- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / Категорирование объектов КИИ / Категорирование КИИ для банков, финансовых и микрофинансовых организаций 2025 - 2026
Главная / Категорирование объектов КИИ / Категорирование КИИ для банков, финансовых и микрофинансовых организаций 2025 - 2026
Категорирование объектов критической информационной инфраструктуры (КИИ) стало обязательной процедурой для всех крупных участников финансового рынка России. Банки, микрофинансовые организации, страховые компании и другие финансовые институты должны соответствовать требованиям 187-ФЗ, а нарушения караются штрафами до 1 миллиона рублей.
В 2024-2025 годах законодательство претерпело кардинальные изменения: введены типовые отраслевые перечни объектов КИИ, ужесточены требования к импортозамещению, а микрофинансовые организации впервые попали под строгие требования по защите информации
Описание услуги
Банковская сфера:
13 системно значимых банков по перечню ЦБ РФ: Сбербанк, ВТБ, Газпромбанк, Альфа-Банк, МКБ, Банк "Открытие", Росбанк, ТБанк, Промсвязьбанк, Райффайзенбанк, Россельхозбанк, Совкомбанк, ЮниКредит
Банки с государственным участием (доля государства свыше 50%)
Финансовая инфраструктура:
Системно значимые инфраструктурные организации (НКЦ, депозитарии, клиринговые центры)
Операторы платежных систем системного и социального значения
Центральный контрагент и расчетные депозитарии
С октября 2024 года микрофинансовые организации (МФО) и микрокредитные компании (МКК) с выручкой свыше 5 млрд рублей или штатом более 250 человек обязаны соблюдать минимальный уровень защиты информации согласно ГОСТ Р 57580.1-2017.
О нашей компании
Компания «Астелс» сотрудничает с крупнейшими государственными и международными предприятиями
Все, проводимые экспертами компании процедуры, соответствуют требованиям контролирующих органов
Центр постоянно работает над повышением профессионализма и компетентности сотрудников
Предоставляет беспроцентную рассрочку оплаты услуг (до 4 месяцев)
У нас гибкая цена на услуги, выгодные предложения и удобные способы оплаты
Все процедуры проводятся в строго регламентируемые сроки
Клиенты
Благодарственные письма
Описание услуги
| Тип организации | Статус субъекта КИИ | Критерии попадания | Основные объекты КИИ | Уровень ответственности |
|---|---|---|---|---|
| Системно значимые банки (13 банков) | Обязательно | Перечень ЦБ РФ (13 банков) | АБС, СДБО, процессинг, риск-системы | Максимальный (штрафы до 1 млн руб.) |
| Банки с государственным участием | Обязательно | Доля государства >50% | АБС, СДБО, процессинг, риск-системы | Максимальный (штрафы до 1 млн руб.) |
| Прочие банки с лицензией ЦБ | Не являются | Активы <500 млрд руб. | Не применимо | Не применимо |
| Микрофинансовые организации (МФО) | Спорный вопрос | Выручка >5 млрд руб. ИЛИ штат >250 чел. | CRM, скоринг, биллинг, мобильные приложения | Минимальный уровень защиты с 2024г. |
| Микрокредитные компании (МКК) | Спорный вопрос | Выручка >5 млрд руб. ИЛИ штат >250 чел. | CRM, скоринг, биллинг, веб-платформы | Минимальный уровень защиты с 2024г. |
| Страховые компании | По размеру активов | Активы >100 млрд руб. | Системы андеррайтинга, урегулирования | По результатам категорирования |
| Негосударственные пенсионные фонды | По размеру активов | Активы >50 млрд руб. | Системы инвестирования, учета | По результатам категорирования |
| Управляющие компании ПИФ | По размеру активов | Активы ПИФ >50 млрд руб. | Торговые системы, системы учета | По результатам категорирования |
| Системно значимые инфраструктурные организации | Обязательно | Определяется ЦБ РФ | Торгово-клиринговые системы | Максимальный (штрафы до 1 млн руб.) |
| Операторы платежных систем | Системного значения | Социально/системно значимые | Процессинговые центры | По результатам категорирования |
| Депозитарии | Обязательно | Все лицензированные | Системы учета ценных бумаг | По результатам категорирования |
| Клиринговые центры | Обязательно | Все лицензированные | Клиринговые системы | По результатам категорирования |
| Центральный контрагент | Обязательно | НКЦ и другие | Системы управления рисками | Максимальный |
| Бюро кредитных историй | По размеру базы | База >10 млн записей | Базы кредитных историй | По результатам категорирования |
| Форекс-дилеры | По объему операций | Оборот >100 млрд руб./год | Торговые платформы | По результатам категорирования |
Состав комиссии должен включать представителей всех ключевых подразделений:
Руководитель организации (председатель комиссии)
Руководитель службы информационной безопасности
ИТ-директор или начальник ИТ-службы
Руководители подразделений по управлению рисками
Представители юридической службы
Специалисты по обеспечению непрерывности деятельности
Для банков критическими являются процессы, определенные банковским законодательством:
Привлечение денежных средств во вклады
Размещение привлеченных средств (кредитование)
Открытие и ведение банковских счетов
Осуществление расчетов по поручению клиентов
Валютные операции
Выдача банковских гарантий
Для МФО и МКК критическими процессами являются:
Выдача микрозаймов физическим и юридическим лицам
Привлечение денежных средств (для МФО)
Ведение реестра клиентов и договоров
Процессы скоринга и оценки рисков
На основе критических процессов определяются информационные системы, подлежащие категорированию:
Ключевой этап категорирования - оценка возможных последствий при нарушении функционирования объектов КИИ. Для финансовых организаций особое внимание уделяется:
Прямым финансовым потерям
Репутационным рискам
Потере лояльности клиентов
Штрафным санкциям регуляторов
Влиянию на социальную стабильность
| Параметр | I категория (высшая) | II категория (средняя) | III категория (низшая) | Без категории |
|---|---|---|---|---|
| Категория значимости | Первая | Вторая | Третья | Незначимый объект |
| Система безопасности | Полная (все требования ПП №239) | Базовая (основные требования) | Минимальная (базовые требования) | По ГОСТ Р 57580.1-2017 |
| Мониторинг инцидентов | Круглосуточный SOC/SIEM | SOC/SIEM в рабочее время | Журналирование событий | Внутренний мониторинг |
| Периодичность аудита ИБ | Ежегодно | Ежегодно | Раз в 2 года | По необходимости |
| Тестирование на проникновение | 2 раза в год | 1 раз в год | 1 раз в 2 года | По необходимости |
| Обучение персонала | Ежеквартально | Раз в полгода | Ежегодно | По плану организации |
| Резервное копирование | Ежедневно + географическое разнесение | Ежедневно | Еженедельно | По регламенту организации |
| Время восстановления (RTO) | До 4 часов | До 12 часов | До 24 часов | По SLA организации |
| Отчетность в ФСТЭК | В течение 24 часов | В течение 3 дней | В течение 10 дней | Только инциденты ИБ |
| Импортозамещение ПО | До 01.01.2025 | До 01.01.2026 | До 01.01.2027 | Рекомендуется |
| Штрафы за нарушения (макс.) | До 1 млн руб. | До 500 тыс. руб. | До 200 тыс. руб. | Стандартные КоАП |
| Сроки устранения уязвимостей | Критические - 1 день | Критические - 3 дня | Критические - 7 дней | По возможностям |
Системно значимые банки - практически все ключевые системы получают I или II категорию из-за масштаба воздействия на экономику.
Региональные банки с госучастием - категории определяются по реальному влиянию на регион и количеству клиентов.
МФО и МКК - чаще всего получают III категорию или статус незначимого объекта, но обязаны соблюдать минимальный уровень защиты.
Типовые отраслевые перечни (с сентября 2025 года):
Объекты из утвержденных перечней автоматически считаются значимыми
Исключена возможность самостоятельного занижения категорий
Упрощена процедура - не требуется предварительное согласование с ФСТЭК
Импортозамещение программного обеспечения:
С 1 января 2025 года запрещено использование иностранного ПО на значимых объектах КИИ
Обязательность применения решений из Единого реестра российских программ
Новые требования к МФО:
Обязательное соответствие ГОСТ Р 57580.1-2017 с октября 2024 года
Ежегодное тестирование на проникновение
Анализ уязвимостей информационных систем
За нарушение требований КИИ предусмотрены существенные штрафы по статьям 13.12.1 и 19.7.15 КоАП РФ:
Для руководителей и должностных лиц:
От 10 до 50 тысяч рублей за большинство нарушений
За повторные нарушения: от 50 до 100 тысяч рублей
Дисквалификация до 3 лет в особо тяжких случаях
Для юридических лиц:
От 50 до 100 тысяч рублей за нарушения требований безопасности
От 100 до 500 тысяч рублей за нарушения работы с инцидентами
До 1 миллиона рублей за повторные нарушения
При причинении существенного вреда предусмотрено уголовное наказание по статье 274.1 УК РФ:
Штраф до 1 миллиона рублей
Лишение свободы до 10 лет в особо тяжких случаях
Лишение права занимать определенные должности
Взаимосвязанность систем: Банковские информационные системы тесно интегрированы между собой и с внешними сервисами (ЦБ РФ, НСПК, международные платежные системы), что требует комплексного подхода к категорированию.
Высокие требования к непрерывности: RTO для критических процессов не должно превышать 4 часов для системно значимых банков.
Особая роль ЦБ РФ: Центральный банк участвует в процессе категорирования и может устанавливать дополнительные требования.
Упрощенные требования: Для большинства МФО достаточно соблюдения минимального уровня защиты по ГОСТ Р 57580.1-2017.
Фокус на персональных данных: Особое внимание к защите персональных данных заемщиков и скоринговых моделей.
Поэтапное внедрение: Возможность поэтапного внедрения требований с учетом ресурсов организации.
Проведите инвентаризацию всех информационных систем - включая вспомогательные и периферийные системы
Привлеките экономистов для корректного расчета финансового ущерба по критериям ПП №127
Изучите типовые отраслевые перечни - они определяют, какие системы автоматически считаются значимыми
Подготовьте модели угроз с использованием банка данных угроз ФСТЭК (bdu.fstec.ru)
Искусственное разделение систем на мелкие компоненты для снижения категории
Недооценка косвенного ущерба - репутационных и регуляторных рисков
Игнорирование интеграционных связей между системами
Неправильный состав комиссии - отсутствие представителей ключевых подразделений
С 1 января 2025 года на значимых объектах КИИ разрешено использовать только:
Программы из Единого реестра российских программ
Отечественные решения, сертифицированные ФСТЭК
Специализированное банковское ПО российских разработчиков
Планы импортозамещения должны быть разработаны до конца 2024 года
Поэтапный переход в течение 2025-2027 годов в зависимости от категории объекта
Возможность получения исключений для критически важных систем через ФСТЭК
⚠️ Штрафы за нарушения достигают 1 миллиона рублей! Новые требования 2025-2026 годов кардинально изменили подходы к категорированию. Не рискуйте - обратитесь к профессионалам.
✅ Категорирование КИИ "под ключ" - от создания комиссии до получения решения ФСТЭК
✅ Специализация по банкам и МФО - знание отраслевой специфики и требований ЦБ РФ
✅ Разработка планов импортозамещения - переход на отечественное ПО без рисков
✅ Моделирование угроз для финансовых систем - учет специфики банковских процессов
✅ Подготовка к проверкам ФСТЭК - комплексное сопровождение взаимодействия
✅ Консультации по МФО и МКК - соответствие новым требованиям с октября 2024
15+ лет опыта в сфере информационной безопасности финансовых организаций
Аттестованные эксперты ФСТЭК в штате
100+ успешных проектов категорирования для банков и финансовых компаний
Знание банковского регулирования - работаем с требованиями ЦБ РФ
Поддержка 24/7 на всех этапах проекта
☎️ Горячая линия: +7 (800) 70-70-144
E-mail: info@sertifikat.bz
Сайт: sertifikat.bz
Наши эксперты проведут бесплатный аудит вашей организации на соответствие требованиям КИИ:
Что включено в экспресс-оценку:
Анализ статуса вашей организации как субъекта КИИ
Предварительный перечень объектов КИИ
Оценка рисков и размера возможных штрафов
Рекомендации по дальнейшим действиям
Предварительная смета на полное категорирование
⏰ Срок проведения: 3-5 рабочих дней
Стоимость: БЕСПЛАТНО
Результат: Коммерческое предложение с рекомендациями
⚡ Действуйте сейчас! С сентября 2025 года требования к категорированию ужесточились. Штрафы ФСТЭК могут составить до 1 миллиона рублей за каждое выявленное нарушение.
Защитите свой бизнес от штрафов - начните категорирование КИИ уже сегодня!
Статья подготовлена сертифицированными экспертами ФСТЭК на основе актуальных требований российского законодательства. Все суммы штрафов и требования соответствуют нормативным актам по состоянию на октябрь 2025 года.
Медиа
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 15.02.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград