Кто и как защищает критическую инфраструктуру в российских банках. Инфографика SecPost
В конце минувшего февраля Правительство РФ утвердило перечень объектов критической информационной инфраструктуры (КИИ) в банковской сфере. Ранее в плане объектов КИИ действовали универсальные критерии значимости для всех отраслей, но теперь у банков появился исчерпывающий список систем, которые автоматически считаются значимыми именно в их отрасли. SecPost разобрался и подготовил инфографику о том, кто и как сегодня защищает критическую инфраструктуру в российских банках, а также как изменились требования к обеспечению ее безопасности.
Что относится к объектам КИИ в банковской сфере?
До 2025 года в России действовали универсальные критерии значимости объектов КИИ для всех отраслей. Их устанавливал федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности КИИ РФ». Закон был принят для защиты важнейших объектов информационной инфраструктуры страны и регулирования мер безопасности в отношении объектов КИИ, которые изначально не делились по отраслям.
Однако все изменилось с выходом Распоряжения Правительства РФ №360-р от 26 февраля 2026 года. Раздел VII этого перечня («Банковская сфера и иные сферы финансового рынка») содержит исчерпывающий список объектов КИИ, которые автоматически считаются значимыми именно для банков. Это потребовало от организаций финансового сектора привлечения отраслевых экспертов и пересмотра классификации активов.
Типовые объекты КИИ банковской и других сфер финансового рынка
| № п/п | Название типового объекта КИИ РФ | Примечание |
| 1 | ИС, АСУ, ИТС органов исполнительной власти и подведомственных им организаций, обеспечивающие выполнение функций (осуществление полномочий) в банковской сфере и иных сферах финансового рынка органами исполнительной власти | |
| 2 | ИС, АСУ, ИТС, размещенные в центре обработки данных и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов, возможностей и услуг для функционирования значимых объектов критической информационной инфраструктуры в банковской сфере и иных сферах финансового рынка | За исключением ИС, АСУ, ИТС Банка России, кредитных организаций, некредитных финансовых организаций, бюро кредитных историй, операторов услуг платежной инфраструктуры, оператора платформы цифрового рубля и операторов услуг информационного обмена |
| 3 | ИС, АСУ, ИТС Банка России, обеспечивающие функции по переводу денежных средств | |
| 4 | ИС, АСУ, ИТС дистанционного банковского обслуживания | |
| 5 | ИС, АСУ, ИТС, используемые банковскими организациями | |
| 6 | ИС, АСУ, ИТС, реализующие функционал перевода денежных средств (процессинга) | |
| 7 | ИС, АСУ, ИТС, предназначенные для формирования документов и сообщений, приема и передачи документов и сообщений, проверки и обработки документов и сообщений, выполнения клиринговых расчетов, загрузки и выгрузки информации из системы хранения данных и взаимодействия с другими ИС | |
| 8 | ИС, АСУ, ИТС, обеспечивающие получение информации от других ИС, хранение информации, конфиденциальность, целостность, доступность хранимой информации и передачу информации в другие системы | |
| 9 | ИС, АСУ, ИТС, обеспечивающие учет регистратором финансовых транзакций информации о совершении финансовых сделок и об операциях по ним с использованием финансовой платформы | |
| 10 | ИС, АСУ, ИТС, предназначенные для формирования и ведения учета информации о каждом зарегистрированном лице для обеспечения реализации его прав в рамках деятельности негосударственного пенсионного фонда по негосударственному пенсионному обеспечению, формированию долгосрочных сбережений и (или) обязательному пенсионному страхованию | |
| 11 | ИС, АСУ, ИТС, обеспечивающие учет договоров страхования, платежей, убытков, перестрахования | |
| 12 | ИС, АСУ, ИТС, предназначенные для предоставления клиентам информационного обеспечения и (или) возможности доступа к удаленному личному кабинету | |
| 13 | ИС, АСУ, ИТС, предназначенные для формирования и ведения учета информации о клиентах микрофинансовых компаний | |
| 14 | ИС, АСУ, ИТС, обеспечивающие сбор, обработку, хранение и представление кредитной информации | |
| 15 | ИС, АСУ, ИТС, обеспечивающие осуществление деятельности операторов услуг платежной инфраструктуры | За исключением ИС, АСУ, ИТС Банка России |
| 16 | ИС, АСУ, ИТС, обеспечивающие перевод денежных средств на основании договоров услуг обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг | |
| 17 | ИС, АСУ, ИТС, влияющие на операционную надежность объектов КИИ из пунктов №4-6 | |
| 18 | ИС, АСУ, ИТС, влияющие на операционную надежность объектов КИИ из пунктов №7-13 | |
| 19 | ИС, АСУ, ИТС, влияющие на функционирование объектов КИИ из пунктов №15-16 | |
| 20 | ИС, АСУ, ИТС Фонда пенсионного и социального страхования РФ |
Примечание: ИС — информационные системы, АСУ — автоматизированные системы управления, ИТС — информационно-телекоммуникационные сети.
В частности, законодатели отнесли к типовым объектам КИИ в банковской сфере информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, которые предназначены для дистанционного банковского обслуживания, обеспечивают сбор, обработку, хранение и представление кредитной информации, а также реализуют функционал перевода денежных средств (процессинга).
Как банки должны обеспечивать безопасность объектов КИИ?
Общие требования к банкам и другим операторам КИИ содержались еще в 187-ФЗ, принятом в 2017 году. К этим требованиям относились уведомления федеральных органов исполнительной власти о компьютерных инцидентах, планирование мероприятий по защите информации, мониторинг и анализ рисков, контроль и реагирование на инциденты, а также использование современных технологий защиты.
Основные требования 187-ФЗ к операторам КИИ
| Требование | Описание |
| Уведомление о компьютерных инцидентах. | Субъекты КИИ обязаны уведомлять о компьютерных атаках и инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ |
| Планирование мероприятий по защите информации | Все организации, работающие с КИИ, должны разрабатывать и внедрять внутренние системы защиты, проводить регулярные проверки безопасности и тесты на уязвимости |
| Мониторинг и анализ рисков | Обязанность по регулярному мониторингу безопасности и анализу рисков нарушений информационной безопасности ложится на руководителей организаций. Также требуются постоянные обновления системы защиты от новых угроз и атак |
| Контроль и реагирование на инциденты | В случае инцидента организации обязаны не только немедленно принять меры для ликвидации угрозы, но также провести расследование, выяснив причины нарушения безопасности и устранить последствия |
| Использование современных технологий защиты | Операторы КИИ обязаны использовать современные технологии и системы защиты данных — например, системы криптографической защиты, средства защиты от кибератак, системы аутентификации и контроля доступа |
Несоблюдение норм 187-ФЗ грозит организациям серьезными последствиями. Так, в зависимости от характера нарушения штрафы для юридических лиц могут составлять от 50 до 500 тысяч рублей. А наступление инцидента с тяжкими последствиями и вовсе может обернуться десятью годами лишения свободы по статье 274.1 («Неправомерное воздействие на КИИ РФ») УК РФ.
Между тем в конце 2025 — начале 2026 года в России началась комплексная трансформация правового поля, призванная обеспечить технологический суверенитет, усилить кибербезопасность и структурировать отраслевые подходы к защите значимых объектов КИИ. В результате ряд поправок в законодательстве изменил требования, связанные с обеспечением информационной безопасности критической инфраструктуры в банковской сфере.
В частности, если еще в 2024-2025 годах операторы КИИ могли использовать любое программное обеспечение (ПО), соответствующее требованиям безопасности, то в 2026 году обязательно использовать лишь ПО из реестра российского софта, пусть и с некоторыми исключениями.
Изменились и критерии оценки защищенности: раньше она проводилась путем периодической аттестации раз в 3-6 лет. Теперь же операторы обязаны вести непрерывный мониторинг коэффициента защищенности информации (КЗИ) по 16 критериям. Стоит ли говорить, что все эти новеллы оказывают серьезное влияние на всю кибербезопасность банковской сферы в России.
Как изменились требования к ИБ банковских объектов КИИ
| Аспект регулирования | До обновлений (2024–2025) | После обновлений (2025–2026) | Последствия |
| Программное обеспечение | Допустимо использование любого ПО, соответствующего требованиям безопасности | Обязательное применение ПО из реестра российского софта (с исключениями) | Ускоренная миграция, аудит лицензий, риски функциональных ограничений |
| Оценка защищенности | Периодическая аттестация (раз в 3–6 лет) | Непрерывный мониторинг КЗИ по 16 критериям | Инвестиции в SOC (Security Operations Center), автоматизация сканирования |
| Взаимодействие с регулятором | Эпизодическая отчетность по инцидентам | Проактивное выявление объектов, предложения в перечни, оперативное информирование о нарушениях | Формирование функции compliance, юридизация IT-процессов |
«Нынешние целевые показатели включают не только 100% использование российского ПО и оборудования на значимых объектах КИИ, но и качественные метрики, сокращение времени обнаружения и реакции на инцидент (MTTD и MTTR) до нескольких минут, а также достижение нулевого уровня успешных атак, ведущих к недопустимым для бизнеса событиям», — говорит ведущий специалист отдела исследовательских разработок компании «Стахановец» Алексей Миронов.
Кто защищает банковские объекты КИИ в России?
Сегодня в структуре Банка России существует отдельный Департамент информационной безопасности во главе с Вадимом Уваровым. «Важной задачей Департамента является регулирование и контроль (надзор) за обеспечением информационной безопасности, киберустойчивости и применением информационных технологий в отношении финансовых организаций», — говорится в его описании на сайте ЦБ РФ.
Непосредственным куратором и координатором работы Департамента выступает заместитель председателя Банка России Герман Зубарев, которого можно считать ключевым топ-менеджером ИБ банковской сферы. При этом официальных данных о том, сколько всего человек обеспечивают кибербезопасность российских финансовых организаций, на сегодняшний день нет, говорит в беседе с SecPost начальник Департамента информационной безопасности ББР Банка Валентин Пашков.
«Официальных цифр нет, но это порядка 35 тысяч специалистов. На текущий момент работодатели испытывают явную нехватку квалифицированных ИБ-кадров из-за монополизации различных сфер деятельности в текущих условиях, высоких требований к ИБ-отрасли и оттока квалифицированных кадров за рубеж», — отмечает Валентин Пашков.
Кадровый вопрос остается одним из самых острых для банковского сектора, соглашается руководитель группы аналитиков по информационной безопасности Лиги Цифровой Экономики Виталий Фомин. В этой отрасли, как и во многих других, наблюдается структурный дефицит квалифицированных специалистов по информационной безопасности с опытом, практическими навыками и не нуждающихся в дополнительном обучении.
«Развитие цифровых технологий и валют, например цифрового рубля, создаст необходимость в разработке и совершенствовании новых ИБ-систем, что повлечет за собой потребность в дополнительных кадрах. По некоторым прогнозам, в банках может появиться до 44 тысяч позиций, которые необходимо будет закрыть», — отмечает Виталий Фомин.
Как хакеры атакуют российские банки в 2026 году?
Финансовые организации остаются на протяжении многих лет одними из самых атакуемых: около 5% успешных кибератак в России в 2025 году пришлось на банки, кредитные организации, операторов платежных систем и других участников отрасли, говорит в беседе с SecPost аналитик исследовательской группы Positive Technologies Роман Резников.
«В атаках на финансовые организации киберпреступники активно применяют социальную инженерию и различное вредоносное программное обеспечение (ВПО). Оба метода встречались в двух из трех атак на российскую финансовую отрасль в 2025 году. Ситуация, впрочем, не уникальна для РФ — схожие показатели прослеживаются по всему миру», — рассказывает эксперт.
В 2026 году киберпреступники продолжат эксплуатировать оба метода, будут адаптировать и развивать их, в том числе применяя новые технологии, такие как искусственный интеллект (ИИ), считает Роман Резников. В свою очередь руководитель управления информационной безопасности АО «Свой Банк» (финтех-группа СВОЙ) Алексей Ахмеев отмечает, что в последнее время подавляющее большинство атак на организации финансового сектора было связано с эксплуатацией уязвимостей контрагентов. Злоумышленники взламывают компании-партнеры, чтобы получить доступ к инфраструктуре целевого банка.
«Это классический пример атаки на цепочку поставок — одного из наиболее популярных методов взлома, направленного на менее защищенную IT-инфраструктуру, чтобы из нее попасть в более защищенную, находясь в доверенном контуре», — рассказывает эксперт.
По словам Алексея Ахмеева, не менее популярными остаются взломы с применением методов социальной инженерии, направленные непосредственно на сотрудников. В таких атаках активно применяются генеративные языковые модели.
Каков ущерб от кибератак на российские банки?
Сегодня портрет киберпреступника, атакующего финансовые организации, постепенно смазывается, отмечает Роман Резников: все сложнее разделять хактивистов, действующих из идеологических соображений, и финансово мотивированных вымогателей. Хактивисты чаще стали применять классические методы вымогателей — шифрование и похищение данных с целью требования выкупа, а финансово мотивированные киберпреступники, в свою очередь, уделяют больше внимания идеологическим мотивам при выборе цели атаки.
«По публичным данным можно сделать вывод, что ущерб от кибератак на российские банки — это десятки миллиардов рублей в год. Косвенные потери трудно поддаются подсчету. В России очень неохотно публикуют данные о реальном ущербе и детали инцидентов», — говорит в беседе с SecPost Валентин Пашков.
С тем, что совокупный ущерб от киберинцидентов в финансовом секторе сегодня исчисляется десятками миллиардов рублей ежегодно, согласен и Алексей Миронов. При этом прямые финансовые хищения — лишь очевидная часть проблемы, тогда как основной ущерб приходится на сопутствующие последствия. Значительная, а зачастую и преобладающая доля потерь приходится на репутационные издержки, отток лояльной аудитории после громких утечек персональных данных, а также на оборотные штрафы от регуляторов и огромные затраты на расследование инцидентов и модернизацию инфраструктуры.
«Для любого крупного банка даже кратковременная приостановка сервисов или компрометация базы данных обходится в суммы, которые многократно превышают бюджеты на превентивное внедрение передовых систем защиты от утечек (DLP) и мониторинга активности персонала», — отмечает Алексей Миронов.
На этом фоне фокус регуляторов и самих банков сегодня окончательно сместился от формального выполнения требований к практической киберустойчивости. А это требует непрерывного мониторинга действий каждого сотрудника, имеющего доступ к критичным узлам, для полного исключения человеческой ошибки или злого умысла, заключает собеседник SecPost.
