Зарегистрировано в Минюсте России 6 февраля 2026 г. N 85263

---

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ
от 28 октября 2025 г. N 7220-У

О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 17 АВГУСТА 2023 ГОДА N 821-П

На основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе":

1. Внести в Положение Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" <1> следующие изменения:

--------------------------------

<1> Зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286.

1.1. В пункте 1.1:

абзац первый изложить в следующей редакции:

"1.1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ в целях реализации требований к обеспечению защиты информации при осуществлении переводов денежных средств, включая осуществление переводов денежных средств, инициируемых с использованием биометрических персональных данных клиентов операторов по переводу денежных средств, в том числе прием и передачу информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств, инициируемых с использованием биометрических персональных данных клиентов операторов по переводу денежных средств (далее - требования к обеспечению защиты информации), применяемых в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются при осуществлении переводов денежных средств операторами по переводу денежных средств (далее - объекты информационной инфраструктуры), должны:";

дополнить абзацем следующего содержания:

"Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры в случае совмещения деятельности с деятельностью кредитной организации, иностранного банка, осуществляющего деятельность на территории Российской Федерации через свой филиал (далее - филиал иностранного банка), некредитной финансовой организации, и формирования в отношении объектов информационной инфраструктуры одного контура безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация наиболее высокого уровня защиты информации, установленного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, из предусмотренных настоящим пунктом и нормативными актами Банка России, устанавливающими на основании статей 57.4, 76.4-1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон от 10 июля 2002 года N 86-ФЗ) требования к обеспечению защиты информации для кредитной организации, филиала иностранного банка, некредитной финансовой организации.".

1.2. Дополнить пунктом 1.1(1) следующего содержания:

"1.1(1). Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы электронных платформ, являющиеся операторами финансовых платформ, операторами информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторами обмена цифровых финансовых активов, обязанные соблюдать стандартный уровень защиты информации в соответствии с подпунктом 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1> (далее соответственно - операторы электронных платформ, обязанные соблюдать стандартный уровень защиты информации, Положение Банка России от 20 апреля 2021 года N 757-П), должны проводить оценку выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов электронных платформ, в соответствии с пунктами 2.3, 6.7 и 7.7 настоящего Положения.";

дополнить сноской 1 следующего содержания:

"<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880, с изменениями, внесенными Указанием Банка России от 28 октября 2025 года N 7219-У (зарегистрировано Минюстом России 6 февраля 2026 года, регистрационный N 85262).".

1.3. В пункте 1.2:

абзац первый изложить в следующей редакции:

"1.2. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, обязанные соблюдать стандартный уровень защиты информации, должны выполнять требования к обеспечению защиты информации, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений, в том числе в соответствии с пунктами 2.5, 3.8 - 3.10,4.6, 6.9 и 6.10 настоящего Положения.";

сноску 1 исключить;

в абзаце четвертом слова "сеть "Интернет")." заменить словами "сеть "Интернет");";

абзац пятый изложить в следующей редакции:

"программное обеспечение, используемое для приема и (или) передачи информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств, инициируемых с использованием биометрических персональных данных клиентов операторов по переводу денежных средств.";

дополнить абзацами следующего содержания:

"По решению операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ, обязанных соблюдать стандартный уровень защиты информации, оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, обязанные соблюдать стандартный уровень защиты информации, должны обеспечивать сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения при внесении изменений в исходный текст программного обеспечения и приложений, реализующий требования к обеспечению защиты информации, применяемые в отношении технологии обработки информации в соответствии с пунктом 1.3 настоящего Положения, а также реализующий технологические меры в соответствии с пунктами 2.8, 2.9, 3.11, 4.7, 6.11 и 7.6 настоящего Положения.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, обязанные соблюдать стандартный уровень защиты информации, вправе не проводить сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения (за исключением прикладного программного обеспечения, взаимодействующего со средствами криптографической защиты информации (далее - СКЗИ) в отношении разрабатываемого ими программного обеспечения и приложений, если указанные субъекты национальной платежной системы обеспечили сертификацию процессов безопасной разработки программного обеспечения ФСТЭК России на соответствие требованиям в части реализации безопасного жизненного цикла разработки программного обеспечения и приложений, указанным в разделах 4 и 5 национального стандарта Российской Федерации ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", утвержденного и введенного в действие с 20 декабря 2024 года приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 года N 1504-ст <1>, при осуществлении полномочий в соответствии с подпунктами 13, 13(2) пункта 8, подпункта 9 пункта 9 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085.";

дополнить сноской 1 следующего содержания:

"<1> М.: ФГБУ "Институт стандартизации", 2024.".

1.4. Пункт 1.3 изложить в следующей редакции:

"1.3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ должны выполнять требования к обеспечению защиты информации, применяемые в отношении технологии обработки информации, подготавливаемой, обрабатываемой и хранимой на следующих технологических участках (далее соответственно - защищаемая информация, технологические участки):

идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств;

формирования (подготовки), передачи и приема электронных сообщений, в том числе информации в электронном виде, содержащей сведения об идентификации и (или) аутентификации с использованием биометрических персональных данных клиентов операторов по переводу денежных средств и результат проведения идентификации и (или) аутентификации, информации, предназначенной для получения информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств, инициируемых с использованием биометрических персональных данных клиентов операторов по переводу денежных средств, информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств (далее - информация, связанная с идентификацией и (или) аутентификацией с использованием биометрических персональных данных);

удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами;

осуществления переводов денежных средств;

учета результатов осуществления переводов денежных средств;

хранения электронных сообщений и информации об осуществленных переводах денежных средств, включая информацию, связанную с идентификацией и (или) аутентификацией с использованием биометрических персональных данных.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ в целях реализации требований к обеспечению защиты защищаемой информации на технологических участках должны обеспечивать:

конфиденциальность, целостность, доступность и достоверность защищаемой информации;

регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации;

регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.".

1.5. В пункте 1.4:

абзац четвертый после слов "приема (передачи) электронных сообщений" дополнить словами ", информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,";

перед подпунктом 1.4.1 дополнить абзацами следующего содержания:

"В целях осуществления регистрации результатов совершения действий, связанных с осуществлением доступа к защищаемой информации, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ при эксплуатации объектов информационной инфраструктуры должны обеспечить:

использование информации о точном значении московского времени и календарной дате, а также эталонных сигналов времени с использованием глобальной навигационной спутниковой системы ГЛОНАСС и спутниковых систем связи, распространяемых Государственной службой времени, частоты и определения параметров вращения Земли в соответствии с частью 1 статьи 6 Федерального закона от 3 июня 2011 года N 107-ФЗ "Об исчислении времени" (далее - Федеральный закон от 3 июня 2011 года N 107-ФЗ);

синхронизацию времени не реже одного раза в 24 часа на объектах информационной инфраструктуры;

резервирование объектов информационной инфраструктуры, используемых для получения информации о точном значении московского времени и календарной дате, а также эталонных сигналов времени с использованием глобальной навигационной спутниковой системы ГЛОНАСС и спутниковых систем связи, распространяемых Государственной службой времени, частоты и определения параметров вращения Земли в соответствии с частью 1 статьи 6 Федерального закона от 3 июня 2011 года N 107-ФЗ;

применение мер защиты информации, посредством выполнения которых обеспечивается реализация уровней защиты информации, установленных пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, в отношении объектов информационной инфраструктуры, используемых для получения информации о точном значении московского времени и календарной дате, а также эталонных сигналов времени с использованием глобальной навигационной спутниковой системы ГЛОНАСС и спутниковых систем связи, распространяемых Государственной службой времени, частоты и определения параметров вращения Земли в соответствии с частью 1 статьи 6 Федерального закона от 3 июня 2011 года N 107-ФЗ;

непревышение допустимого отклонения времени от точного значения московского времени и календарной даты, а также эталонных сигналов времени, полученных с использованием глобальной навигационной спутниковой системы ГЛОНАСС и спутниковых систем связи, распространяемых Государственной службой времени, частоты и определения параметров вращения Земли в соответствии с частью 1 статьи 6 Федерального закона от 3 июня 2011 года N 107-ФЗ (далее - допустимое отклонение времени) на объектах информационной инфраструктуры, эксплуатируемых на технологических участках идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств, формирования (подготовки), передачи и приема электронных сообщений, удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами, осуществления переводов денежных средств - не более 3 секунд, на иных объектах информационной инфраструктуры - не более 5 секунд;

регистрацию случаев превышения допустимого отклонения времени, возникновения отказов и (или) нарушений синхронизации времени на объектах информационной инфраструктуры с указанием результата реагирования на указанные случаи.";

подпункт 1.4.2 дополнить абзацами следующего содержания:

"Регистрации подлежат следующие данные о действиях клиентов операторов по переводу денежных средств, выполняемых на технологическом участке идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) начала соединения и окончания соединения сессии на транспортном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", принятого и введенного в действие с 1 января 2000 года постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 <1> (далее - ГОСТ Р ИСО/МЭК 7498-1-99), при авторизации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией;

идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией (адрес на сетевом уровне и адрес на транспортном уровне (порт) компьютера и (или) коммуникационного устройства (маршрутизатора), предусмотренные разделом 11 государственного стандарта Российской Федерации ГОСТ Р ИСО 7498-3-97 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 3. Присвоение имен и адресация", принятого и введенного в действие с 1 июля 1998 года постановлением Комитета Российской Федерации по стандартизации, метрологии и сертификации от 19 августа 1997 года N 286 <2> (далее - ГОСТ Р ИСО 7498-3-97);

идентификационная информация, используемая для адресации автоматизированной системы, программного обеспечения, к которым осуществлен доступ с целью совершения действий с защищаемой информацией (адрес на сетевом уровне и адрес на транспортном уровне (порт) автоматизированной системы, используемой оператором по переводу денежных средств, предусмотренные разделом 11 ГОСТ Р ИСО 7498-3-97);

географическое местоположение устройства, при помощи которого осуществлен доступ к автоматизированной системе, программному обеспечению оператора по переводу денежных средств в целях совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией (при наличии).";

дополнить сносками 1 и 2 следующего содержания:

"<1> М.: ИПК "Издательство стандартов", 1999.

<2> М.: ИПК "Издательство стандартов", 1997.".

1.6. В пункте 1.5:

в абзаце четвертом слова "и сроке" исключить;

дополнить абзацем следующего содержания:

"Предоставление информации, указанной в абзаце втором настоящего пункта, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры в Банк России осуществляется в сроки, определенные приложением 3 к настоящему Положению.".

1.7. В пункте 1.7:

абзац первый изложить в следующей редакции:

"1.7. Обеспечение защиты информации при осуществлении переводов денежных средств с использованием СКЗИ операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон от 6 апреля 2011 года N 63-ФЗ), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 <2> (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ, включая требования к проведению оценки влияния аппаратных, программно-аппаратных и программных средств сети (систем) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований.";

абзац второй после слова "защищенности" <1>" дополнить словами "(далее - Состав и содержание организационных и технических мер)";

дополнить абзацами следующего содержания:

"Обеспечение защиты информации, предназначенной для получения информации об идентификаторе электронного средства платежа в целях осуществления переводов денежных средств, инициируемых с использованием биометрических персональных данных клиентов операторов по переводу денежных средств, информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств осуществляется на прикладном и (или) транспортном уровнях в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99 с использованием СКЗИ не ниже класса КС1, предусмотренного пунктом 10 Состава и содержания организационных и технических мер.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, а также операторы электронных платформ должны обеспечивать оценку корректного функционирования программного обеспечения, используемого для приема и (или) передачи информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств, инициируемых с использованием биометрических персональных данных клиентов операторов по переводу денежных средств, в рамках проведения оценки влияния аппаратных, программно-аппаратных и программных средств сети (систем) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ.".

1.8. Пункт 1.8 изложить в следующей редакции:

"1.8. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ при взаимодействии с операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ в целях обеспечения контроля целостности электронных сообщений, включая информацию, связанную с идентификацией и (или) аутентификацией с использованием биометрических персональных данных, и подтверждения составления электронных сообщений уполномоченным на это лицом должны использовать усиленную электронную подпись, предусмотренную частью 1 статьи 5 Федерального закона от 6 апреля 2011 года N 63-ФЗ, созданную с использованием средств электронной подписи и средств удостоверяющего центра, имеющих сертификат соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности".".

1.9. Пункт 1.9 после слов "Признание электронных сообщений," дополнить словами "информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,".

1.10. Главу 1 дополнить пунктом Последующего содержания:

"1.10. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, обязанные соблюдать стандартный уровень защиты информации, должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований к обеспечению защиты информации, установленных пунктами 1.2, 1.3, 2.9, 3.11, 4.7, 6.11 и 7.6 настоящего Положения.".

1.11. В пункте 2.1:

абзац первый изложить в следующей редакции:

"2.1. Операторы по переводу денежных средств должны выполнять требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением переводов денежных средств, в соответствии с Положением Банка России от 30 января 2025 года N 851-П "Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" <1> (далее - Положение Банка России от 30 января 2025 года N 851-П).";

сноску 1 изложить в следующей редакции:

"<1> Зарегистрировано Минюстом России 6 марта 2025 года, регистрационный N 81462.".

1.12. В пункте 2.2:

абзац второй изложить в следующей редакции:

"указанной в пункте 1 Положения Банка России от 30 января 2025 года N 851-П;";

дополнить абзацем следующего содержания:

"об идентификации и (или) аутентификации с использованием биометрических персональных данных.".

1.13. Пункт 2.3 изложить в следующей редакции:

"2.3. Операторы по переводу денежных средств должны обеспечивать проведение оценки соответствия защиты информации и оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений не реже одного раза в два года.

Операторы по переводу денежных средств, являющиеся кредитными организациями, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в подпункте 4.3 пункта 4 и подпункте 5.3 пункта 5 Порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации", установленного приложением 1 к Указанию Банка России от 10 апреля 2023 года N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" <1> (далее - Указание Банка России от 10 апреля 2023 года N 6406-У).

Операторы по переводу денежных средств, являющиеся филиалами иностранных банков, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в подпункте 4.3 пункта 4 и подпункте 5.3 пункта 5 Порядка составления и представления отчетности по форме 0416071 "Сведения об оценке выполнения филиалом иностранного банка требований к обеспечению защиты информации", установленного приложением 1 к Указанию Банка России от 19 июня 2025 года N 7092-У "О формах, сроках и порядке составления и представления филиалом иностранного банка, через который иностранный банк осуществляет деятельность на территории Российской Федерации, отчетности в Банк России, а также о перечне информации о деятельности филиала иностранного банка" <2> (далее - Указание Банка России от 19 июня 2025 года N 7092-У).";

дополнить сносками 1 и 2 следующего содержания:

"<1> Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный N 74823, с изменениями, внесенными Указаниями Банка России от 8 декабря 2023 года N 6621-У (зарегистрировано Минюстом России 22 января 2024 года, регистрационный N 76927), от 12 марта 2024 года N 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный N 78345), от 10 июля 2024 года N 6800-У (зарегистрировано Минюстом России 25 октября 2024 года, регистрационный N 79916), от 4 сентября 2024 года N 6840-У (зарегистрировано Минюстом России 10 октября 2024 года, регистрационный N 79758), от 16 декабря 2024 года N 6961-У (зарегистрировано Минюстом России 19 декабря 2024 года, регистрационный N 80633), от 17 апреля 2025 года N 7047-У (зарегистрировано Минюстом России 24 июля 2025 года, регистрационный N 83051), от 10 ноября 2025 года N 7234-У (зарегистрировано Минюстом России 11 декабря 2025 года, регистрационный N 84552).

<2> Зарегистрировано Минюстом России 26 сентября 2025 года, регистрационный N 83668.".

1.14. Пункт 2.5 дополнить абзацем следующего содержания:

"Операторы по переводу денежных средств, указанные в абзаце втором настоящего пункта, ставшие операторами по переводу денежных средств, указанными в абзаце первом настоящего пункта, должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 не позднее восемнадцати месяцев после того, как стали операторами по переводу денежных средств, указанными в абзаце первом настоящего подпункта.".

1.15. Пункт 2.7 после слов "от 27 июня 2011 года N 161-ФЗ" дополнить словами "О национальной платежной системе" (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ)".

1.16. Пункт 3.2 изложить в следующей редакции:

"3.2. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечивать защиту информации в отношении следующих процессов (в случае их реализации):

обеспечения приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14.1 Федерального закона от 27 июня 2011 года N 161-ФЗ;

формирования (подготовки) электронных сообщений при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14.1 Федерального закона от 27 июня 2011 года N 161-ФЗ, по операциям с использованием электронных средств платежа.".

1.17. В пункте 3.4 слова "строки 3" заменить словами "строк 3, 3(1)".

1.18. В пункте 5.1:

абзац седьмой изложить в следующей редакции:

"реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента в порядке, установленном Банком России в соответствии с частью 4 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ.";

сноску 1 исключить.

1.19. Абзац шестой пункта 5.6 после слов "для обеспечения защиты информации" дополнить словами ", за исключением информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,".

1.20. Пункт 6.1 после слов "при обмене электронными сообщениями" дополнить словами ", информацией, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,".

1.21. Пункт 6.7 изложить в следующей редакции:

"6.7. Операторы услуг платежной инфраструктуры должны проводить оценку соответствия защиты информации и оценку выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений не реже одного раза в два года.

Операторы услуг платежной инфраструктуры, являющиеся кредитными организациями, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в подпункте 4.3 пункта 4 и подпункта 5.3 пункта 5 Порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации", установленного приложением 1 к Указанию Банка России от 10 апреля 2023 года N 6406-У.

Операторы услуг платежной инфраструктуры, осуществляющие деятельность ОЦ, являющиеся филиалами иностранных банков, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в подпункте 4.3 пункта 4 и подпункте 5.3 пункта 5 Порядка составления и представления отчетности по форме 0416071 "Сведения об оценке выполнения филиалом иностранного банка требований к обеспечению защиты информации", установленного приложением 1 к Указанию Банка России от 19 июня 2025 года N 7092-У.

Операторы услуг платежной инфраструктуры, не являющиеся кредитными организациями и филиалами иностранных банков, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в подпункте 2.2 пункта 2 и подпункте 3.2 пункта 3 Методики составления отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра", установленной приложением 1 к Указанию Банка России от 27 июня 2023 года N 6470-У "О формах, методиках составления, порядке и сроках представления отчетности оператора платежной системы, оператора услуг платежной инфраструктуры, оператора по переводу денежных средств в Центральный банк Российской Федерации" <1>.";

дополнить сноской 1 следующего содержания:

"<1> Зарегистрировано Минюстом России 27 сентября 2023 года, регистрационный N 75347, с изменениями, внесенными Указаниями Банка России от 4 июня 2024 года N 6741-У (зарегистрировано Минюстом России 21 августа 2024 года, регистрационный N 79227), от 24 июня 2025 года N 7094-У (зарегистрировано Минюстом России 1 августа 2025 года, регистрационный N 83121).".

1.22. Главу 7 дополнить пунктом 7.7 следующего содержания:

"7.7. Операторы электронных платформ, обязанные соблюдать стандартный уровень защиты информации, должны обеспечивать проведение оценки соответствия защиты информации и оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений в соответствии со сроками, установленными подпунктом 1.5.3 пункта 1.5 Положения Банка России от 20 апреля 2021 года N 757-П.

Операторы электронных платформ, обязанные соблюдать стандартный уровень защиты информации, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении показателей оценки соответствия, указанных в пункте 3 и подпункте 4.1 пункта 4 Порядка составления отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов", установленного приложением 1 к Указанию Банка России от 30 июня 2025 года N 7122-У "О порядке и сроках составления и представления (предоставления) в Банк России отчетов операторов инвестиционных платформ, отчетности операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторов обмена цифровых финансовых активов, форме отчетов операторов инвестиционных платформ и составе включаемых в них сведений, составе и формах отчетности операторов финансовых платформ, а также о порядке сообщения операторами инвестиционных платформ, операторами финансовых платформ, операторами информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторами обмена цифровых финансовых активов Банку России информации о лицах, которым поручено проведение идентификации, упрощенной идентификации, обновление информации о клиентах, представителях клиентов, выгодоприобретателях и бенефициарных владельцах" <1>.";

дополнить сноской 1 следующего содержания:

"<1> Зарегистрировано Минюстом России 4 декабря 2025 года, регистрационный N 84444.".

1.23. Абзац первый пункта 8.1, подпункт 8.1.1, абзацы второй, третий, пятый, шестой подпункта 8.1.2, подпункт 8.1.3 пункта 8.1 после слов "являющихся кредитными организациями" дополнить словами ", филиалами иностранных банков".

1.24. Абзац первый пункта 8.2 изложить в следующей редакции:

"8.2. Банк России проводит проверки являющихся кредитными организациями, филиалами иностранных банков операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, операторов электронных платформ в порядке, установленном в соответствии с частью четвертой статьи 73 Федерального закона от 10 июля 2002 года N 86-ФЗ.".

1.25. Пункт 8.3 дополнить абзацем следующего содержания:

"Банк России применяет меры к являющимся филиалами иностранных банков операторам по переводу денежных средств в порядке, установленном в соответствии с частью пятой статьи 74.2 Федерального закона от 10 июля 2002 года N 86-ФЗ.".

1.26. В пункте 1 приложения 1:

подпункт 1.3 изложить в следующей редакции:

"1.3. Применение механизмов и (или) протоколов формирования и обмена электронными сообщениями, информацией, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных, обеспечивающих защиту электронных сообщений, информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных, от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификацию входящих электронных сообщений.";

подпункт 1.5 дополнить абзацем следующего содержания:

"В целях обеспечения целостности электронных сообщений необходимо обеспечивать реализацию мер по использованию любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона от 6 апреля 2011 года N 63-ФЗ, или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения."; подпункт 1.6 изложить в следующей редакции:

"1.6. Использование любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона от 6 апреля 2011 года N 63-ФЗ, в целях обеспечения целостности электронных сообщений, информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных, и подтверждения составления электронных сообщений уполномоченным на это лицом.".

1.27. В приложении 2:

строку 3 изложить в следующей редакции:

"

";

дополнить строкой 3(1) следующего содержания:

"

";

строку 6 изложить в следующей редакции:

"

".

1.27. Дополнить приложением 3 в редакции приложения к настоящему Указанию.

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 12 сентября 2025 года N ПСД-27) вступает в силу с 1 октября 2026 года.

Председатель Центрального банка

Российской Федерации

Э.С.НАБИУЛЛИНА