ИБ-консалтинг для финансовых организаций: защита активов, клиентов и репутации

Финансовый сектор входит в пятерку самых атакуемых отраслей. Злоумышленники шифруют инфраструктуру с целью шантажа, стремятся вызвать сбои в работе компании или похитить деньги со счетов. Последствия успешных атак могут быть катастрофическими: под ударом оказывается не только конкретная организация, но и финансовая система страны в целом. Информационная безопасность в финансовом секторе требует особого подхода и высоких стандартов защиты данных. В статье рассказываем, как снизить риски кибератак и обеспечить соответствие требованиям регуляторов и как в этом могут помочь эксперты ГК Softline.

Последствия атак на финансовые организации

Инфраструктура финансовых организаций, особенно банков, включает множество взаимосвязанных систем и процессов — от онлайн-банкинга и платежных шлюзов до внутренних CRM-систем и баз данных. Каждый из этих элементов может стать целью для хакеров, а уязвимость даже одного звена может привести к компрометации всей системы. Согласно статистике, 67% успешных кибератак на финансовые организации заканчиваются утечкой конфиденциальных данных, 26% — приводят к нарушению работы.

Скриншот из отчета ЦБ «Обзор основных типов компьютерных атак в финансовой сфере в 2024 году»

Эффективная защита требует не точечных мер, а комплексного подхода, включая регулярный аудит, мониторинг угроз, обучение персонала и внедрение многоуровневой безопасности на всех этапах. К тому же, финансовая отрасль регулируется государством. Банк России, ФСТЭК, ФСБ и другие ведомства предъявляют высокие требования к обеспечению информационной безопасности финансовых организаций. Разобраться во всем многообразии нормативных актов и реальных средствах защиты помогут эксперты Softline. В статье собрали основные запросы банков и некредитных финансовых организаций, с которыми работают наши ИБ-консультанты.

Ключевые направления консалтинга для финансового сектора в области кибербезопасности

Комплексный аудит ИБ

Комплексный аудит информационной безопасности — это всесторонняя проверка системы защиты данных. Она включает анализ организационных мер и технических средств, а также оценку соответствия требованиям регуляторов. Финансовые организации обязаны соблюдать строгие требования национальных стандартов ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Подробнее про ГОСТы наш эксперт рассказал в этой статье.

Регулярный аудит ИБ это не только инструмент управления рисками и затратами финансовой организации, но и требование законодательства. Кроме того, ЦБ РФ в своих документах подчеркивает необходимость регулярных аудитов с привлечением сертифицированных специалистов. Особое внимание регулятор советует уделять проверке защиты периметра, конфигурации сетей и серверов.

Комплексный подход к аудиту в финансовом секторе делится на несколько этапов. ИБ-консультанты Softline работают по следующей схеме:

1. Проверяют, насколько система защиты соответствует ГОСТ Р 57580.1-2017.
2. Проводят предварительную оценку выполнения требований положений ЦБ РФ.
3. Моделируют угрозы безопасности информации.
4. Разрабатывают организационно-распорядительную документацию, проводят консультации по реализации мер защиты.
5. Предоставляют итоговую оценку соответствия требованиям ГОСТ Р 57580.1-2017.
6. Финальный этап — итоговая оценка выполнения положений ЦБ и заполнение форм:

0409071 — для кредитных организаций;

0420175; 0420433; 0420266; 0420722 — для некредитных организаций.

Этот план — основа, которую эксперты адаптируют под потребности заказчика. Перечень работ можно расширить или, напротив, сократить, чтобы достичь нужного результата.

Как часто необходимо привлекать внешних аудиторов? Кредитные организации и большинство иных субъектов национальной платежной системы обязаны проводить независимую оценку раз в два года, большинство некредитных — раз в три года.

Своевременный аудит информационной безопасности позволяет:

• Избежать санкций регуляторов и обеспечить соответствие требованиям ЦБ РФ, ГОСТов и международных стандартов.
• Повысить устойчивость к киберугрозам за счет выявления и устранения уязвимостей в ИБ-системе.
• Оптимизировать ресурсы благодаря комплексному подходу и снизить затраты за счет сбалансированного внедрения защитных мер.

В рамках комплексного аудита можно также выполнить оценку контура Единой биометрической системы (ЕБС) и контура Цифрового рубля. Ее необходимо проводить как минимум один раз в два года. Эксперты проверяют организацию на соответствие требованиям ГОСТ Р 57580.1-2017, Минцифры и ЦБ. По результатам работы компания получит отчеты об оценке соответствия, комплект документов и рекомендации по приведению системы защиты к необходимым стандартам.

Узнайте подробности

Управление рисками информационной безопасности

Операционный риск — это риск возникновения убытков из-за ненадежности внутренних процессов, действий персонала, сбоев в работе систем и внешних событий. Положение ЦБ № 716 выделяет 10 видов операционного риска для кредитных организаций, среди которых риски реализации угроз безопасности информации, информационных систем, операционной надежности, а также аутсорсинга. Стандарты управления этими видами риска также прописаны в ГОСТ Р 57580.3-2022, который дополняет и уточняет положение ЦБ.

Крупные банки с активами от 500 млрд руб. обязаны внедрить требования ГОСТа до 1 января 2026 года. У остальных кредитных организаций есть чуть больше времени — им необходимо реализовать стандарты до 1 января 2027 года.

Чтобы наладить систему управления рисками в кредитной организации, необходимо проделать большую работу — от структурных изменений и внедрения новых процессов до установки сложных технических средств защиты информации. В первую очередь необходимо решить основные задачи:

• Разработать процедуру управления рисками.
• Разработать классификатор событий рисков.
• Разработать системы показателей уровня рисков.
• Создать организационную структуру управления рисками.
• Вести на постоянной основе базы событий.

Эти задачи на себя может взять команда Softline. Эксперты оценят, насколько организация выполняет требования 716-П, а применяемые меры защиты соответствуют ГОСТ Р 57580.3-2022, проанализируют риски и разработают план внедрения стандарта, актуализируют комплект организационно-распорядительных документов (ОРД).

При оценке соответствия и реализации требований 716-П по итогам работы заказчик получает:

• Отчет об оценке выполнения требований Положения 716-П.
• Комплект организационно-распорядительной документации.
• Методику оценки рисков, включая критерии оценки и порядок ее проведения.
• Реестр рисков с указанием их вида, величины и допустимости.
• Рекомендации по реализации требований Положения 716-П.

Если необходимо соответствие ГОСТу, консультанты Softline подготовят:

• Отчет об оценке выполнения мер защиты ГОСТ Р 57580.3-2022.
• План внедрения ГОСТ Р 57580.3-2022.
• Комплект организационно-распорядительной документации.
• Рекомендации по реализации мер защиты ГОСТ Р 57580.3-2022.

Управление операционной надежностью

Операционная надежность — способность организации обеспечить непрерывную работу критически важных процессов. Управление операционной надежностью — это комплекс мер, направленных на поддержание стабильности процессов и систем даже в условиях кибератак и сбоев.

Обеспечение операционной надежностью тесно связано с процессами управления операционными рисками, поэтому работы в этой части эксперты рекомендуют проводить совместно с выполнением требований к управлению рисками.

Требования к операционной надежности содержатся в Положении ЦБ № 850 (для кредитных организаций и филиалов иностранных банков) и Положении ЦБ № 779 (для НФО). Чтобы соответствовать стандартам, указанным в этих документах, необходимо:

1. Провести аудит, чтобы выяснить, насколько существующее положение дел в организации соответствует требованиям ЦБ.
2. Проанализировать технологические процессы и выявить слабые места.
3. Выполнить оценку рисков операционной надежности.
4. Разработать комплект ОРД или актуализировать его.
5. Разработать план непрерывности восстановления деятельности.

Оценка операционной надежности сторонними специалистами часто оказывается эффективнее, так как они могут сопоставить опыт разных организаций и выявить неочевидные для внутренних сотрудников риски. По итогам работы эксперты Softline подготовят:

• Отчет об аудите по требованиям 850-П/779-П и комплект ОРД.
• Реестр технологических процессов, включая состав критичной архитектуры и карту процедур.
• Реестр риска операционной надежности с указанием величины и допустимости.

Организационные и технические меры, необходимые для обеспечения операционной надежности, указаны и в ГОСТ Р 57580.4-2022. Как и в случае с операционными рисками, кредитные организации должны выполнить требования стандарта к 1 января 2027 года, но крупные банки с активами более 500 млрд руб. — к 1 января 2026 года. Для некредитных финансовых организаций также установлено 2 варианта срока внедрения стандарта: для компаний, реализующих усиленный или стандартный уровень ГОСТ Р 57580.1-2017 — к 1 января 2027 года, минимальный — к 1 января 2028 года.

Чтобы подготовиться к этому качественно и без спешки, можно привлечь независимых экспертов. Они оценят, насколько организация уже выполняет установленные стандартом меры защиты, разработают план внедрения требований и подготовят комплект ОРД по управлению операционной надежностью. Заказчик также получит рекомендации по реализации мер защиты информации.

Защита коммерческой тайны

Согласно исследованиям, более трети скомпрометированной в 2024 году информации пришлось на коммерческую тайну. Учитывая, что финансовый сектор входит в топ-5 отраслей по количеству утечек, финансовые организации особенно тщательно подходят к защите конфиденциальной информации.

Основные правила работы с коммерческой тайной закреплены в Федеральном законе № 98 «О коммерческой тайне». Этот документ определяет ответственность за незаконное получение или разглашение таких сведений и обязательные меры защиты.

Для установления режима коммерческой тайны организация должна:

• Определить перечень информации, относящейся к коммерческой тайне.
• Установить порядок использования такой информации и контроль за его соблюдением.
• Вести учет лиц, получивших доступ к конфиденциальной информации.
• Закрепить обязательства по неразглашению в договорах.
• Использовать маркировку грифом «Коммерческая тайна».

Если не принять перечисленные меры, то режим коммерческой тайны считается неустановленным, а данные — незащищенными с точки зрения закона. Чтобы обеспечить соответствие организации требованиям 98-ФЗ, необходимо:

1. Обследовать процессы по защите информации, относящейся к коммерческой тайне.
2. Выявить перечень сведений, которые составляют коммерческую тайну, а также обследовать технологические и бизнес-процессы.
3. Разработать ОРД в области защиты коммерческой тайны.

Весь объем работ можно передать консультантам в области ИБ. Они проведут необходимые аудиты и подготовят:

• Отчет об оценке процессов обеспечения защиты информации, относящейся к коммерческой тайне.
• Комплект документов по обеспечению защиты информации, относящейся к коммерческой тайне.
• Шаблоны обязательств о неразглашении коммерческой тайны.
• Перечень сведений, составляющих коммерческую тайну.

В большинстве случаев причина утечки коммерческой тайны — человеческий фактор. Однако невозможно привлечь сотрудника организации к ответственности за разглашение конфиденциальной информации, если его неправильно уведомили о том, что сведения являлись таковыми. Если сомневаетесь, что в вашей компании этот процесс отлажен, то ИБ-консультанты Softline помогут разобраться.

Получить консультацию

Техническое обслуживание системы обеспечения информационной безопасности (СОИБ)

Техническое обслуживание СОИБ — это комплекс плановых мероприятий по поддержанию работоспособности, актуальности и эффективности всех компонентов системы защиты информации организации.

Регулярное техническое обслуживание позволяет поддерживать требуемый уровень защиты информации, своевременно выявлять и устранять уязвимости, минимизировать сбои и простои, а также обеспечить соответствие требованиям регуляторов.

Проактивная профилактика СОИБ — это не дополнительные расходы, а способ снизить риски. Команда Softline готова быстро подключиться к работе и выполнить необходимые задачи. В результате финансовая организация получит:

• Актуальную СОИБ для поддержания ИБ в компании на высоком уровне.
• Документированные настройки СЗИ для успешного прохождения периодического контроля.
• Проект системы обеспечения информационной безопасности.
• Эксплуатационную документация на систему защиты информации (опционально).

Оценка контура для подключения к платформе цифрового рубля

Цифровой рубль — это новая форма национальной валюты, которую выпускает Банк России. Все операции с цифровым рублем проходят на специальной платформе регулятора. С 1 сентября 2026 года в России начнется массовое внедрение новой формы валюты. Это означает, что все крупнейшие российские банки должны подключиться к платформе и обеспечить клиентам возможность пользоваться цифровым рублем через свое приложение.

Риски взлома или сбоев в платформе могут затронуть всю финансовую экосистему страны, поэтому к кредитным организациям, подключаемым к системе, предъявляются серьезные требования к обеспечению защиты. Они содержатся как в профильных документах, разработанных специально под проект, так и в базовых, касающихся и банковской деятельности, и информационной безопасности. Вот три ключевых:

• Положение ЦБ РФ № 833 обязывает участников платформы обеспечивать защиту автоматизированных систем, ПО и оборудования, которые используются для обработки, передачи и хранения защищаемой информации. Участники платформы должны проводить оценку соответствия требованиям раз в два года и привлекать для этого организации со специальной лицензией ФСТЭК.
• ГОСТ Р 57580.1-2017 как основной стандарт для финансовых организаций, который определяет уровни защиты информации и базовый состав организационных и технических мер.
• Приказ ФСБ № 796 устанавливает требования к средствам электронной подписи и удостоверяющего центра (организация, которая выдает сертификаты ключей проверки такой подписи).

Эксперты Softline помогут организациям, которые уже присоединились к платформе или только планируют, оценить соответствие технических и организационных мер требованиям регуляторов и при необходимости повысить уровень защиты. В результате заказчики получат необходимый комплект документов:

• Отчет об оценке соответствия требованиям Положения ЦБ № 833
• Отчет об оценке соответствия требованиям ГОСТ Р 57580.1-2017.
• Отчет об оценке соответствия требованиям Приказа ФСБ №796 к удостоверяющему центра.
• Комплект организационно-распорядительной документации.

Тестирование на проникновение

Пентест — один из эффективных инструментов, который помогает объективно оценить защищенность инфраструктуры через моделирование реальных атак. Несмотря на это лишь 21% компаний использует такие проверки. По данным исследований, на постоянной основе пентесты проводят только 11% организаций, 39% ограничиваются квартальными проверками. Почему так происходит? В основном компании не привлекают «этичных хакеров» из-за ограниченного бюджета, опасений нарушения бизнес-процессов и нехватки ресурсов для анализа результатов.

Однако эти проблемы легко устраняются. Эксперты Softline помогут подобрать решения под бюджет и потребности заказчика, выбрать методики с минимальным риском для компании. К тому же команда уже больше 10 лет работает с финансовым сектором и понимает особенности и критичность процессов в финансовых организациях.

На какие виды пентестов стоит обратить внимание:

• Социотехнический пентест — проверка уровня осведомленности персонала в области ИБ с использованием социальной инженерии, а также метода OSINT (разведка по открытым источникам) для поиска чувствительных сведений компании в свободном доступе, которые могут использовать хакеры.
• Пентест внешнего периметра — комплексная проверка безопасности внешних приложений, устройств и сетевых служб организации на уязвимости, которые можно задействовать для несанкционированного доступа.
• Пентест внутреннего периметра — моделирование действий злоумышленника, получившего доступ в локальную сеть, для оценки рисков внутренних угроз.
• Пентест веб-приложений — поиск уязвимостей в веб-интерфейсах, которые могут привести к утечке данных или захвату контроля над приложением.
• Пентест Wi-Fi — проверка защищенности беспроводных сетей на возможность несанкционированного подключения, перехвата трафика или взлома точек доступа.
• Анализ исходного кода — поиск уязвимостей на уровне кода для устранения рисков на этапе разработки.

Тестирование на проникновение — это не только попытка «взломать» системы финансовой организации. Работа экспертов также включает детальный анализ всех векторов атак, моделирование реальных угроз и разработку практических мер защиты. В результате организация получает комплексное решение для укрепления безопасности:

• Детальный анализ атак с применением методов социальной инженерии.
• Оценку уровня защищенности корпоративных сетей Wi-Fi.
• Аудит безопасности внутренней сетевой инфраструктуры и защищенности веб-приложений.
• Проверку безопасности внешнего сетевого периметра.
• Персональные рекомендации по повышению уровня информационной безопасности.

Также ключевыми запросами финансовых организаций остаются вопросы, связанные с обработкой персональных данных и защитой критической информационной инфраструктуры (КИИ). Законодательство в этих областях ужесточается и требует от компаний, особенно из финансовой отрасли, современных мер защиты. О том, как строится работа экспертов Softline по этим направлениям можно узнать по ссылкам:

• Обработка персональных данных (152-ФЗ).
• Защита КИИ.

Информационная безопасность в финансовом секторе — баланс между требованиями регуляторов, технической защитенностью и бесперебойностью работы. Каждая из описанных мер — от комплексного аудита до тестирования на проникновение — необходимый этап защиты бизнеса. ИБ-команда Softline не просто закрывает слабые места, а выстраивает комплексную систему безопасности без лишних затрат и простоев. Компания обладает необходимыми лицензиями ФСТЭК и ФСБ, а консультанты — сертификатами CISA, CISM, CISSP. Они готовы ответить на ваши вопросы: заполните форму обратной связи с менеджером.