- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Субъекты национальной платежной системы: специфика защиты КИИ и требования ЦБ
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Субъекты национальной платежной системы: специфика защиты КИИ и требования ЦБ
Субъекты национальной платежной системы — от процессинговых центров до финтех-стартапов — оказались на пересечении двух регуляторных контуров: 187-ФЗ о безопасности КИИ и требований Банка России по ГОСТ Р 57580. Разбираем, как выстроить единую систему комплаенса и не утонуть в двойных требованиях.
Национальная платежная система (НПС) — это не только карта «Мир» и Система быстрых платежей. По 161-ФЗ «О национальной платежной системе» в НПС входит более десятка категорий участников, и каждый из них может оказаться субъектом КИИ в соответствии с 187-ФЗ.
Субъекты НПС по 161-ФЗ включают:
Ключевой момент: любой банк в России автоматически является участником НПС. Но далеко не все осознают, что процессинговые компании, платёжные агрегаторы и даже разработчики мобильных платёжных приложений тоже попадают под действие 187-ФЗ как субъекты КИИ в банковской сфере и сфере финансовых рынков.
По нашему опыту сопровождения более 7000 проектов, именно «небанковские» участники НПС — процессинговые центры, операторы электронных кошельков, финтех-стартапы — чаще всего затягивают с категорированием объектов КИИ, считая требования 187-ФЗ «банковской историей». Между тем регулятор придерживается иного мнения.
Субъекты НПС оказываются в уникальной ситуации «двойного регулирования». С одной стороны, на них распространяется 187-ФЗ «О безопасности критической информационной инфраструктуры» и приказы ФСТЭК. С другой — Банк России предъявляет собственный набор требований через положения 683-П, 719-П и стандарт ГОСТ Р 57580.
Разберём, как эти два контура пересекаются:
| Аспект | Контур ФСТЭК (187-ФЗ) | Контур ЦБ (161-ФЗ, положения) |
|---|---|---|
| Регулятор | ФСТЭК России | Банк России |
| Основной закон | 187-ФЗ от 26.07.2017 | 161-ФЗ от 27.06.2011 |
| Объект защиты | Объекты КИИ (ИС, АСУ, сети) | Платёжная инфраструктура, данные клиентов |
| Стандарт | Приказы ФСТЭК № 235, № 239 | ГОСТ Р 57580.1-2017 |
| Категорирование | По ПП РФ № 127 (критерии значимости) | Уровни защиты: минимальный, стандартный, усиленный |
| Контроль | Проверки ФСТЭК, подача сведений | Оценка соответствия по ГОСТ Р 57580.2, отчётность в ЦБ |
| Реагирование на инциденты | ГосСОПКА (НКЦКИ) | ФинЦЕРТ Банка России |
Важно понимать: эти требования не взаимозаменяемы. Выполнение ГОСТ Р 57580 не освобождает от обязанностей по 187-ФЗ, и наоборот. Процессинговый центр обязан одновременно подавать сведения о категорировании во ФСТЭК, обеспечивать взаимодействие с ГосСОПКА и проходить оценку соответствия ГОСТ Р 57580 для Банка России.
Подробнее о специфике категорирования КИИ для банков и финансовых организаций мы разбирали в статье «Категорирование КИИ в банковской сфере».
Для субъектов НПС объекты КИИ — это не абстрактные «информационные системы», а вполне конкретные платформы, обрабатывающие миллионы транзакций ежедневно. Перечислим типовые объекты КИИ платёжных систем:
С принятием Постановления ПП РФ № 1762 появились типовые отраслевые перечни объектов КИИ, которые фактически расширяют круг систем, подлежащих категорированию. Для банковской сферы и НПС такие перечни утверждаются ЦБ по согласованию с ФСТЭК.
Типичная ошибка: многие финтех-компании не включают в перечень объектов КИИ вспомогательные системы — мониторинг, логирование, системы резервного копирования. Между тем ФСТЭК при проверках обращает внимание на полноту перечня и может потребовать дополнить его. Подробнее об ошибках взаимодействия с регулятором читайте в нашем разборе типичных проблем.
Для CISO финтех-компании или процессингового центра ключевой вопрос — какой именно набор требований применим. Ниже — сводная матрица, которую мы составили на основе практики сопровождения финансовых организаций.
| Тип организации | 187-ФЗ (ФСТЭК) | Положение ЦБ | Уровень ГОСТ 57580 | Оценка соответствия |
|---|---|---|---|---|
| Системно значимый банк | Да, категорирование | 683-П | Усиленный | Не реже 1 раза в 2 года |
| Значимый банк на рынке платёжных услуг | Да, категорирование | 683-П | Усиленный | Не реже 1 раза в 2 года |
| Прочие банки | Да, категорирование | 683-П | Стандартный | Не реже 1 раза в 2 года |
| Оператор платёжной системы | Да, категорирование | 719-П | Усиленный / Стандартный | Не реже 1 раза в 2 года |
| Процессинговый центр (операционный центр) | Да, категорирование | 719-П | Стандартный / Усиленный | Не реже 1 раза в 2 года |
| Клиринговый центр | Да, категорирование | 719-П | Усиленный | Не реже 1 раза в 2 года |
| НКО (платёжная) | Да, категорирование | 683-П / 719-П | Стандартный | Не реже 1 раза в 2 года |
| Оператор электронных денежных средств | Да, категорирование | 683-П / 719-П | Стандартный | Не реже 1 раза в 2 года |
| Финтех-компания (поставщик платёжных приложений) | Да, если есть объекты КИИ | 719-П (через договор с ОПС) | Стандартный | По требованию оператора ПС |
ГОСТ Р 57580.1-2017 устанавливает восемь процессов защиты информации: управление доступом, защита сетей, контроль целостности и защита от вредоносного кода, предотвращение утечек данных, управление инцидентами, защита виртуализации, защита при удалённом доступе и управление уязвимостями. Для каждого процесса стандарт определяет базовый состав мер в зависимости от уровня защиты.
Положение 683-П обязывает кредитные организации использовать ПО, сертифицированное по требованиям ФСТЭК или прошедшее оценку соответствия по оценочному уровню доверия ОУД4. Положение 719-П распространяет аналогичные требования на операторов услуг платёжной инфраструктуры и устанавливает порядок контроля Банком России за соблюдением мер защиты при переводах денежных средств.
Для кого эта услуга
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
6 февраля 2026 года Правительство РФ утвердило Постановление № 92, которое закрепило отраслевые особенности категорирования объектов КИИ в банковской и иных сферах финансового рынка. Документ вступил в силу 15 февраля 2026 года.
Что изменилось по сравнению с общими правилами ПП РФ № 127:
На практике ПП № 92 означает, что процессинговые центры системно значимых платёжных систем почти гарантированно получают 1-ю или 2-ю категорию значимости для своих ключевых объектов КИИ. Это влечёт за собой полный набор обязанностей по приказам ФСТЭК № 235 и № 239, включая создание системы безопасности, непрерывное взаимодействие с ГосСОПКА и подачу сведений о доменах и IP-адресах.
ГОСТ Р 57580.1-2017 определяет три уровня защиты информации финансовых организаций. Для субъектов НПС выбор уровня зависит от статуса организации и требований конкретного положения ЦБ.
Обязателен для:
Применяется для:
Допускается для:
Для CISO важно учитывать: уровень защиты по ГОСТ Р 57580 и категория значимости объекта КИИ по 187-ФЗ — это параллельные, но связанные классификации. Объект КИИ 1-й категории в процессинговом центре потребует и усиленного уровня защиты по ГОСТ, и полного комплекса мер по приказу ФСТЭК № 239.
Для финтех-компаний и процессинговых центров, которые ещё не прошли категорирование, приводим пошаговый алгоритм с учётом специфики платёжного сектора. Более подробное общее руководство — в нашей статье «Пошаговое руководство по категорированию КИИ в 2026 году».
За годы работы с финансовыми организациями мы выявили повторяющиеся ошибки, характерные именно для субъектов НПС.
Поставщики платёжных приложений, процессинговые компании и операторы электронных денежных средств зачастую не считают себя субъектами КИИ. Между тем 187-ФЗ говорит о «банковской деятельности и иных сферах финансового рынка». Иные сферы — это, в том числе, платёжная инфраструктура.
Организация выстраивает два параллельных контура защиты — один для ФСТЭК, другой для ЦБ — вместо того чтобы объединить их. Меры из ГОСТ Р 57580 и приказа ФСТЭК № 239 во многом пересекаются: управление доступом, защита от вредоносного кода, реагирование на инциденты. Грамотный подход — единая система ИБ, закрывающая оба набора требований.
Попытка присвоить объектам КИИ минимальную категорию (или вовсе обойтись без категории), чтобы избежать дорогостоящих мер защиты. С принятием ПП № 92 и ужесточением проверок ФСТЭК (более 700 проверок и 1100 нарушений в 2025 году) такая стратегия становится рискованной. Подробности о штрафах — в нашем обзоре санкций за нарушения КИИ.
683-П и 719-П требуют, чтобы ПО, используемое для переводов денежных средств, прошло оценку соответствия по ОУД4 (оценочный уровень доверия) или было сертифицировано ФСТЭК. Многие финтех-компании используют собственное ПО, которое никогда не проходило такую оценку.
Информирование ФинЦЕРТ об инцидентах (требование ЦБ) не заменяет обязанность взаимодействовать с ГосСОПКА (требование 187-ФЗ для значимых объектов КИИ). Нужно выстраивать оба канала.
Представьте: ваша финтех-компания получила уведомление от ФСТЭК о плановой проверке объектов КИИ, а через месяц — запрос ЦБ о результатах оценки соответствия ГОСТ Р 57580. Как не утонуть в двойном комплаенсе? Вот дерево решений:
| Ситуация | Решение | Приоритет |
|---|---|---|
| Категорирование не проведено | Создайте комиссию и сформируйте перечень объектов КИИ. Направьте во ФСТЭК в течение 5 рабочих дней | Критичный |
| Категорирование проведено до ПП № 92 | Пересмотрите результаты с учётом отраслевых критериев. Согласуйте с ЦБ | Высокий |
| Оценка по ГОСТ 57580 не проводилась | Привлеките лицензиата для проведения оценки. Определите уровень защиты | Высокий |
| ПО не прошло ОУД4 | Закажите оценку соответствия ОУД4 у аккредитованной лаборатории или мигрируйте на сертифицированное ПО | Средний |
| Нет подключения к ГосСОПКА | Направьте заявку в НКЦКИ. Для субъектов НПС также наладьте взаимодействие с ФинЦЕРТ | Высокий |
| Используется зарубежное ПО на ЗОКИИ | Разработайте план импортозамещения. С 01.09.2025 — обязанность по 187-ФЗ | Высокий |
Постройте модель угроз, которая учитывает и требования ФСТЭК (приказ № 239), и требования ЦБ (ГОСТ Р 57580). Это позволит избежать дублирования мер и сократить бюджет на ИБ до 30%.
Центр мониторинга (SOC) должен быть интегрирован и с ГосСОПКА (через НКЦКИ), и с ФинЦЕРТ Банка России. Единый SOC — единая точка входа для инцидентов, два канала уведомления.
Совместите оценку соответствия ГОСТ Р 57580.2 с аудитом системы безопасности значимых объектов КИИ. Многие лицензиаты ФСТЭК могут провести обе оценки в рамках одного проекта. О том, как выбрать надёжного подрядчика, мы писали в статье «Как выбрать лицензиата ФСТЭК и ФСБ для КИИ».
Начните с технической документации (перечень объектов КИИ, акт категорирования, политика ИБ) и только потом переходите к организационным мерам. По нашему опыту, попытка сразу разработать «всё и сразу» приводит к затягиванию проекта на 6-12 месяцев. Если хотите узнать, во сколько обходится весь процесс, смотрите «Сколько стоит категорирование КИИ в 2026 году».
Субъекты национальной платежной системы находятся в эпицентре регуляторного давления: одновременно ФСТЭК ужесточает контроль за КИИ, а Банк России повышает планку через ГОСТ Р 57580 и обновлённые положения. Постановление ПП РФ № 92 окончательно закрепило отраслевые особенности категорирования для финансового сектора, а поправки к 187-ФЗ (58-ФЗ и 325-ФЗ) добавили обязанности по импортозамещению и непрерывному взаимодействию с ГосСОПКА.
Для процессинговых центров, финтех-компаний и операторов платёжных систем критически важно выстроить единую систему комплаенса, которая одновременно закрывает требования обоих регуляторов. Откладывать уже нельзя — штрафы растут, проверки участились, а с марта 2026 года вступают в силу новые требования ФСТЭК к подрядчикам КИИ.
Нужна помощь с категорированием объектов КИИ в платёжной системе или оценкой соответствия ГОСТ Р 57580? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и предложат оптимальный план действий.
Да, если организация является субъектом НПС (оператор по переводу, оператор платёжной системы, оператор услуг платёжной инфраструктуры), она автоматически признаётся субъектом КИИ в соответствии с 187-ФЗ. Это означает обязанность провести категорирование объектов КИИ и подать сведения во ФСТЭК, а также выполнять требования ЦБ по информационной безопасности.
За нарушение требований 187-ФЗ предусмотрена уголовная ответственность по ст. 274.1 УК РФ — до 10 лет лишения свободы при наступлении тяжких последствий. Кроме того, ЦБ вправе применить надзорные меры вплоть до отзыва лицензии. С 2025 года также действуют оборотные штрафы за утечку персональных данных.
Процесс категорирования обычно занимает от 3 до 6 месяцев в зависимости от масштаба инфраструктуры. Сюда входит формирование комиссии, инвентаризация информационных систем, оценка по критериям значимости из ПП РФ № 127 и подготовка документов для ФСТЭК. Для крупных банков с разветвлённой платёжной инфраструктурой сроки могут увеличиться до 9 месяцев.
ГОСТ Р 57580 — это стандарт ЦБ, определяющий уровни защиты информации (усиленный, стандартный, минимальный) и конкретные меры для финансовых организаций. Требования ФСТЭК по приказам № 239 и № 235 касаются обеспечения безопасности значимых объектов КИИ. Субъект НПС обязан выполнять оба набора требований одновременно, обеспечивая так называемый «двойной комплаенс».
Если компания является участником национальной платёжной системы — например, оператором услуг информационного обмена или оператором электронных денежных средств — она признаётся субъектом КИИ и обязана пройти категорирование. Подключение к СБП само по себе не создаёт статус субъекта НПС, но если компания уже имеет этот статус по 161-ФЗ, категорирование обязательно.
Стоимость зависит от количества объектов КИИ и присвоенной категории значимости. Для небольшой организации с 2–5 информационными системами без значимой категории бюджет на аудит, категорирование и базовые меры защиты составляет от 1,5 до 4 млн рублей. При наличии значимых объектов КИИ затраты возрастают кратно из-за необходимости внедрения сертифицированных средств защиты.
ЦБ проверяет выполнение отраслевых стандартов (ГОСТ Р 57580, положения 683-П, 719-П) в рамках надзора за финансовыми организациями. ФСТЭК контролирует выполнение требований 187-ФЗ по безопасности КИИ — категорирование, подключение к ГосСОПКА, реализацию мер по приказу № 239. Проверки проводятся независимо друг от друга, поэтому организация должна быть готова к обоим видам контроля одновременно.
Медиа
Была ли полезна вам данная статья?
Так же читайте другие статьи на эту тему
Категорирование КИИ в сфере науки и образования: подпадают ли ВУЗы под 187-ФЗ
Разъясняем правовой статус университетов и научных центров как субъектов КИИ. Методические рекомендации Минобрнауки 2025, типовые объекты, алгоритм категорирования и защита баз данных НИОКР.
КИИ в сфере оборонной промышленности: высший уровень ответственности и секретности
Категорирование и защита объектов КИИ в оборонной промышленности: двойное регулирование гостайны и 187-ФЗ, матрица лицензий ФСБ и ФСТЭК, пошаговый алгоритм для CISO предприятия ОПК.
Как правильно создать и обучить комиссию по категорированию объектов КИИ
Пошаговое руководство по формированию комиссии по категорированию КИИ: кого включать, как распределить роли между ИБ, ИТ и бизнесом, какие документы подготовить и каких ошибок избежать при проверке ФСТЭК.
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Добровольная сертификация, Сетификация ИСО, Сертификация услуг, Категорирование КИИ, Классификация гостиниц, Разработка СМК, ХАССП
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 06.04.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград