Новые требования к МФО: к чему готовиться в ближайшее время?

Новые требования к МФО: к чему готовиться в ближайшее время?
image

Микрофинансовые организации (МФО) в России регулируются Федеральным законом № 151-ФЗ от 2 июля 2010 года «О микрофинансовой деятельности и микрофинансовых организациях» и находятся под надзором Банка России. Сегодня к МФО уже применяется ряд обязательных требований в области информационной безопасности, в первую очередь:

  • положения Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
  • нормы Федерального закона № 187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • положения Указа Президента РФ № 250 от 1 мая 2022 года «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (в основном применимого к МФО как субъектам критической информационной инфраструктуры — КИИ).

Банк России и другие регуляторы последовательно выравнивают регуляторные стандарты в финансовом секторе, выводя МФО из «лёгкого» режима регулирования. Что это означает на практике? Какие новые обязательства ждут МФО в ближайшее время? И как организациям подготовиться к надвигающимся изменениям? Об этом — в нашей статье.

Изменения в части дистанционной выдачи займов

С 1 июня 2025 года вступил в силу Федеральный закон № 41-ФЗ от 1 апреля 2025 года, направленный на противодействие кибермошенничеству. Одним из ключевых изменений стало следующее: с 1 марта 2026 года МФО при дистанционной выдаче потребительского займа обязаны идентифицировать или аутентифицировать заёмщика через Единую систему идентификации и аутентификации (ЕСИА) и Единую биометрическую систему (в соответствии со статьями 9 и 10 Федерального закона № 572-ФЗ от 29 декабря 2022 года).

Чтобы подготовиться к выполнению этих требований, рекомендуется:

  • Пересмотреть или разработать (при отсутствии):
    • реестр процессов обработки персональных данных (ПДн), в котором указаны типы обрабатываемых ПДн, правовые основания, сроки обработки и т.д.;
    • документ, определяющий политику обработки ПДн, а также иные внутренние документы, регулирующие работу с персональными данными.
  • Определить информационные системы, в которых будет осуществляться обработка биометрических ПДн.
  • Установить уровень защищенности ПДн в указанных информационных системах в соответствии с требованиями законодательства.
  • Обновить (разработать в случае отсутствия) модель угроз для информационных систем персональных данных (ИСПДн), обрабатывающих биометрические данные, с учетом Методических рекомендаций Банка России № 18-МР от 8 октября 2024 года.
  • Обеспечить криптографическую защиту биометрических ПДн в соответствии с теми же рекомендациями № 18-МР.
  • Провести оценку соответствия требованиям по защите информации:
    • Приказ ФСТЭК № 21 от 18 февраля 2013 года;
    • Приказ ФСБ № 378 от 10 июля 2014 года;
    • Постановление Правительства РФ № 1119 от 1 ноября 2012 года;
    • новый Приказ ФСТЭК № 117 от 11 апреля 2025 года (вступает в силу 1 марта 2026 года, так как подключение осуществляется к единой биометрической системе (ЕБС)).
  • Разработать «дорожную карту» по устранению выявленных несоответствий.
  • После их устранения провести внешнюю оценку соответствия требованиям АО «Центр биометрических технологий» как оператора ЕБС.
  • Осуществить подключение к Единой системе идентификации и аутентификации физических лиц с использованием биометрических данных в соответствии с методическими материалами, размещенными на сайте АО «Центр биометрических технологий».

Изменения в сфере критической информационной инфраструктуры (КИИ)

В Постановление Правительства РФ № 127 от 8 февраля 2018 года внесены изменения, касающиеся категорирования объектов КИИ. Для МФО ключевым стало новое условие: если объём выданных микрозаймов за отчётный год превысит 100 млрд рублей, соответствующие информационные системы будут отнесены к значимым объектам КИИ. Это повлечёт за собой дополнительные требования, включая усиленную защиту информации и обязательное импортозамещение ИТ-инфраструктуры.

Рекомендуемые подготовительные действия:

  • провести (или повторно провести, если категорирование уже выполнялось) категорирование объектов КИИ с учётом обновлённого Постановления № 127 и ожидаемых отраслевых рекомендаций Банка России;
  • в случае присвоения категории значимости — оценить требования к защите и импортозамещению, так как они могут потребовать существенной модернизации ИТ-инфраструктуры.

Отраслевые рекомендации Банка России по категорированию для финансового сектора, включая МФО, ожидаются до конца 2025 года.

Предполагаемые изменения со стороны Банка России

Банк России подготовил проекты изменений в два ключевых нормативных акта:

  • Положение № 757-П от 20 апреля 2021 года — «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»;
  • Положение № 779-П от 15 ноября 2021 года — «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)».

На что стоит обратить внимание в части предполагаемых изменений:

  1. Обязательное выполнение требований минимального (третьего) уровня защиты по национальному стандарту ГОСТ Р 57580.1–2017;
  2. Соблюдение требований операционной надёжности согласно Положению № 779-П;
  3. Подписание электронных сообщений усиленной или простой электронной подписью с использованием средств криптографической защиты, обеспечивающих функцию имитозащиты и аутентификацию отправителя;
  4. Установление ЦБ РФ максимально допустимого времени простоя для технологических процессов, связанных с дистанционной выдачей и погашением микрозаймов через интернет.

Учитывая, что эти изменения еще на стадии проекта, то что можно сделать уже сейчас:

  • определить область применения требований проектов Положений № 757-П и № 779-П (включая ИС и технологические процессы);
  • провести оценку текущих процессов, особенно тех, где формируются электронные документы при оформлении займов;
  • выполнить оценку соответствия требованиям ГОСТ Р 57580.1–2017 в части минимального уровня защиты.

Заключение

Требования к МФО в области информационной безопасности становятся всё более строгими и детализированными. Ранее акцент делался в основном на защите персональных данных, но сегодня Банк России последовательно расширяет регуляторное поле — от усиления общих мер ИБ до обеспечения устойчивости ИТ-инфраструктуры.

На первый взгляд, организациям предстоит выполнять множество разрозненных требований от различных надзорных органов. Однако на практике большинство из них основаны на единых принципах информационной безопасности: управление доступом, защита данных при хранении и передаче, резервное копирование и т.д. Это позволяет не реализовывать каждое требование изолированно, а выстроить единую, гармонизированную систему защиты, соответствующую сразу нескольким регуляторным ожиданиям.

Хотя многие изменения пока находятся на стадии проектов, их публикация чётко сигнализирует: вопрос не в том, произойдут ли изменения, а в том, когда они станут обязательными. Поэтому начинать подготовку следует уже сейчас — на основе чек-листов по ключевым направлениям, изложенным в статье.

Узнайте о кибератаках первыми с Гарда TI Feeds

Подписка на актуальные индикаторы для ваших SIEM, SOAR/IRP, WAF, IPS/IDS, NGFW — 30 дней бесплатно!

Оформить подписку

Реклама. 16+ ООО «Гарда Технологии», ИНН 5260443081