Правительство утвердило правила категорирования объектов КИИ для банков и финансового сектора

Правительство утвердило отраслевые особенности категорирования объектов критической информационной инфраструктуры (КИИ) в банковской сфере. Постановление № 92 от 6 февраля 2026 года утверждает порядок «установления соответствия объекта КИИ критериям значимости», то есть позволяет определить значимость тех или иных объектов в инфраструктуре.

Как подчеркивает начальник ИТ-отдела компании «Газинформсервис» Сергей Коловангин, документ касается не только банков, но и очень широкого спектра организаций. Он описывает требования в части КИИ для депозитариев, брокеров, страховых компаний и других финансовых организаций. Но, как полагает Коловангин, новые требования по КИИ вряд ли станут проблемой для организаций этого сектора.

«Предполагаю, что реализация требований КИИ не должна вызвать больших затруднений у тех организаций, которые уже в полной мере выполнили требования положений ЦБ № 851-П и № 757-П, — эти требования местами для исполнения даже сложнее требований в части КИИ», — считает эксперт.

Первый документ, о котором говорит эксперт, — это положение Центрального банка относительно финансовых организаций «Об установлении… требований к обеспечению защиты информации… в целях противодействия осуществлению переводов денежных средств без согласия клиента». Второй — «Об установлении требований к обеспечению защиты информации… в целях противодействия осуществлению незаконных финансовых операций».

Коловангин также отмечает, что всем организациям, которым предстоит соответствовать требованиям Центрального банка, будет целесообразно присмотреться к методическим документам от ФСТЭК, выпущенным в 2025 году, а именно — к материалам по оценке уровня критичности уязвимостей, по анализу защищённости и по организации процесса управления уязвимостями.

В документе ЦБ отмечается, что при оценке масштаба возможных последствий в случае возникновения киберинцидента на объектах КИИ нужно учитывать зависимость функционирования одного объекта от другого. Коловангин говорит, что атаки через цепочки поставщиков находятся на очень серьезном контроле уже несколько лет подряд.

«Действительно существует понимание того, что слабые звенья могут появиться со стороны подрядчиков. И обеспечить их должным контролем — задача такая же нетривиальная, как защита от внутреннего нарушителя (к которому поставщики при определённых условиях также относятся)», — добавляет эксперт.

По мнению эксперта по ИБ ИТ-компании «Криптонит» Сергея Сарычева, выход постановления правительства — следствие хорошей инициативы отраслевых регуляторов и ФСТЭК. Его принятие идет в развитие ФЗ № 187 «О безопасности КИИ РФ», главная задача которого — адаптация общих правил защиты ИТ-систем под специфические риски банковского сектора.

«Необходимо отметить, что с 2018 года процедура категорирования для субъектов КИИ затягивалась самими субъектами по ряду причин: неподготовленностью специалистов по задачам категорирования, нежеланием полноценно использовать методику категорирования, трудностями при расчете ущерба для объектов КИИ и прочим», — подчеркивает эксперт.

Постановление устанавливает уникальные критерии значимости для объектов КИИ в банковской сфере. И понятно, почему это необходимо: сбои в информационных системах финансовых организаций могут привести к более масштабным последствиям, чем в других сферах.

«В постановлении детально прописано, как именно организации банковского сектора должны оценивать свои системы, чтобы присвоить им одну из категорий значимости, от которой зависит строгость мер безопасности», — считает Сарычев.

Ранее SecPost писал о предложении Центрального банка России увольнять топ-менеджеров финансовых организаций за киберинциденты без права восстановиться в должности в течение десяти лет. Эксперты считают, что данная инициатива может привести к поиску «козла отпущения» без должного выстраивания причинно-следственной связи.