Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Анатолий Волков про ИТ
Сервисы

Обеспечение соответствия требованиям регуляторов: как снизить риски финансовым организациям

В 2024–2026 годах финансовые организации живут в условиях усиливающегося регуляторного давления. Банк России, РКН, ФСТЭК и ФСБ ужесточают требования к защите информации и персональных данных, а проверок становится больше.

Обеспечение соответствия требованиям регуляторов: как снизить риски финансовым организациям
Анатолий Волков
Эксперт в области информационных технологий и информационной безопасности, 22+ лет опыта

Меня зовут Анатолий Волков, я основатель и управляющий партнер Soltecs — системного интегратора полного цикла.

Подписывайтесь на мой Telegram-канал: t.me/volkovproit

____________________

Для собственника это уже не вопрос «бумажного» комплаенса — это вопрос денег, репутации и способности продолжать операционную деятельность.

Проверки идут волнами: в 2024–2026 годах регуляторы фактически выравнивают требования для всех участников рынка — банков, НФО, МФО/МКК. И те компании, которые продолжают жить «как раньше», становятся первыми кандидатами на предписания.

В этой статье мы разберём, какие именно требования предъявляют регуляторы к финансовым организациям, какие изменения уже вступили в силу и что необходимо сделать, чтобы к проверкам 2026 года подойти подготовленными. Отдельное внимание уделим микрофинансовым компаниям (МФО) и микрокредитным организациям (МКК), на которые распространяется всё больше норм по информационной безопасности и критической информационной инфраструктуре (КИИ).

Наша задача - показать, как вы можете снизить регуляторные и операционные риски, выстроить систему защиты информации «под требования» и при этом не остановить бизнес-процессы. Мы кратко разберём ключевые законы, сроки, ответственность и предложим пошаговый план подготовки, который можно реализовать совместно с внешними экспертами.

____________________

Какие законы регулируют деятельность финансовых организаций в сфере информационной безопасности?

Финансовый сектор находится под надзором сразу нескольких регуляторов — Банка России, ФСТЭК, ФСБ и Роскомнадзора. Каждый из них устанавливает свои требования к защите информации, и разбираться в них большинству организаций действительно сложно. Ниже — основные документы, которые определяют обязательные меры.

____________________

1. Требования Банка России

Банк России устанавливает базовые нормы ИБ и операционной надёжности для всех участников финансового рынка.

Положение № 683-П (для банков) Определяет обязательные меры защиты информации, включая:

· ежегодные тестирования на проникновение;

· регулярную оценку уязвимостей;

· использование сертифицированного ПО;

· уровневую модель защиты (в зависимости от значимости организации).

Положение № 684-П (для некредитных финансовых организаций)

Регламентирует правила оценки защищённости ИС для НФО:

· периодичность проверок;

· перечень необходимых мероприятий;

· минимальные требования к документированию процессов ИБ.

Положение № 382-П (платёжные системы и переводы денежных средств)

Устанавливает меры защиты при переводах средств и методику оценки соответствия.

____________________

2. ГОСТ 57580 — основной стандарт защиты информации в финансовом секторе

ГОСТ Р 57580.1-2017 Задаёт базовые меры защиты информации и определяет три уровня защищённости:

· базовый,

· стандартный,

· усиленный.

Для организаций, работающих с биометрией (ЕБС), действует требование использовать средства ИБ только первого уровня защиты, согласно Приказу Минкомсвязи № 321.

____________________

3. Нормативка для МФО и МКК

Для микрофинансовых организаций ключевыми являются:

Федеральный закон № 151-ФЗ «О микрофинансовой деятельности» Регулирует деятельность МФО/МКК и содержит требования по:

· защите персональных данных;

· выполнению требований по КИИ (при наличии подпадающих систем);

· импортозамещению ПО и оборудования.

Федеральный закон № 86-ФЗ Классифицирует МФО и МКК как НФО и обязывает соблюдать требования ст. 76 по защите ИТ-инфраструктуры.

Положение № 757-П (ИБ в НФО) Включает требования по:

· защите персональных данных (ФЗ-152, Приказ ФСТЭК № 21);

· оценке уровня защищённости;

· формированию документов по ИБ.

Положение № 779-П (операционная надёжность) Определяет правила обеспечения непрерывности оказания финансовых услуг. С 2024–2027 годов требования этого документа станут ключевыми при определении объектов КИИ.

____________________

Краткий вывод для собственника

Чтобы соответствовать требованиям регуляторов, МФО, МКК и другим НФО должны одновременно соблюдать:

· законы ЦБ,

· требования по персональным данным,

· требования по КИИ,

· требования по операционной надёжности.

В сумме это около 500 обязательных мер, которые необходимо выполнить и документально подтвердить.

Пытаться закрыть их силами одного ИТ-специалиста или «формального» ответственного по ИБ — почти гарантированный путь к предписаниям и повторным проверкам.

____________________

Особое внимание: КИИ. Какие организации являются субъектом КИИ?

Тема КИИ — одна из самых сложных для финансовых организаций.

Многие собственники микрофинансовых компаний до сих пор уверены, что КИИ — это про оборонку и энергетику, а к ним закон отношения не имеет. На практике всё чаще происходит наоборот: во время проверки внезапно выясняется, что часть систем подпадает под критерии значимых объектов КИИ, и требования к ним на порядок жёстче.

Законом определен порядок действий по обеспечению безопасности и устойчивого функционирования в случае хакерских атак. Один из главных принципов защиты ИТ-инфраструктуры состоит в предупреждении компьютерных атак, направленных на нарушение устойчивой работы КИИ. Стоит сказать, что положения в отношении подобных объектов были и ранее. Разница лишь в том, что до 2018 года они назывались как КСИИ, но после принятия и вступления в силу 187-ФЗ название поменялось.

Анатолий Волков

____________________

Кто такие субъекты КИИ?

Субъектами КИИ являются организации, чьи информационные системы относятся к одному из стратегически важных для государства направлений:

  • здравоохранение
  • наука
  • транспорт
  • связь
  • энергетика
  • банковский и финансовый сектор
  • топливно-энергетический комплекс
  • атомная промышленность
  • оборонная, ракетно-космическая отрасль
  • металлургия
  • химическая промышленность
  • государственная регистрация недвижимости

Важно: к КИИ относятся не только конечные отраслевые объекты, но и информационные системы, обеспечивающие взаимодействие этих объектов, в том числе системы компаний, которые поддерживают процессы других организаций.

____________________

Почему финансовые организации и МФО/МКК начинают попадать под КИИ?

В 2024–2026 годах меняется подход к определению объектов КИИ:

  • усиливаются требования по операционной надёжности (779-П)
  • расширяется перечень систем, «влияющих на устойчивость финансовых услуг»
  • вводится новый «Перечень типовых отраслевых объектов КИИ»

Согласно проекту Перечня (ожидается принятие в начале 2026 года), под КИИ подпадают системы, обеспечивающие:

  • формирование, обработку и передачу финансовых документов
  • проведение клиринговых расчётов
  • загрузку/выгрузку информации в хранилища
  • взаимодействие с внешними системами
  • учёт финансовых транзакций
  • ведение сведений о клиентах
  • работу личных кабинетов
  • ведение учёта информации в НПФ, страховых компаниях и МФО

То есть под действие КИИ попадает весь контур систем, влияющих на операционную надёжность, — в соответствии с Положением ЦБ № 779-П.

____________________

Какие организации точно будут признаваться субъектами КИИ?

Согласно проекту Перечня, субъектами КИИ станут:

  • некредитные финансовые организации, осуществляющие клиринговую деятельность;
  • центральные контрагенты;
  • депозитарии и центральные депозитарии;
  • негосударственные пенсионные фонды;
  • страховые компании;
  • микрофинансовые компании.

Для рынка МФО/МКК это означает одно:

вероятность признания субъектом КИИ становится высокой, даже если раньше организация не рассматривалась в этом контексте.

Анатолий Волков

____________________

Вы почти точно в зоне КИИ, если у вас есть системы, которые:

· обрабатывают договоры и ПДн

· обеспечивают личные кабинеты

· взаимодействуют с ФНС, БКИ, ФПС, платёжными сервисами

· содержат финансовую отчётность

· влияют на расчёты, выдачу и сопровождение займов

____________________

Что это означает для бизнеса?

Организация должна:

1. определить объекты КИИ и присвоить им категории значимости;

2. уведомить ФСТЭК о результатах категорирования;

3. внедрить меры защиты в соответствии с категорией (технические + организационные);

4. подключиться к ГосСОПКА или обеспечить иной канал оповещения о киберинцидентах;

5. документально подтвердить выполнение всех требований.

____________________

Для МФО, МКК и других НФО тема КИИ в ближайшие два года перестаёт быть опциональной. Изменения законодательства и новый Перечень делают попадание под КИИ более вероятным, а сама процедура — обязательной частью подготовки к проверкам Банка России.

Понимание статуса организации и объёма требований — только половина работы. Вторая половина — оценка последствий несоблюдения. Именно поэтому важно знать, какие санкции предусмотрены регуляторами.

Анатолий Волков

____________________

Санкции и последствия несоблюдения

Какие штрафы за нарушения требований ожидаются?

Нарушение новых требований по защите информации грозит серьезными последствиями. Контроль будет усилен несколькими регуляторами.

Банк России обладает полномочиями проводить плановые и внеплановые проверки, включая дистанционные инспекции с использованием информационных технологий. Поводом для внеплановой проверки могут стать жалобы клиентов.

Роскомнадзор также продолжает контрольные мероприятия, несмотря на мораторий на плановые проверки, и проводит внеплановые проверки при утечках данных или жалобах граждан. Сайты проверяются на соответствие требованиям ФЗ-152 о персональных данных.

Нарушение новых требований грозит следующими штрафами и санкциями:

Штрафы от Банка России: По итогам проверок, Банк России может выставить предписания об устранении нарушений. Неисполнение этих предписаний грозит крупными штрафами.

Иски от клиентов: Клиенты, пострадавшие от утечек данных или некачественного оказания услуг из-за сбоев в информационных системах, могут требовать компенсации через суд. Это влечет за собой дополнительные финансовые издержки для организаций.

Исключение из государственного реестра: В случае серьезных нарушений, Банк России может исключить микрофинансовую организацию из государственного реестра, что фактически означает прекращение её деятельности.

Исключение из государственного реестра: в случае серьёзных нарушений Банк России может исключить микрофинансовую организацию из государственного реестра — по сути, это означает принудительное закрытие бизнеса, заморозку выдачи новых займов и репутационный удар, после которого вернуться на рынок практически невозможно.

Анатолий Волков

____________________

Кейс: Утечка данных, внеплановая проверка РКН и что спасло компанию от штрафов

На практике проверки проходят жёстче, чем кажется. Вот один показательный пример из нашей работы: В одну из НФО обратились клиенты: их персональные данные оказались в открытом доступе. Утечка произошла по вине подрядчика, но ответственность - на компании. Через несколько дней РКН инициировал внеплановую проверку и запросил полный комплект документов по защите ПДн.

Что мы увидели после первичного аудита:

· часть документов не обновлялась несколько лет

· журналы инцидентов велись формально, «для галочки»

· сотрудники не были обучены реагированию на утечки

· ряд технических мер фактически не применялся

Мы оперативно:

· разобрали инцидент и подготовили техническое заключение

· восстановили документацию под требования ФЗ-152 и ФСТЭК

· выстроили корректный процесс обработки ПДн

· подготовили ответы и план устранения нарушений

· внедрили минимальный набор реальных мер защиты — не формальных

Результат:

Проверка завершилась предписанием без штрафа, а после выполнения плана регулятор подтвердил закрытие нарушений. Компания избежала финансовых потерь, а главное - репутационного удара и риска повторных проверок.

____________________

Ответственность по КИИ

Федеральным законом от 26.05.2021 N 141-ФЗ внесены изменения в КоАП РФ, касающиеся правонарушений в деятельности субъектов КИИ.

С 6 июня 2021 года штраф может быть назначен за:

● Непредоставление в ФСТЭК сведений о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно. Штраф для юрлиц – от 50 000 до 100 000 руб.

● Несоблюдение порядка уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ. Штраф для юрлиц – от 100 000 до 500 000 руб.

● Нарушение правил обмена информацией о компьютерных инцидентах (в частности, между субъектами КИИ). Штраф для юрлиц – от 100 000 до 500 000 руб.

С 1 сентября 2021 года штраф может быть назначен за:

● Нарушение требований к созданию и обеспечению работы систем безопасности значимых объектов КИИ. Штраф для юрлиц – от 50 000 до 100 000 руб.

● Нарушение требований к обеспечению безопасности этих объектов. Штраф для юрлиц – от 50 000 до 100 000 руб.

Цель закона: Усилить технологическую независимость и безопасность КИИ в России.

____________________

Что делать?

Пошаговый план подготовки системы защиты под требования:

Шаг 1. Инвентаризация ИТ-активов

Проведите полный учет всех ИТ-активов и сформируйте перечень информационных систем (ИС).

Шаг 2. Аудит мер защиты

Проведите аудит текущих мер защиты в зависимости от назначения каждой ИС и обрабатываемых данных.

Шаг 3. Актуализация актов категорирования

Проверьте актуальность существующих актов категорирования или проведите категорирование в соответствии с Постановлением Правительства № 127.

Шаг 4. План устранения несоответствий

Составьте план устранения выявленных несоответствий, приоритизируя их в зависимости от связанных рисков и учитывая требования ФЗ-187, ФЗ-152 и ФЗ-86.

Шаг 5. Моделирование угроз

Проведите моделирование угроз по методике ФСТЭК 2021 года, с учетом требований Центробанка к модели угроз.

Шаг 6. Определение мер защиты

Определите меры защиты, направленные на нейтрализацию угроз и обеспечение необходимого уровня защиты персональных данных (ПДн).

Шаг 7. Способы реализации мер защиты

Разработайте способы реализации технических и организационных мер защиты.

Шаг 8. Внедрение средств защиты и организационных мер

Внедрите средства защиты и комплекс организационных мер, включая обучение персонала и проверку их знаний.

Шаг 9. Оценка эффективности мер защиты

Проведите оценку эффективности мер защиты персональных данных и значимых объектов критической информационной инфраструктуры (КИИ), если такие объекты имеются.

____________________

Как правильно соблюсти закон о КИИ?

Допустим, вы определили, что ваша компания/организация входит в этот список, соответственно, на нее распространяется действие закона. Теперь организации нужно предпринять ряд действий, чтобы не были наложены штрафные санкции.

В первую очередь необходимо:

  1. Определить категорию значимости КИИ.
  2. Организовать мероприятия по обеспечению безопасности каждого объекта КИИ
  3. Уведомление регулятора об определении (признании) системы как КИИ. Постановка на учёт
  4. Выполнить подключение объекта к ГосСОПКА, либо организовать другой канал оповещения регулятора о компьютерных инцидентах. Допускается передача информации по почте или телефону.

Если в вашей компании будут выявлены значимые объекты КИИ, необходимо выполнить ряд мероприятий по проектированию, внедрению и сопровождению систем безопасности информации, но ЗОКИИ в этой статье не рассматриваются.

____________________

Как действовать дальше

Большинство собственников удивляются тому, насколько сильно подготовленность компании снижает стресс при проверках. Особенно когда речь идёт о проверках ЦБ и РКН, где даже небольшие несоответствия могут привести к серьёзным последствиям. Когда у вас есть карта требований, модель угроз, акты, меры, планы и документация - вы входите в диалог с регулятором совершенно иначе.

Если ваша организация подпадает под требования ЦБ, ФСТЭК, ФСБ или потенциально может быть признана субъектом КИИ, важно не откладывать подготовку. Большинство мер — это не про покупку оборудования, а про выстраивание процессов, документации, модели угроз, категорирования и технических настроек.

Мы в Soltecs закрываем для клиентов полный цикл:

· анализ текущего состояния и аудит соответствия требованиям ЦБ, ФСТЭК, ФСБ, РКН

· категорирование ИС и объектов КИИ, оформление актов

· разработку ЛНА и модели угроз с учётом методик ФСТЭК и требований Банка России

· подбор и внедрение мер защиты (технических и организационных)

· подготовку к проверкам и сопровождение на встречах с регуляторами

В результате вы получаете понятную карту требований именно к вашей компании, комплект необходимых документов и технических мер, а также план работ на 6–12 месяцев вперёд. Это снижает регуляторные риски и даёт аргументы в диалоге с проверяющими.

Своевременная подготовка снижает риски, экономит деньги и исключает сценарии, при которых регулятор фактически останавливает бизнес.

__________________

Мой телеграм-канал: t.me/volkovproit

__________________

Soltecs — ИТ компания, системный интегратор полного цикла. Мы помогаем собственникам компаний сосредоточиться на бизнесе, обеспечивая полное решение всех вопросов с ИТ инфраструктурой.

Начать дискуссию