С 1 января 2027 года вступают в силу изменения Положения № 779-П, внесенные Указанием Банка России от 28 октября 2025 г. № 7221-У «О внесении изменений в Положение Банка России от 15 ноября 2021 года № 779-П». Банк России внес существенные коррективы в требования к обеспечению операционной надежности некредитных финансовых организаций (НФО).
ОГЛАВЛЕНИЕ
Введение
Ключевые изменения:
1. Расширение перечня организаций и процессов
2. Квартальное планирование доступности
3. Сигнальные и контрольные значения
4. Исключение показателя режима работы
5. Новые правила фиксации инцидентов
6. Новая логика расчета ДДД
7. Расчет фактической деградации (ФД)
8. Обязательные меры по нейтрализации угроз
9. Ужесточение сроков уведомления
Подводя итог
Введение
Ключевые изменения:
1. Расширение перечня организаций и процессов
2. Квартальное планирование доступности
3. Сигнальные и контрольные значения
4. Исключение показателя режима работы
5. Новые правила фиксации инцидентов
6. Новая логика расчета ДДД
7. Расчет фактической деградации (ФД)
8. Обязательные меры по нейтрализации угроз
9. Ужесточение сроков уведомления
Подводя итог
Введение
Новая редакция Положения ЦБ РФ № 779-П смещает фокус с определения и контроля фактических значений целевых показателей операционной надежности на внедрение системы управления сигнальными и контрольными значениями, ужесточает требования к реагированию и уведомлению об инцидентах и расширяет перечень компаний, на которые распространяются требования к обеспечению операционной надежности.
Давайте разберем самые важные изменения.
Давайте разберем самые важные изменения.
1. Расширение перечня организаций и процессов
Новая редакция положения расширила перечень организаций, обязанных выполнять требования 779-П. Теперь в него входят и микрофинансовые организации (МФО). Важно, что МФО будут обязаны реализовывать минимальный уровень защиты ГОСТ57580.1
В перечень критических технологических процессов (Приложение к Положению) было добавлено два технологических процесса для МФО: «Технологический процесс, обеспечивающий предоставление микрозайма дистанционно с использованием сети ''Интернет''» и «Технологический процесс, обеспечивающий погашение микрозайма дистанционно с использованием сети ''Интернет'''»
В перечень критических технологических процессов (Приложение к Положению) было добавлено два технологических процесса для МФО: «Технологический процесс, обеспечивающий предоставление микрозайма дистанционно с использованием сети ''Интернет''» и «Технологический процесс, обеспечивающий погашение микрозайма дистанционно с использованием сети ''Интернет'''»
2. Квартальное планирование времени
Закреплена необходимость ежеквартально определять и фиксировать для каждого технологического процесса планируемую продолжительность времени работы (функционирования) технологического процесса в течение следующего квартала.
3. Сигнальные и контрольные значения
Если в действующей редакции 779-П НФО обязаны устанавливать пороговые значения целевых показателей операционной надежности (ЦПОН), то новая редакция вводит сигнальные и контрольные значения для показателей операционной надежности (ПОН).
Организация должна:
- определить сигнальные и контрольные значения ПОН;
- не реже одного раза в квартал проводить анализ необходимости их пересмотра;
- закрепить орган управления, утверждающий установленные значения.
Организация должна:
- определить сигнальные и контрольные значения ПОН;
- не реже одного раза в квартал проводить анализ необходимости их пересмотра;
- закрепить орган управления, утверждающий установленные значения.
Сигнальное значение — это порог, при достижении которого организация должна немедленно начать реализацию мер по устранению превышения.
Контрольное значение — это критический порог, при достижении которого информация в обязательном порядке доводится до совета директоров (или единоличного исполнительного органа).
4. Исключение показателя режима работы
Показатель соблюдения режима работы (функционирования) технологического процесса исключен из перечня показателей операционной надежности.
5. Новые правила фиксации инцидентов
Изменено требование к фиксации инцидента операционной надежности. В текущей редакции 779-П положение Банка России время простоя фиксируется в случае превышения порогового уровня допустимой доли деградации (ДДД) технологического процесса. По новым требованиям фиксация начинается после 5 минут несоблюдения сигнального значения ДДД.
6. Новая логика расчета ДДД
Изменена методика расчета ДДД. Если в действующей версии показатель определяется как доля операций, выполненных во время простоя или деградации процесса, то в новой редакции он рассчитывается как доля операций, не выполненных в этот период, относительно ожидаемого объема.
7. Расчет фактической деградации
Определена методика расчета фактической доли деградации (ФД). Теперь она считается по формуле:
Kt — количество операций, выполненных во время простоя или деградации процесса,
ОКt — ожидаемое количество операций за тот же период.
Показатель рассчитывается как единица минус отношение фактически выполненных операций к ожидаемому объему, то есть напрямую отражает долю недовыполнения.
ОКt — ожидаемое количество операций за тот же период.
Показатель рассчитывается как единица минус отношение фактически выполненных операций к ожидаемому объему, то есть напрямую отражает долю недовыполнения.
8. Обязательные меры по нейтрализации угроз
Новая редакция положения прямо указывает на необходимость принятия мер, направленных на нейтрализацию информационных угроз. Важно отметить, что эта необходимость затрагивает как угрозы со стороны поставщиков услуг (включая технологическую зависимость), так и угрозы со стороны внутреннего нарушителя (работников НФО и персонала подрядчиков).
9. Ужесточение сроков уведомления
Ужесточены требования к отчетности и коммуникации с Банком России. Если ранее о проведении пресс-конференций или публикации релизов, связанных с инцидентами, требовалось уведомлять не позднее чем за 1 рабочий день, то в новой редакции — до их проведения. А об инцидентах необходимо сообщать регулятору в течение 3 часов с момента выявления.
Дополнительно расширен перечень данных, подлежащих регистрации при событиях операционного риска. В частности, требуется фиксировать причины отклонений от сигнальных и контрольных значений, а также результаты восстановления технологического процесса.
Дополнительно расширен перечень данных, подлежащих регистрации при событиях операционного риска. В частности, требуется фиксировать причины отклонений от сигнальных и контрольных значений, а также результаты восстановления технологического процесса.
Подводя итог по Положению 779-П
Новая редакция Положения № 779-П фиксирует переход к более зрелой модели управления операционной надежностью. Акцент смещается с формального соблюдения целевых показателей на постоянный мониторинг, управление отклонениями и оперативное реагирование на инциденты.
Регулятор усиливает требования к прозрачности процессов, скорости коммуникации и глубине анализа инцидентов, а также расширяет зону ответственности за счет учета рисков, связанных с подрядчиками и внутренними нарушителями.
Для НФО это означает необходимость пересмотра действующих подходов: от методик расчета показателей до процедур эскалации и отчетности. В центре внимания — не фиксация факта нарушения, а способность своевременно его выявить, оценить влияние и минимизировать последствия.
Регулятор усиливает требования к прозрачности процессов, скорости коммуникации и глубине анализа инцидентов, а также расширяет зону ответственности за счет учета рисков, связанных с подрядчиками и внутренними нарушителями.
Для НФО это означает необходимость пересмотра действующих подходов: от методик расчета показателей до процедур эскалации и отчетности. В центре внимания — не фиксация факта нарушения, а способность своевременно его выявить, оценить влияние и минимизировать последствия.
Окажем экспертную поддержку
Эксперты Infosecurity помогут провести комплексный аудит и внедрение изменений в соответствии с новой редакцией Положения № 779-П:
- аудит текущей системы мониторинга и проверка соответствия новым триггерам и формулам расчета деградации
- актуализация документации и отражение в ОРД новых требований и изменений процессов
- методология для МФО и создание или актуализация процессов обеспечения операционной надежности, соответствующих требованиям ЦБ РФ
Оставьте заявку на бесплатную консультацию >>>
