Какие законы регулируют деятельность финансовых организаций в сфере информационной безопасности?

Центральный банк России издал ряд нормативных документов, регулирующих требования к информационной безопасности в финансовом секторе. Многие организации сталкиваются с трудностями в понимании этих требований.

1. Требования Банка России
Банк России устанавливает базовые нормы ИБ и операционной надёжности для всех участников финансового рынка.

Положение № 683-П (для банков) Определяет обязательные меры защиты информации, включая:

· ежегодные тестирования на проникновение;

· регулярную оценку уязвимостей;

· использование сертифицированного ПО;

· уровневую модель защиты (в зависимости от значимости организации).


Положение № 684-П (для некредитных финансовых организаций)

Регламентирует правила оценки защищённости ИС для НФО:

· периодичность проверок;

· перечень необходимых мероприятий;

· минимальные требования к документированию процессов ИБ.


Положение № 382-П (платёжные системы и переводы денежных средств)

Устанавливает меры защиты при переводах средств и методику оценки соответствия.

____________________

2. ГОСТ 57580 — основной стандарт защиты информации в финансовом секторе
ГОСТ Р 57580.1-2017 Задаёт базовые меры защиты информации и определяет три уровня защищённости:

· базовый,

· стандартный,

· усиленный.

Для организаций, работающих с биометрией (ЕБС), действует требование использовать средства ИБ только первого уровня защиты, согласно Приказу Минкомсвязи № 321.

____________________

3. Нормативка для МФО и МКК
Для микрофинансовых организаций ключевыми являются:

Федеральный закон № 151-ФЗ «О микрофинансовой деятельности» Регулирует деятельность МФО/МКК и содержит требования по:

· защите персональных данных;

· выполнению требований по КИИ (при наличии подпадающих систем);

· импортозамещению ПО и оборудования.

Федеральный закон № 86-ФЗ Классифицирует МФО и МКК как НФО и обязывает соблюдать требования ст. 76 по защите ИТ-инфраструктуры.

Положение № 757-П (ИБ в НФО) Включает требования по:

· защите персональных данных (ФЗ-152, Приказ ФСТЭК № 21);

· оценке уровня защищённости;

· формированию документов по ИБ.

Положение № 779-П (операционная надёжность) Определяет правила обеспечения непрерывности оказания финансовых услуг. С 2024–2027 годов требования этого документа станут ключевыми при определении объектов КИИ.

____________________

Краткий вывод для собственника
Чтобы соответствовать требованиям регуляторов, МФО, МКК и другим НФО должны одновременно соблюдать:

· законы ЦБ,

· требования по персональным данным,

· требования по КИИ,

· требования по операционной надёжности.

В сумме это около 500 обязательных мер, которые необходимо выполнить и документально подтвердить.

Пытаться закрыть их силами одного ИТ-специалиста или «формального» ответственного по ИБ — почти гарантированный путь к предписаниям и повторным проверкам.

____________________

Особое внимание: КИИ. Какие организации являются субъектом КИИ?
Тема КИИ — одна из самых сложных для финансовых организаций.

Многие собственники микрофинансовых компаний до сих пор уверены, что КИИ — это про оборонку и энергетику, а к ним закон отношения не имеет. На практике всё чаще происходит наоборот: во время проверки внезапно выясняется, что часть систем подпадает под критерии значимых объектов КИИ, и требования к ним на порядок жёстче.

Законом определен порядок действий по обеспечению безопасности и устойчивого функционирования в случае хакерских атак. Один из главных принципов защиты ИТ-инфраструктуры состоит в предупреждении компьютерных атак, направленных на нарушение устойчивой работы КИИ. Стоит сказать, что положения в отношении подобных объектов были и ранее. Разница лишь в том, что до 2018 года они назывались как КСИИ, но после принятия и вступления в силу 187-ФЗ название поменялось. - Анатолий Волков
____________________
Кто такие субъекты КИИ?
Субъектами КИИ являются организации, чьи информационные системы относятся к одному из стратегически важных для государства направлений:
Субъектами КИИ являются организации, чьи информационные системы относятся к одному из стратегически важных для государства направлений:

• здравоохранение
• наука
• транспорт
• связь
• энергетика
• банковский и финансовый сектор
• топливно-энергетический комплекс
• атомная промышленность
• оборонная, ракетно-космическая отрасль
• металлургия
• химическая промышленность
• государственная регистрация недвижимости

Важно: к КИИ относятся не только конечные отраслевые объекты, но и информационные системы, обеспечивающие взаимодействие этих объектов, в том числе системы компаний, которые поддерживают процессы других организаций.

____________________

Почему финансовые организации и МФО/МКК начинают попадать под КИИ?
В 2024–2026 годах меняется подход к определению объектов КИИ:

усиливаются требования по операционной надёжности (779-П)
расширяется перечень систем, «влияющих на устойчивость финансовых услуг»
вводится новый «Перечень типовых отраслевых объектов КИИ»

Согласно проекту Перечня (ожидается принятие в начале 2026 года), под КИИ подпадают системы, обеспечивающие:

• формирование, обработку и передачу финансовых документов
• проведение клиринговых расчётов
• загрузку/выгрузку информации в хранилища
• взаимодействие с внешними системами
• учёт финансовых транзакций
• ведение сведений о клиентах
• работу личных кабинетов
• ведение учёта информации в НПФ, страховых компаниях и МФО

То есть под действие КИИ попадает весь контур систем, влияющих на операционную надёжность, — в соответствии с Положением ЦБ № 779-П.

____________________

Какие организации точно будут признаваться субъектами КИИ?
Согласно проекту Перечня, субъектами КИИ станут:

• некредитные финансовые организации, осуществляющие клиринговую деятельность;
• центральные контрагенты;
• депозитарии и центральные депозитарии;
• негосударственные пенсионные фонды;
• страховые компании;
• микрофинансовые компании.

Для рынка МФО/МКК это означает одно:

вероятность признания субъектом КИИ становится высокой, даже если раньше организация не рассматривалась в этом контексте. - Анатолий Волков
____________________

Вы почти точно в зоне КИИ, если у вас есть системы, которые:

• обрабатывают договоры и ПДн

• обеспечивают личные кабинеты

• взаимодействуют с ФНС, БКИ, ФПС, платёжными сервисами

• содержат финансовую отчётность

• влияют на расчёты, выдачу и сопровождение займов

____________________

Что это означает для бизнеса?
Организация должна:

1. определить объекты КИИ и присвоить им категории значимости;

2. уведомить ФСТЭК о результатах категорирования;

3. внедрить меры защиты в соответствии с категорией (технические + организационные);

4. подключиться к ГосСОПКА или обеспечить иной канал оповещения о киберинцидентах;

5. документально подтвердить выполнение всех требований.

____________________

Для МФО, МКК и других НФО тема КИИ в ближайшие два года перестаёт быть опциональной. Изменения законодательства и новый Перечень делают попадание под КИИ более вероятным, а сама процедура — обязательной частью подготовки к проверкам Банка России.

Понимание статуса организации и объёма требований — только половина работы. Вторая половина — оценка последствий несоблюдения. Именно поэтому важно знать, какие санкции предусмотрены регуляторами. -Анатолий Волков
____________________

Санкции и последствия несоблюдения
Какие штрафы за нарушения требований ожидаются?

Нарушение новых требований по защите информации грозит серьезными последствиями. Контроль будет усилен несколькими регуляторами.

Банк России обладает полномочиями проводить плановые и внеплановые проверки, включая дистанционные инспекции с использованием информационных технологий. Поводом для внеплановой проверки могут стать жалобы клиентов.

Роскомнадзор также продолжает контрольные мероприятия, несмотря на мораторий на плановые проверки, и проводит внеплановые проверки при утечках данных или жалобах граждан. Сайты проверяются на соответствие требованиям ФЗ-152 о персональных данных.

Нарушение новых требований грозит следующими штрафами и санкциями:

● Штрафы от Банка России: По итогам проверок, Банк России может выставить предписания об устранении нарушений. Неисполнение этих предписаний грозит крупными штрафами.

● Иски от клиентов: Клиенты, пострадавшие от утечек данных или некачественного оказания услуг из-за сбоев в информационных системах, могут требовать компенсации через суд. Это влечет за собой дополнительные финансовые издержки для организаций.

● Исключение из государственного реестра: В случае серьезных нарушений, Банк России может исключить микрофинансовую организацию из государственного реестра, что фактически означает прекращение её деятельности.

Исключение из государственного реестра: в случае серьёзных нарушений Банк России может исключить микрофинансовую организацию из государственного реестра — по сути, это означает принудительное закрытие бизнеса, заморозку выдачи новых займов и репутационный удар, после которого вернуться на рынок практически невозможно. -Анатолий Волков
____________________

Кейс: Утечка данных, внеплановая проверка РКН и что спасло компанию от штрафов

На практике проверки проходят жёстче, чем кажется. Вот один показательный пример из нашей работы: В одну из НФО обратились клиенты: их персональные данные оказались в открытом доступе. Утечка произошла по вине подрядчика, но ответственность - на компании. Через несколько дней РКН инициировал внеплановую проверку и запросил полный комплект документов по защите ПДн.

Что мы увидели после первичного аудита:

• часть документов не обновлялась несколько лет

• журналы инцидентов велись формально, «для галочки»

• сотрудники не были обучены реагированию на утечки

• ряд технических мер фактически не применялся

Мы оперативно:

• разобрали инцидент и подготовили техническое заключение

• восстановили документацию под требования ФЗ-152 и ФСТЭК

• выстроили корректный процесс обработки ПДн

• подготовили ответы и план устранения нарушений

• внедрили минимальный набор реальных мер защиты — не формальных

Результат:

Проверка завершилась предписанием без штрафа, а после выполнения плана регулятор подтвердил закрытие нарушений. Компания избежала финансовых потерь, а главное - репутационного удара и риска повторных проверок.

____________________

Ответственность по КИИ

Федеральным законом от 26.05.2021 N 141-ФЗ внесены изменения в КоАП РФ, касающиеся правонарушений в деятельности субъектов КИИ.

С 6 июня 2021 года штраф может быть назначен за:

● Непредоставление в ФСТЭК сведений о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно. Штраф для юрлиц – от 50 000 до 100 000 руб.

● Несоблюдение порядка уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ. Штраф для юрлиц – от 100 000 до 500 000 руб.

● Нарушение правил обмена информацией о компьютерных инцидентах (в частности, между субъектами КИИ). Штраф для юрлиц – от 100 000 до 500 000 руб.

С 1 сентября 2021 года штраф может быть назначен за:

● Нарушение требований к созданию и обеспечению работы систем безопасности значимых объектов КИИ. Штраф для юрлиц – от 50 000 до 100 000 руб.

● Нарушение требований к обеспечению безопасности этих объектов. Штраф для юрлиц – от 50 000 до 100 000 руб.

Цель закона: Усилить технологическую независимость и безопасность КИИ в России.

____________________

Что делать?
Пошаговый план подготовки системы защиты под требования:

Шаг 1. Инвентаризация ИТ-активов

Проведите полный учет всех ИТ-активов и сформируйте перечень информационных систем (ИС).

Шаг 2. Аудит мер защиты

Проведите аудит текущих мер защиты в зависимости от назначения каждой ИС и обрабатываемых данных.

Шаг 3. Актуализация актов категорирования

Проверьте актуальность существующих актов категорирования или проведите категорирование в соответствии с Постановлением Правительства № 127.

Шаг 4. План устранения несоответствий

Составьте план устранения выявленных несоответствий, приоритизируя их в зависимости от связанных рисков и учитывая требования ФЗ-187, ФЗ-152 и ФЗ-86.

Шаг 5. Моделирование угроз

Проведите моделирование угроз по методике ФСТЭК 2021 года, с учетом требований Центробанка к модели угроз.

Шаг 6. Определение мер защиты

Определите меры защиты, направленные на нейтрализацию угроз и обеспечение необходимого уровня защиты персональных данных (ПДн).

Шаг 7. Способы реализации мер защиты

Разработайте способы реализации технических и организационных мер защиты.

Шаг 8. Внедрение средств защиты и организационных мер

Внедрите средства защиты и комплекс организационных мер, включая обучение персонала и проверку их знаний.

Шаг 9. Оценка эффективности мер защиты

Проведите оценку эффективности мер защиты персональных данных и значимых объектов критической информационной инфраструктуры (КИИ), если такие объекты имеются.

____________________

Как правильно соблюсти закон о КИИ?
Допустим, вы определили, что ваша компания/организация входит в этот список, соответственно, на нее распространяется действие закона. Теперь организации нужно предпринять ряд действий, чтобы не были наложены штрафные санкции.

В первую очередь необходимо:

Определить категорию значимости КИИ.
Организовать мероприятия по обеспечению безопасности каждого объекта КИИ
Уведомление регулятора об определении (признании) системы как КИИ. Постановка на учёт
Выполнить подключение объекта к ГосСОПКА, либо организовать другой канал оповещения регулятора о компьютерных инцидентах. Допускается передача информации по почте или телефону.
Если в вашей компании будут выявлены значимые объекты КИИ, необходимо выполнить ряд мероприятий по проектированию, внедрению и сопровождению систем безопасности информации, но ЗОКИИ в этой статье не рассматриваются.

____________________

Как действовать дальше
Большинство собственников удивляются тому, насколько сильно подготовленность компании снижает стресс при проверках. Особенно когда речь идёт о проверках ЦБ и РКН, где даже небольшие несоответствия могут привести к серьёзным последствиям. Когда у вас есть карта требований, модель угроз, акты, меры, планы и документация - вы входите в диалог с регулятором совершенно иначе.

Если ваша организация подпадает под требования ЦБ, ФСТЭК, ФСБ или потенциально может быть признана субъектом КИИ, важно не откладывать подготовку. Большинство мер — это не про покупку оборудования, а про выстраивание процессов, документации, модели угроз, категорирования и технических настроек.

Мы в Soltecs закрываем для клиентов полный цикл:

• анализ текущего состояния и аудит соответствия требованиям ЦБ, ФСТЭК, ФСБ, РКН

• категорирование ИС и объектов КИИ, оформление актов

• разработку ЛНА и модели угроз с учётом методик ФСТЭК и требований Банка России

• подбор и внедрение мер защиты (технических и организационных)

• подготовку к проверкам и сопровождение на встречах с регуляторами

В результате вы получаете понятную карту требований именно к вашей компании, комплект необходимых документов и технических мер, а также план работ на 6–12 месяцев вперёд. Это снижает регуляторные риски и даёт аргументы в диалоге с проверяющими.

Своевременная подготовка снижает риски, экономит деньги и исключает сценарии, при которых регулятор фактически останавливает бизнес.