Председатель Центрального банка Российской Федерации

Э.С. Набиуллина

Пояснительная записка
к проекту указания Банка России "О внесении изменений в Положение Банка России от 25 июля 2022 года N 802-П"

Банк России разработал проект указания Банка России "О внесении изменений в Положение Банка России от 25 июля 2022 года N 802-П" (далее - проект).

Полномочия Банка России по разработке проекта и принятию акта установлены пунктом 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", частью пятой статьи 5 Федерального закона от 2 декабря 1990 года N 395-I "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ).

Проект разработан в целях гармонизации требований Положения Банка России от 25 июля 2022 года N 802-П и актуализации ссылок на нормативные акты Банка России.

Уточняется перечень прямых участников платежной системы Банка России, являющихся участниками обмена, на которых распространяются требования Положения Банка России от 25 июля 2022 года N 802-П.

В проекте уточнены формулировки действующего Положения Банка России от 25 июля 2022 года N 802-П, а также установлены дополнительные требования по защите информации для участников платежной системы:

установлено требование об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении технологии обработки защищаемой информации;

установлены требования к расчету значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации1;

для организации обмена с платежной системой Банка России предусмотрена возможность использования автоматизированного рабочего места обмена или собственных объектов информационной инфраструктуры по решению участника обмена.

Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 07.12.2025 по адресам: nikitinavl@cbr.ru, erokhingi@cbr.ru и belyaevea@cbr.ru.

------------------------------

1 Для целей составления и предоставления отчетности в Банк России