Карты не проходят, переводы зависают, банкоматы собирают очередь, поддержка не успевает отвечать на звонки. Для такого сбоя не всегда нужен хакер. Достаточно отказа в критичном контуре, через который банк проводит авторизацию платежей, обмен данными или дистанционное обслуживание клиентов.
Вокруг таких систем в России действует режим критической информационной инфраструктуры, или КИИ. До 2025-2026 годов банки, металлургические предприятия, больницы и другие отрасли оценивали значимость своих систем по общим критериям. Затем финансовый сектор получил отраслевые правила категорирования и перечень типовых объектов. Сам перечень не делает систему значимой автоматически, но заставляет банки и других участников рынка заново проверить инфраструктуру и определить, какие узлы требуют категории.
Банковскую КИИ защищает не только внутренняя служба информационной безопасности. В контуре участвуют ФСТЭК, ФСБ, НКЦКИ, ГосСОПКА, Банк России, ФинЦЕРТ, команды самих банков и подрядчики. Последние всё чаще превращаются из вспомогательного звена в отдельный риск.
Что такое КИИ и почему банки попадают в эту зону
Основу режима заложил 187-ФЗ от 26 июля 2017 года. Закон разделяет субъекты КИИ и объекты КИИ. Субъектом выступает организация из чувствительной отрасли, включая банковскую сферу и финансовый рынок. Объектом становится конкретная информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления внутри организации.
Банк может быть субъектом КИИ, но категорию получает не банк целиком, а отдельная система. В банковском контуре под проверку попадают дистанционное банковское обслуживание, процессинг, платёжная инфраструктура, система обмена сообщениями или узел, который влияет на операционную надёжность.
Категорий значимости три. Первая категория самая строгая, третья ниже по последствиям, но тоже требует формального режима защиты. Если система не достигает пороговых значений, категорию ей не присваивают, хотя объект может оставаться в контуре КИИ без статуса значимого.
«Типовой объект КИИ» и «значимый объект КИИ» нельзя смешивать. Первый термин помогает определить, какие системы нужно рассмотреть при категорировании. Второй означает, что объект уже прошёл оценку, получил категорию и попал в установленный порядок учёта.
Что изменилось в 2026 году
Старый порядок оставлял финансовым организациям слишком много экспертной работы. Банк описывал процессы, оценивал последствия отказа или атаки, затем сверял систему с универсальными критериями. Платёжный процессинг, ДБО и корпоративные сервисы приходилось укладывать в общий подход, который применяли к промышленности, транспорту и здравоохранению.
Сначала изменились правила категорирования, вступившие в силу с 18 ноября 2025 года. Затем правительство утвердило постановление №92 от 6 февраля 2026 года с отраслевыми особенностями для банковской сферы и иных сфер финансового рынка. После появилось распоряжение №360-р от 26 февраля 2026 года с перечнем типовых отраслевых объектов КИИ.
Для банков ключевым стал раздел VII перечня. В него вошли информационные системы, автоматизированные системы управления и сети, связанные с дистанционным банковским обслуживанием, деятельностью банковских организаций, переводом денежных средств, процессингом, клиринговыми расчётами, хранением и передачей финансовой информации, кредитными историями, страхованием, микрофинансовыми компаниями, операторами платёжной инфраструктуры и другими участниками рынка.
Новая логика не отменяет расчёт последствий. Банк сверяет инфраструктуру с типовыми объектами, оценивает последствия отказа или атаки по критериям, присваивает категорию при достижении порогов и направляет сведения регулятору. С 2027 года субъекты КИИ финансового сектора должны ежегодно направлять данные об актуальном перечне значимых объектов и решение о пересмотре категорий либо об отсутствии такой необходимости.
Практический смысл реформы сводится к инвентаризации. Системы, которые раньше могли оставаться в серой зоне, теперь сложнее не заметить. Банк должен показать, какие узлы обслуживают платежи, удалённый доступ, обмен сообщениями, клиринговые расчёты и операционную надёжность.
Кто отвечает за банковскую КИИ
Защита банковской КИИ устроена в несколько слоёв. Каждый участник закрывает свой участок.
| Участник | За что отвечает | Опорные документы и контур |
|---|---|---|
| ФСТЭК России | Требования к защите значимых объектов, реестр, сведения о категорировании, контроль выполнения мер | Приказ №239, 187-ФЗ |
| ФСБ России, НКЦКИ, ГосСОПКА | Информирование об атаках и инцидентах, координация реагирования, ликвидация последствий компьютерных атак | Приказ №547, ГосСОПКА |
| Банк России и ФинЦЕРТ | Отраслевое регулирование, обмен данными об угрозах, реагирование на инциденты в финансовом секторе | ГОСТ Р 57580, 683-П, 851-П, ФинЦЕРТ |
| Сам банк | Категорирование объектов, защита систем, контроль подрядчиков, реагирование, учения и документы | Внутренние регламенты, договоры, модель угроз, планы реагирования |
ФСТЭК задаёт требования к защите значимых объектов КИИ и принимает сведения о категорировании. ФСБ через НКЦКИ и ГосСОПКА работает с атаками и инцидентами. Банк России переводит общие требования на язык финансового рынка и ведёт отраслевой обмен через ФинЦЕРТ. Внутри банка эту работу делят служба информационной безопасности, ИТ, юристы, владельцы процессов и руководство.
Зачем банкам ФинЦЕРТ
ФинЦЕРТ при Банке России работает как отраслевой центр обмена информацией и реагирования. Через этот контур участники финансового рынка получают предупреждения, передают сведения об инцидентах, обмениваются индикаторами компрометации и получают рекомендации по атакам, которые уже идут по отрасли.
По обзору Банка России за 2025 год, в информационном обмене участвовали более 1700 организаций. ФинЦЕРТ выявил 38 418 фишинговых сайтов и направил их на блокировку. В том же обзоре указаны 761 инцидент операционной надёжности и 14 инцидентов у подрядных организаций с последующими атаками на финансовый рынок.
Для банка такой обмен полезен не как формальная рассылка. Финансовые организации сталкиваются с похожими схемами: фишинговыми доменами под бренды банков, вредоносными письмами в корпоративной почте, атаками через поставщиков ИТ-услуг, DDoS, попытками украсть доступ к платёжным операциям. Чем быстрее один участник передаёт признаки атаки, тем выше шанс, что другие успеют закрыть тот же вход.
Как защита работает на практике
Сначала банк собирает комиссию по категорированию. В неё входят представители ИТ, информационной безопасности, юридического блока, владельцы процессов и специалисты, которые понимают конкретную банковскую технологию. Комиссия определяет, какие системы попадают в контур КИИ, какие из них совпадают с типовыми объектами, какие последствия вызовет отказ и нужна ли категория значимости.
После категорирования банк применяет обязательные меры. Приказ ФСТЭК №239 описывает требования к защите значимых объектов КИИ. В банковском контуре параллельно действуют отраслевые требования Банка России, включая ГОСТ Р 57580 и положения, которые регулируют защиту информации при банковских операциях и противодействии переводам без согласия клиента.
На инженерном уровне защита упирается в сегментацию критичных контуров, строгий контроль привилегированного доступа, журналирование действий администраторов, резервное копирование, проверку уязвимостей, мониторинг событий, многофакторную аутентификацию для удалённого доступа, регламенты реагирования и регулярные учения. Для банковской инфраструктуры особенно важна способность восстановить ДБО, процессинг и обмен сообщениями в установленный срок.
Отдельно идут проверки. Банки проводят тестирование на проникновение и анализ уязвимостей объектов информационной инфраструктуры, а также оценивают соответствие защиты по ГОСТ Р 57580.2. Пентест, анализ уязвимостей, оценка соответствия и требования к доверенности программного обеспечения относятся к разным процедурам, хотя в реальных проектах часто сходятся в одной программе работ.
С иностранным ПО нельзя ограничиться фразой «всё запрещено». Постановление №1478 задаёт требования к ПО, включая ПО в составе программно-аппаратных комплексов, правила согласования закупок иностранного ПО и перехода на преимущественное использование российского ПО для определённых категорий заказчиков и значимых объектов КИИ. На практике банк должен проверить статус закупки, владельца объекта, режим применения и применимое исключение.
Что происходит при инциденте
Когда банк фиксирует компьютерную атаку или инцидент на значимом объекте КИИ, сообщение уходит в НКЦКИ по порядку, который обновил приказ ФСБ №547 от 25 декабря 2025 года. Для финансового сектора добавляется отраслевой обмен с ФинЦЕРТ. НКЦКИ и ФинЦЕРТ получают признаки атаки, чтобы другие организации могли быстрее обнаружить тот же сценарий у себя.
Внутри банка процесс должен быть заранее разложен по ролям. Дежурная смена фиксирует событие, команда реагирования собирает технические данные, владельцы систем оценивают влияние на сервисы, юристы и комплаенс проверяют обязательные уведомления, руководство принимает решения по ограничению операций или переводу сервисов на резервные контуры. Если этот порядок впервые обсуждают во время атаки, банк теряет время.
Против кого выстроена защита
Финансовый сектор атакуют не только через прямой взлом банковской инфраструктуры. По данным Банка России, в 2025 году антифрод-системы банков предотвратили 134,2 млн мошеннических операций против 72,2 млн годом ранее и сохранили клиентам 13,9 трлн рублей. При этом объём похищенных средств вырос на 6,4% и достиг 29,3 млрд рублей.
В обзоре компьютерных атак в финансовой сфере Банк России указал 296 DDoS-атак, что на 21% меньше результата 2024 года. Каждая девятая DDoS-атака привела к инциденту операционной надёжности. Всего за год Банк России зафиксировал 761 такой инцидент общей длительностью 166 дней. Шума стало меньше, но влияние отдельных атак на сервисы осталось заметным.
Независимая статистика показывает другой срез. По данным Kaspersky, в 2025 году число кибератак на финансовые учреждения России выросло на 43%. Число атак с применением банковских троянцев выросло в четыре раза, атак со шпионским ПО - на 42%, атак программ-вымогателей - на 32%. Большинство финансовых учреждений, 83%, столкнулись с угрозами в корпоративной электронной почте.
Банку всё чаще угрожает не один мощный удар, а цепочка слабых звеньев. Вредоносное письмо сотруднику, украденный токен подрядчика, плохо защищённый удалённый доступ сервисной компании, уязвимость в популярном продукте или заражённое устройство могут открыть атакующим маршрут туда, где прямой взлом стоил бы дороже и занял бы больше времени.
Почему подрядчики стали отдельной проблемой
Банк России прямо выделяет третью сторону как один из болезненных векторов атак. Под угрозой поставщики ИТ-услуг, ИБ-услуг, провайдеры связи, центры обработки данных и сервисные компании, которые подключаются к банковской инфраструктуре или обслуживают критичные системы.
Крупный банк обычно защищён лучше, чем небольшая сервисная компания. У банка есть SOC, регламенты, аудит, мониторинг, сегментация и внутренние проверки. У подрядчика может быть небольшой штат, общий удалённый доступ, слабая дисциплина обновлений и один администратор на нескольких клиентов. Если такой подрядчик получает доступ к банковскому контуру, атакующий ищет не брешь в периметре банка, а доверенный маршрут через сервисную компанию.
Масштаб рынка усиливает риск. В обзоре Банка России указано, что на рынке работает более 20 тыс. разработчиков и интеграторов ИТ-решений, но значимых крупных игроков около 150. В финансовой сфере используют решения 105 компаний, а к АСОИ ФинЦЕРТ подключены 70 разработчиков ПО. Узкое место возникает не только в технологиях, но и в организации доступа.
Поэтому Банк России рекомендует вести реестр поставщиков, подключать поставщиков ИТ-решений к АСОИ ФинЦЕРТ, закреплять в договорах стандарт информационной безопасности, прописывать ответственность за несоблюдение мер и собирать базу знаний о технологическом стеке финансовых организаций. Защищённый банковский контур теряет устойчивость, если сервисная компания входит в него с плохо контролируемым доступом.
Что грозит за нарушения
Ответственность за КИИ стала жёстче не только в требованиях, но и в санкциях. Статья 274.1 УК РФ касается неправомерного воздействия на критическую информационную инфраструктуру. Поправки 2026 года уточнили, что преступлением может быть неправомерный доступ к охраняемой компьютерной информации или нарушение правил эксплуатации средств хранения, обработки или передачи такой информации, если последствиями стали уничтожение, блокирование, модификация или копирование данных в КИИ.
Для нарушений без признаков преступления действует административный контур. В КоАП появилась статья 13.12.2 о нарушении правил эксплуатации объектов КИИ или доступа к ним. Штрафы для юридических лиц составляют от 100 тыс. до 500 тыс. рублей, для должностных лиц - от 10 тыс. до 50 тыс. рублей, для граждан - от 5 тыс. до 10 тыс. рублей.
Для банка штраф не всегда главный ущерб. Потери начинаются с остановки операций, недоступности сервисов, клиентской паники, расследования, предписаний регулятора, затрат на восстановление и репутационного удара. Ответственность лишь фиксирует проблему, которую бизнес уже почувствовал в день сбоя.
Где остаётся слабое место
Новая модель регулирования делает банковскую КИИ конкретнее. Вместо общего разговора о «важных системах» у отрасли появились перечень типовых объектов, отраслевые правила категорирования и ежегодная актуализация сведений. Банку сложнее спрятать критичный сервис в расплывчатой формулировке или отложить пересмотр инфраструктуры до следующей проверки.
Но регуляторная точность не закрывает риск на стыке банка и внешних поставщиков. Процессинг, ДБО, интеграции, обмен сообщениями, сервисные контуры, поставщики решений, провайдеры связи и подрядчики образуют цепочку, где прочность задаёт самое слабое звено. Атакующие используют этот маршрут, когда прямой взлом банка слишком дорог или заметен.
Формально банковскую КИИ охраняют ФСТЭК, ФСБ, НКЦКИ, Банк России, ФинЦЕРТ и сам банк. На практике безопасность зависит ещё и от подрядчика, который ночью подключается к критичной системе по удалённому доступу.
Короткие ответы на частые вопросы
Любой банк считается субъектом КИИ?
Работающий банк почти неизбежно попадает в сферу 187-ФЗ, потому что банковская сфера прямо относится к чувствительным отраслям. Но категорию присваивают не банку целиком, а конкретной системе, сети или автоматизированной системе управления.
Типовой объект КИИ автоматически становится значимым?
Нет. Перечень типовых отраслевых объектов показывает, какие системы нужно рассмотреть при категорировании. Значимым объект становится только после оценки по критериям, присвоения категории и направления сведений в установленном порядке.
Какие банковские системы чаще всего попадают в фокус?
В фокусе находятся системы дистанционного банковского обслуживания, процессинг, системы перевода денежных средств, платёжная инфраструктура, клиринговые контуры, системы хранения и передачи финансовой информации, а также узлы, влияющие на операционную надёжность таких сервисов.
Кому банк сообщает о компьютерной атаке?
По значимым объектам КИИ банк информирует НКЦКИ в порядке, установленном ФСБ. Как участник финансового рынка банк также взаимодействует с ФинЦЕРТ Банка России, который собирает отраслевые данные об угрозах и инцидентах.
Можно ли использовать иностранное ПО на значимых объектах КИИ?
Единого ответа для любой ситуации нет. Постановление №1478 вводит требования к ПО, правила согласования закупок иностранного ПО и перехода на преимущественное использование российского ПО для определённых заказчиков и значимых объектов КИИ. Перед выводом нужно разобрать статус организации, объекта, закупки и применимого исключения.
Почему подрядчики стали таким опасным звеном?
Подрядчики часто получают удалённый доступ, обслуживают критичные системы, разворачивают обновления и знают внутреннюю архитектуру клиента. Если злоумышленник взламывает слабее защищённую сервисную компанию, он может использовать доверенный маршрут в инфраструктуру банка.
Чем КИИ отличается от обычной банковской информационной безопасности?
Обычная информационная безопасность защищает весь контур банка: данные, сотрудников, клиентов, сервисы и инфраструктуру. Режим КИИ выделяет системы, отказ или атака на которые могут вызвать наиболее тяжёлые последствия, и накладывает на них отдельные требования, категорирование, уведомления и контроль регуляторов.
