Указание Банка России от 12.01.2026 N 7271-У "О внесении изменений в Положение Банка России от 25 июля 2022 года N 802-П" (Зарегистрировано в Минюсте России 02.06.2026 N 86871)
Зарегистрировано в Минюсте России 2 июня 2026 г. N 86871
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
от 12 января 2026 г. N 7271-У
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 25 ИЮЛЯ 2022 ГОДА N 802-П
На основании части пятой статьи 5 Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ), пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 26 декабря 2025 года N ПСД-44):
1. Внести в Положение Банка России от 25 июля 2022 года N 802-П "О требованиях к защите информации в платежной системе Банка России" <1> следующие изменения:
--------------------------------
<1> Зарегистрировано Минюстом России 25 ноября 2022 года, регистрационный N 71124.
1.1. В пункте 1:
в абзаце первом слова "3.10 Положения Банка России от 24 сентября 2020 года N 732-П "О платежной системе Банка России" <3> (далее - Положение N 732-П) и кредитными организациями (их филиалами) (далее -" заменить словами "3.7 Положения Банка России от 3 декабря 2025 года N 876-П "О платежной системе Банка России" <3> (далее - Положение Банка России N 876-П) и кредитными организациями (включая филиалы кредитных организаций), филиалами иностранных банков, через которые иностранные банки осуществляют деятельность на территории Российской Федерации (далее - филиалы иностранных банков), некредитными финансовыми организациями, указанными в части 7 статьи 21 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее соответственно - Федеральный закон от 27 июня 2011 года N 161-ФЗ,";
сноску 3 к абзацу первому изложить в следующей редакции:
"<3> Зарегистрировано Минюстом России 20 мая 2026 года, регистрационный N 86527.";
абзац второй изложить в следующей редакции:
"Требования к защите информации, установленные настоящим Положением, должны выполняться участниками обмена, являющимися кредитными организациями, филиалами иностранных банков, ОПКЦ СБП и ОУИО СБП наряду с требованиями к обеспечению защиты информации при осуществлении переводов денежных средств, установленными в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ.";
сноску 1 к абзацу второму исключить.
1.2. В пункте 2:
слова "и 6.4 Положения Банка России от 4 июня 2020 года N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" <1> (далее - Положение Банка России N 719-П)" заменить словами ", 6.4 и 7.5 Положения Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" <1> (далее - Положение Банка России N 821-П), пункте 1.1 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <2>";
сноску 1 изложить в следующей редакции:
"<1> Зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286, с изменениями, внесенными Указанием Банка России от 28 октября 2025 года N 7220-У (зарегистрировано Минюстом России 6 февраля 2026 года, регистрационный N 85263).";
дополнить сноской 2 следующего содержания:
"<2> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880, с изменениями, внесенными Указанием Банка России от 28 октября 2025 года N 7219-У (зарегистрировано Минюстом России 6 февраля 2026 года, регистрационный N 85262).".
1.3. В пункте 3:
в абзаце втором слова "стандартного уровня (уровня 2) защиты информации, предусмотренного" заменить словами "следующих уровней защиты информации, предусмотренных", цифры "57580.1-2017)." заменить цифрами "57580.1-2017):";
дополнить абзацами следующего содержания:
"участники ССНП, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, значимыми на рынке платежных услуг, - усиленный уровень защиты информации;
участники ССНП, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего пункта, филиалами иностранных банков, - стандартный уровень защиты информации;
участники ССНП, не указанные в абзацах третьем и четвертом настоящего пункта, - минимальный уровень защиты информации.
Кредитные организации, не относящиеся к кредитным организациям, указанным в абзаце третьем настоящего пункта, ставшие кредитными организациями, указанными в абзаце третьем настоящего пункта, не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего пункта, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня защиты информации.".
1.4. В пункте 4:
в абзаце втором слова "стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ 57580.1-2017." заменить словами "следующих уровней защиты информации, предусмотренных пунктом 6.7 раздела 6 ГОСТ 57580.1-2017:";
дополнить абзацами следующего содержания:
"участники СБП, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, значимыми на рынке платежных услуг, - усиленный уровень защиты информации;
участники СБП, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего пункта, филиалами иностранных банков, - стандартный уровень защиты информации;
участники СБП, не указанные в абзацах третьем и четвертом настоящего пункта, - минимальный уровень защиты информации.
Кредитные организации, не относящиеся к кредитным организациям, указанным в абзаце третьем настоящего пункта, ставшие кредитными организациями, указанными в абзаце третьем настоящего пункта, не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего пункта, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня защиты информации.".
1.5. Пункт 7 дополнить подпунктом 7.4 следующего содержания:
"7.4. Участники ССНП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктами 7.1 и 7.2 настоящего пункта.
Участники СБП, ОПКЦ СБП и ОУИО СБП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктами 7.1 - 7.3 настоящего пункта.".
1.6. Пункт 10 признать утратившим силу.
1.7. В пункте 14:
в абзаце четвертом слова "абзацами вторым, третьим и подпунктом 5.2.1 пункта 5.2 Положения Банка России N 732-П" заменить словами "абзацем вторым и подпунктом 5.2.1 пункта 5.2 Положения Банка России N 876-П";
в абзаце шестом слова "звена данных или сетевом уровне" заменить словами "не выше транспортного уровня включительно";
дополнить абзацем следующего содержания:
"применения СКЗИ, предоставляемых Банком России.";
дополнить подпунктом 14.5 следующего содержания:
"14.5. Участники СБП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктами 14.1 и 14.2 настоящего пункта.
ОПКЦ СБП должен осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктами 14.2 и 14.4 настоящего пункта.
Участники ССНП должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктом 14.3 настоящего пункта.
ОУИО СБП должен осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований, установленных подпунктом 14.2 настоящего пункта.".
1.8. В пункте 15 слово "согласия" заменить словами "добровольного согласия".
1.9. В пункте 16:
в абзаце первом слово "согласия" заменить словами "добровольного согласия";
подпункт 16.1 изложить в следующей редакции:
"16.1. Участник СБП - банк плательщика должен осуществлять:
мероприятия по противодействию осуществлению операций без добровольного согласия клиента в соответствии с частями 3.1 - 3.14 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ, включая отказ в совершении операции в соответствии с частями 3.4 и 3.10 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ с учетом информации об индикаторе уровня риска операции без добровольного согласия клиента (далее - индикатор уровня риска операции), включенной в электронное сообщение, полученной от ОПКЦ СБП, содержащей в том числе информацию об индикаторе уровня риска операции, сформированном участником СБП - банком получателя;
формирование индикатора уровня риска операции на основе оценки рисков операций в рамках реализуемой участником СБП - банком плательщика системы управления рисками и его направление в электронном сообщении в ОПКЦ СБП - в случае невыявления признаков осуществления перевода денежных средств без добровольного согласия клиента.";
в подпункте 16.2 слово "согласия" заменить словами "добровольного согласия";
в абзацах втором - шестом слово "согласия" заменить словами "добровольного согласия";
в абзаце седьмом слово "согласия" заменить словами "добровольного согласия", слова "с частью 5.1" заменить словами "с частью 3.5";
абзацы первый и второй изложить в следующей редакции:
"16.4. В рамках реализации мер по выявлению и устранению причин и последствий воздействий на объекты информационной инфраструктуры участника СБП и (или) его клиентов, ОПКЦ СБП посредством перебора идентификаторов клиентов участника СБП для получения информации о клиентах участника СБП или клиентах косвенного участника, имеющего доступ к трансграничному переводу денежных средств с использованием СБП в соответствии с абзацем восьмым пункта 3.3 Положения Банка России N 876-П (далее - косвенный участник с доступом к ТПСБП), из формирующихся распоряжений клиента участника СБП о переводе денежных средств (далее - переборы идентификаторов) и по дальнейшему предотвращению случаев и (или) попыток осуществления переводов денежных средств без добровольного согласия клиента участник СБП, ОПКЦ СБП должны выполнять следующие требования:
участник СБП - банк плательщика при выявлении информации о переборах идентификаторов при осуществлении переводов денежных средств с использованием сервиса быстрых платежей осуществляет блокировку идентификатора клиента участника СБП, используемого для осуществления переборов идентификаторов, и незамедлительно уведомляет Банк России и ОПКЦ СБП о его блокировке;";
в абзаце пятом слова "девятым пункта 5.1 Положения Банка России N 719-П" заменить словами "шестым пункта 5.1 Положения Банка России N 821-П".
1.10. Пункт 18 изложить в следующей редакции:
"18. ОУИО СБП обязан информировать участника СБП о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе о тех, которые привели или могут привести к осуществлению переводов денежных средств без добровольного согласия клиента или к неоказанию услуг по переводу денежных средств, в соответствии с договором между участником СБП и ОУИО СБП, предусмотренным пунктом 33 статьи 3 Федерального закона от 27 июня 2011 года N 161-ФЗ.";
сноски 2, 1 и 2 к пункту 18 исключить.
1.11. В пункте 19:
подпункт 19.3 дополнить абзацами следующего содержания:
"Обращение должно быть направлено с использованием технической инфраструктуры (автоматизированной системы) Банка России в виде электронного документа или электронной копии документа, полученной в результате преобразования обращения на бумажном носителе в его электронный образ с сохранением всех реквизитов.
Обращение в виде электронного документа должно быть подписано усиленной квалифицированной электронной подписью уполномоченного лица, обращение на бумажном носителе, направляемое в виде электронной копии документа, полученной в результате преобразования обращения на бумажном носителе в его электронный образ с сохранением всех реквизитов, должно быть подписано собственноручной подписью уполномоченного лица.";
подпункт 19.4 изложить в следующей редакции:
"19.4. Не позднее одного рабочего дня после дня направления обращений с использованием технической инфраструктуры (автоматизированной системы) Банка России участник ССНП должен направить обращения в Банк России также посредством личного кабинета, ссылка на который размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет", в соответствии с порядком взаимодействия, установленным нормативным актом Банка России, принятым на основании статьи 9.2, частей первой и четвертой статьи 73.1, частей первой, третьей, шестой и восьмой статьи 76.9, частей первой, третьей, шестой и восьмой статьи 76.9-11 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон от 10 июля 2002 года N 86-ФЗ), частей 1, 4, 5 и 7 статьи 35.1 Федерального закона от 27 июня 2011 года N 161-ФЗ.".
1.12. Пункт 20 изложить в следующей редакции:
"20. Участники ССНП, реализующие усиленный или стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, участники СБП, реализующие усиленный или стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, ОПКЦ СБП и ОУИО СБП оценивают выполнение ими требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - оценка соответствия) и выполнение требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, с соблюдением следующих требований:
оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3 - 6 настоящего Положения;
оценка соответствия должна проводиться в соответствии с разделом 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" <1> (далее - ГОСТ Р 57580.2-2018);
оценка соответствия должна проводиться не реже одного раза в два года.
Участники ССНП, реализующие усиленный или стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, участники СБП, реализующие усиленный или стандартный уровни защиты информации, предусмотренные пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, оценивают выполнение ими требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, с соблюдением следующего требования:
в случае представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации", установленной приложением 1 к Указанию Банка России от 10 апреля 2023 года N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" <2> (далее - Указание Банка России N 6406-У), при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, должен осуществляться расчет значений указанной оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в пункте 4.3 Порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации", установленного приложением 1 к Указанию Банка России N 6406-У.
ОПКЦ СБП оценивает выполнение им требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, с соблюдением следующего требования:
при представлении отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра", установленной приложением 1 к Указанию Банка России от 27 июня 2023 года N 6470-У "О формах, методиках составления, порядке и сроках представления отчетности оператора платежной системы, оператора услуг платежной инфраструктуры, оператора по переводу денежных средств в Центральный банк Российской Федерации" <3> (далее - Указание Банка России N 6470-У), при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации, должен осуществляться расчет значений указанной оценки в отношении видов оценки выполнения требований к обеспечению защиты информации, указанных в подпункте 2.2 пункта 2 Методики составления отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра", установленной приложением 1 к Указанию Банка России N 6470-У.
Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3 - 6 настоящего Положения, уровень соответствия не ниже четвертого уровня соответствия, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.";
сноску 1 изложить в следующей редакции:
"<1> Утвержден и введен в действие с 1 сентября 2018 года приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018).";
дополнить сносками 2 и 3 следующего содержания:
"<2> Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный N 74823, с изменениями, внесенными Указаниями Банка России от 8 декабря 2023 года N 6621-У (зарегистрировано Минюстом России 22 января 2024 года, регистрационный N 76927), от 12 марта 2024 года N 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный N 78345), от 10 июля 2024 года N 6800-У (зарегистрировано Минюстом России 25 октября 2024 года, регистрационный N 79916), от 4 сентября 2024 года N 6840-У (зарегистрировано Минюстом России 10 октября 2024 года, регистрационный N 79758), от 16 декабря 2024 года N 6961-У (зарегистрировано Минюстом России 19 декабря 2024 года, регистрационный N 80633), от 17 апреля 2025 года N 7047-У (зарегистрировано Минюстом России 24 июля 2025 года, регистрационный N 83051), от 10 ноября 2025 года N 7234-У (зарегистрировано Минюстом России 11 декабря 2025 года, регистрационный N 84552).
<3> Зарегистрировано Минюстом России 27 сентября 2023 года, регистрационный N 75347, с изменениями, внесенными Указаниями Банка России от 4 июня 2024 года N 6741-У (зарегистрировано Минюстом России 21 августа 2024 года, регистрационный N 79227), от 24 июня 2025 года N 7094-У (зарегистрировано Минюстом России 1 августа 2025 года, регистрационный N 83121).".
1.13. Пункт 21 изложить в следующей редакции:
"21. Банк России осуществляет контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в отношении участников обмена, являющихся кредитными организациями, филиалами иностранных банков и ОПКЦ СБП, в соответствии с главой 8 Положения Банка России N 821-П.
Банк России осуществляет контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в отношении участников обмена, являющихся некредитными финансовыми организациями, указанными в части 7 статьи 21 Федерального закона от 27 июня 2011 года N 161-ФЗ, в соответствии со статьей 76.5 Федерального закона от 10 июля 2002 года N 86-ФЗ.".
1.14. В приложении:
пункт 1.1 изложить в следующей редакции:
"1.1. Участник ССНП должен реализовать контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для выполнения функций операторов автоматизированного рабочего места, администраторов автоматизированного рабочего места и администраторов информационной безопасности автоматизированного рабочего места в каждом из контуров. Участник ССНП должен обеспечить использование различных ключевых носителей для криптографических ключей, используемых для подписания исходящих электронных сообщений в контуре формирования электронных сообщений и контуре контроля реквизитов электронных сообщений.";
пункт 1.2 дополнить абзацем следующего содержания:
"Способ допустимого информационного взаимодействия между указанными в абзаце первом настоящего пункта сегментами вычислительных сетей должен содержать в том числе перечень объектов информационной инфраструктуры, с использованием которых осуществляется информационное взаимодействие, и протоколы, используемые для информационного взаимодействия.";
главу 1 дополнить пунктом 1.5 следующего содержания:
"1.5. Участник ССНП должен осуществлять контроль соответствия реквизитов исполненного распоряжения, указанных в извещении в электронном виде о списании денежных средств, направляемом участнику ССНП в соответствии с пунктом 5.29 Положения Банка России N 876-П, реквизитам, ранее направленным участником ССНП.";
пункт 2.1 изложить в следующей редакции:
"2.1. ОПКЦ СБП должен реализовать контур обработки электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ СБП с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для выполнения функций операторов автоматизированного рабочего места, администраторов автоматизированного рабочего места и администраторов информационной безопасности автоматизированного рабочего места в каждом из контуров. ОПКЦ СБП должен обеспечить использование различных ключевых носителей для криптографических ключей, используемых для подписания исходящих электронных сообщений в контуре формирования электронных сообщений и контуре контроля реквизитов электронных сообщений.".
2. Настоящее Указание подлежит официальному опубликованию и вступает в силу с 1 октября 2026 года.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875