Субъекты национальной платежной системы: специфика защиты КИИ и требования ЦБ

Субъекты национальной платежной системы — от процессинговых центров до финтех-стартапов — оказались на пересечении двух регуляторных контуров: 187-ФЗ о безопасности КИИ и требований Банка России по ГОСТ Р 57580. Разбираем, как выстроить единую систему комплаенса и не утонуть в двойных требованиях.

Постановление ПП РФ № 92: отраслевые особенности категорирования

6 февраля 2026 года Правительство РФ утвердило Постановление № 92, которое закрепило отраслевые особенности категорирования объектов КИИ в банковской и иных сферах финансового рынка. Документ вступил в силу 15 февраля 2026 года.

Что изменилось по сравнению с общими правилами ПП РФ № 127:

• Уточнены критерии значимости для финансового сектора — при оценке экономического критерия учитывается объём переводов денежных средств, а не только общая выручка субъекта.
• Введены отраслевые показатели — количество обслуживаемых клиентов, объём операций через платёжную инфраструктуру, наличие статуса системно значимой или социально значимой платёжной системы.
• Установлена координация с ЦБ — Банк России участвует в согласовании результатов категорирования объектов КИИ финансовых организаций.
• Определены сроки перекатегорирования — организации, уже прошедшие категорирование по общим правилам, должны пересмотреть результаты с учётом отраслевых особенностей.

На практике ПП № 92 означает, что процессинговые центры системно значимых платёжных систем почти гарантированно получают 1-ю или 2-ю категорию значимости для своих ключевых объектов КИИ. Это влечёт за собой полный набор обязанностей по приказам ФСТЭК № 235 и № 239, включая создание системы безопасности, непрерывное взаимодействие с ГосСОПКА и подачу сведений о доменах и IP-адресах.

Уровни защиты информации: кому какой положен

ГОСТ Р 57580.1-2017 определяет три уровня защиты информации финансовых организаций. Для субъектов НПС выбор уровня зависит от статуса организации и требований конкретного положения ЦБ.

Усиленный уровень защиты

Обязателен для:

• системно значимых кредитных организаций;
• кредитных организаций, выполняющих функции оператора услуг платёжной инфраструктуры системно значимых ПС;
• кредитных организаций, значимых на рынке платёжных услуг;
• центрального контрагента и центрального депозитария.

Стандартный уровень защиты

Применяется для:

• остальных кредитных организаций;
• небанковских кредитных организаций, осуществляющих переводы;
• операторов услуг платёжной инфраструктуры (не входящих в усиленный);
• крупных некредитных финансовых организаций.

Минимальный уровень защиты

Допускается для:

• микрофинансовых организаций;
• небольших НФО, не осуществляющих переводы;
• ряда участников НПС с ограниченным объёмом операций.

Для CISO важно учитывать: уровень защиты по ГОСТ Р 57580 и категория значимости объекта КИИ по 187-ФЗ — это параллельные, но связанные классификации. Объект КИИ 1-й категории в процессинговом центре потребует и усиленного уровня защиты по ГОСТ, и полного комплекса мер по приказу ФСТЭК № 239.

Пошаговый алгоритм: от определения субъекта НПС до подачи сведений во ФСТЭК

Для финтех-компаний и процессинговых центров, которые ещё не прошли категорирование, приводим пошаговый алгоритм с учётом специфики платёжного сектора. Более подробное общее руководство — в нашей статье «Пошаговое руководство по категорированию КИИ в 2026 году».

1. Определите статус в НПС. Проверьте, относится ли организация к субъектам НПС по 161-ФЗ (оператор, участник, поставщик услуг). Если да — вы субъект КИИ в сфере «банковская деятельность и иные сферы финансового рынка».
2. Издайте приказ о создании комиссии по категорированию. Включите в состав: CISO, руководителя ИТ, юриста, ответственного за взаимодействие с ЦБ. Для субъектов НПС обязательно привлечение специалиста по комплаенсу ЦБ.
3. Сформируйте перечень объектов КИИ. Проведите инвентаризацию ИС, АСУ и сетей электросвязи. Для НПС не забудьте: процессинг, антифрод, ДБО, платёжный шлюз, HSM, СПФС-каналы. Направьте перечень во ФСТЭК в течение 5 рабочих дней после утверждения.
4. Проведите категорирование. Оцените каждый объект по критериям значимости ПП № 127 с учётом отраслевых особенностей ПП № 92. Обратите внимание на экономический критерий — для платёжных систем он рассчитывается по объёму переводов.
5. Согласуйте с ЦБ. Результаты категорирования направляются в Банк России для согласования (требование ПП № 92).
6. Подайте сведения во ФСТЭК. Направьте акт категорирования и сведения об объектах КИИ по установленной форме в 10-дневный срок.
7. Определите уровень защиты по ГОСТ Р 57580. Параллельно с категорированием определите, какой уровень защиты (минимальный / стандартный / усиленный) требуется вашей организации по положениям ЦБ.
8. Разработайте план мероприятий. Объедините требования ФСТЭК (приказы № 235, № 239) и Банка России (ГОСТ Р 57580, соответствующее положение) в единую дорожную карту.
9. Обеспечьте подключение к ГосСОПКА и ФинЦЕРТ. Для значимых объектов КИИ — непрерывное взаимодействие с НКЦКИ. Для всех участников НПС — информирование ФинЦЕРТ Банка России об инцидентах.

Типичные ошибки финтех-компаний при работе с КИИ

За годы работы с финансовыми организациями мы выявили повторяющиеся ошибки, характерные именно для субъектов НПС.

Ошибка 1: «Мы не банк — нас КИИ не касается»

Поставщики платёжных приложений, процессинговые компании и операторы электронных денежных средств зачастую не считают себя субъектами КИИ. Между тем 187-ФЗ говорит о «банковской деятельности и иных сферах финансового рынка». Иные сферы — это, в том числе, платёжная инфраструктура.

Ошибка 2: дублирование вместо синергии

Организация выстраивает два параллельных контура защиты — один для ФСТЭК, другой для ЦБ — вместо того чтобы объединить их. Меры из ГОСТ Р 57580 и приказа ФСТЭК № 239 во многом пересекаются: управление доступом, защита от вредоносного кода, реагирование на инциденты. Грамотный подход — единая система ИБ, закрывающая оба набора требований.

Ошибка 3: занижение категории для экономии

Попытка присвоить объектам КИИ минимальную категорию (или вовсе обойтись без категории), чтобы избежать дорогостоящих мер защиты. С принятием ПП № 92 и ужесточением проверок ФСТЭК (более 700 проверок и 1100 нарушений в 2025 году) такая стратегия становится рискованной. Подробности о штрафах — в нашем обзоре санкций за нарушения КИИ.

Ошибка 4: забыли про ОУД4

683-П и 719-П требуют, чтобы ПО, используемое для переводов денежных средств, прошло оценку соответствия по ОУД4 (оценочный уровень доверия) или было сертифицировано ФСТЭК. Многие финтех-компании используют собственное ПО, которое никогда не проходило такую оценку.

Ошибка 5: ГосСОПКА и ФинЦЕРТ — не одно и то же

Информирование ФинЦЕРТ об инцидентах (требование ЦБ) не заменяет обязанность взаимодействовать с ГосСОПКА (требование 187-ФЗ для значимых объектов КИИ). Нужно выстраивать оба канала.

Практические рекомендации CISO: как выстроить комплаенс

Представьте: ваша финтех-компания получила уведомление от ФСТЭК о плановой проверке объектов КИИ, а через месяц — запрос ЦБ о результатах оценки соответствия ГОСТ Р 57580. Как не утонуть в двойном комплаенсе? Вот дерево решений:

Рекомендация 1: единая модель угроз

Постройте модель угроз, которая учитывает и требования ФСТЭК (приказ № 239), и требования ЦБ (ГОСТ Р 57580). Это позволит избежать дублирования мер и сократить бюджет на ИБ до 30%.

Рекомендация 2: SOC с двойной интеграцией

Центр мониторинга (SOC) должен быть интегрирован и с ГосСОПКА (через НКЦКИ), и с ФинЦЕРТ Банка России. Единый SOC — единая точка входа для инцидентов, два канала уведомления.

Рекомендация 3: аудит «два в одном»

Совместите оценку соответствия ГОСТ Р 57580.2 с аудитом системы безопасности значимых объектов КИИ. Многие лицензиаты ФСТЭК могут провести обе оценки в рамках одного проекта. О том, как выбрать надёжного подрядчика, мы писали в статье «Как выбрать лицензиата ФСТЭК и ФСБ для КИИ».

Рекомендация 4: документация «снизу вверх»

Начните с технической документации (перечень объектов КИИ, акт категорирования, политика ИБ) и только потом переходите к организационным мерам. По нашему опыту, попытка сразу разработать «всё и сразу» приводит к затягиванию проекта на 6-12 месяцев. Если хотите узнать, во сколько обходится весь процесс, смотрите «Сколько стоит категорирование КИИ в 2026 году».

Итог

Субъекты национальной платежной системы находятся в эпицентре регуляторного давления: одновременно ФСТЭК ужесточает контроль за КИИ, а Банк России повышает планку через ГОСТ Р 57580 и обновлённые положения. Постановление ПП РФ № 92 окончательно закрепило отраслевые особенности категорирования для финансового сектора, а поправки к 187-ФЗ (58-ФЗ и 325-ФЗ) добавили обязанности по импортозамещению и непрерывному взаимодействию с ГосСОПКА.

Для процессинговых центров, финтех-компаний и операторов платёжных систем критически важно выстроить единую систему комплаенса, которая одновременно закрывает требования обоих регуляторов. Откладывать уже нельзя — штрафы растут, проверки участились, а с марта 2026 года вступают в силу новые требования ФСТЭК к подрядчикам КИИ.

Нужна помощь с категорированием объектов КИИ в платёжной системе или оценкой соответствия ГОСТ Р 57580? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и предложат оптимальный план действий.