Изменения в положениях Банка России о сертификации РБПО

В феврале 2026 года были опубликованы указания Банка России об изменении Положений № 757-П и № 821-П. Подробнее о каждом рассказывает Альбина Аскерова, руководитель направления по взаимодействию с регуляторами Swordfish Security. ⬇️

Положение № 757-П

• Для некредитных финансовых организаций (НФО) • Вступает в силу с 01 января 2027

Из важного в части РБПО изменения в п. 1.8: Для тех, кто реализует усиленный и стандартный уровень защиты, допускается отказ от сертификации или проведения оценки по ОУД4 для прикладного ПО (разрабатываемого самой организацией) при наличии сертификации процессов РБПО по ГОСТ Р 56939-2024 (исключение — прикладное ПО, взаимодействующее со средствами криптографической защиты информации (СКЗИ)).

Положение № 821-П:

• Для кредитных финансовых организаций (ФО) • Вступает в силу с 01 октября 2026

Из важного в части РБПО изменения в п. 1.2: Для тех, кто реализует типовой уровень защиты, допускается отказ от сертификации или проведения оценки по ОУД4 для ПО (разрабатываемого самой организацией) при наличии сертификации процессов РБПО по ГОСТ Р 56939-2024 (удаление — прикладное ПО, взаимодействующее с СКЗИ).

Что это значит для финансовых организаций?

Если прикладное ПО:

• соответствует условиям изменений (для ФО – типовой уровень защиты, а для НФО –усиленный или стандартный уровень защиты),

• разрабатывается на конвейере организации,

• не взаимодействует с СКЗИ,

• имеет частый релизный цикл,

👉 то целесообразно рассмотреть переход от сертификации прикладного ПО или оценки по ОУД4 к сертификации процессов его разработки.

Это может существенно упростить и ускорить вывод обновлений без потери соответствия требованиям регулятора.