.svg)
Документ, утвержденный 20 апреля 2026 года, устанавливает единые стандарты для банков, страховых компаний и других организаций, работающих с цифровыми системами. В нем прописаны требования к реагированию на кибератаки и правилам хранения пользовательских данных:
- Одним из ключевых аспектов является возложение персональной ответственности за информационную безопасность на первых руководителей финансовых организаций. Они должны утвердить внутренние политики защиты данных, а новые сотрудники — ознакомиться с ними под подпись в течение пяти дней. Требования по кибербезопасности распространяются также на подрядчиков и партнеров, имеющих доступ к системам или данным.
- Банки и страховые компании обязаны незамедлительно информировать АРРФР о любых киберинцидентах, включая взломы, DDoS-атаки, заражение вредоносным ПО, сбои в идентификации и несанкционированные переводы. Любой сбой работы цифровых систем, длящийся более часа, также подлежит раскрытию.
- Вся информация должна передаваться через автоматизированную систему уполномоченного органа (АСОИ). В случае ее недоступности допускается уведомление по телефону с последующим официальным письмом.
Для клиентов доступ к цифровым сервисам станет двухфакторным: потребуется комбинация двух из трех типов факторов — пароль/секретный вопрос, физическое устройство/криптографический ключ, или биометрические данные. Все попытки входа в системы, включая IP-адреса и изменения настроек, будут фиксироваться и храниться в течение длительного времени.
Новые правила дистанционной регистрации клиентов предусматривают одновременную биометрическую проверку по изображению лица и подтверждение владения номером телефона или использование ЭЦП. Простая регистрация по имени и номеру телефона станет невозможной. Санкции за несоблюдение новых требований в документе пока не уточнены, надзор возложен на курирующего заместителя председателя АРРФР.
Виктор Вронский
