ISO 27001 для банков и финансовых организаций: СУИБ и требования регуляторов

Банки, страховые компании, микрофинансовые организации, платёжные системы и инвестиционные компании являются наиболее привлекательными целями для кибератак и внутренних нарушений информационной безопасности: они хранят персональные данные миллионов клиентов, управляют финансовыми потоками и критической платёжной инфраструктурой. По данным Банка России, в 2025 году объём хищений со счетов физических лиц с использованием методов социальной инженерии и кибератак превысил ₽14 млрд — и это только по зарегистрированным инцидентам. В этом контексте ISO 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Системы управления информационной безопасностью» становится не просто конкурентным преимуществом, но системообразующим инструментом выполнения требований регуляторов. Банк России последовательно ужесточает требования к обеспечению информационной безопасности финансовых организаций: ГОСТ Р ИСО/МЭК 27001:2021 (национальный аналог ISO 27001), Положение ЦБ РФ № 719-П (операционная надёжность и защита информации), Положение № 757-П (управление операционными рисками), требования 161-ФЗ «О национальной платёжной системе» и 187-ФЗ «О безопасности критической информационной инфраструктуры». При этом СУИБ по ISO 27001, внедрённая добровольно, создаёт именно ту систему управления информационными активами, рисками и инцидентами, которая закрывает большинство указанных регуляторных требований одновременно — без дублирования усилий.

🔐
ISO 27001:2022
обновлён в 2022 году; ГОСТ Р ИСО/МЭК 27001:2021 — российский эквивалент; 93 меры Annex A в новой редакции (vs 114 в версии 2013)
🏛️
ЦБ РФ / 719-П
Положение Банка России № 719-П об операционной надёжности; требования 757-П; 382-П; СУИБ ISO 27001 закрывает большинство требований
🎯
Annex A
93 контроля ИБ в новом Annex A ISO 27001:2022; для финансов критичны: A.5 (политики), A.8 (технологические), A.6 (персонал)
⏱️
9–18 месяцев
типичный срок внедрения СУИБ ISO 27001 в банке; зависит от размера, зрелости ИБ-практик и глубины Заявления о применимости

Регуляторный стек ИБ для финансовых организаций России

🏛️
Банк России — основной регулятор
Нормативные акты ЦБ РФ
  • 719-П — операционная надёжность: требования к процессам управления ИТ и ИБ, непрерывность бизнеса, управление инцидентами
  • 757-П — управление операционными рисками, включая риски ИБ и ИТ-риски; принципы идентификации и оценки
  • 382-П — защита информации при осуществлении переводов денежных средств; требования к криптозащите, аутентификации
  • Положение о системе управления рисками 716-П; ГОСТ Р ИСО/МЭК 27001:2021 как рекомендуемая основа СУИБ
  • Отчётность об инцидентах ИБ: 483-П (уведомление ФинЦЕРТ в течение 3 часов при инцидентах I–II уровня)
🔒
Федеральное законодательство
Законы и регуляторы КИИ / ПДн
  • 187-ФЗ «О безопасности КИИ» — банки входят в реестр субъектов КИИ; требования по значимым объектам КИИ и взаимодействию с ГосСОПКА
  • 161-ФЗ «О НПС» — операторы платёжных систем; требования к защите информации при переводах; выполняется приказами ФСТЭК/ФСБ
  • 152-ФЗ «О персональных данных» — банки обрабатывают ПДн миллионов клиентов; обязательная защита по Приказам ФСТЭК № 21, 17
  • Требования ФСТЭК России: аттестация объектов КИИ; выполнение мер Приказа ФСТЭК № 235 по ГосСОПКА-интеграции
🌐
Международные стандарты и отраслевые
PCI DSS / Swift CSP / ISO 27001
  • PCI DSS v4.0 — обязателен для банков, обрабатывающих карточные данные Visa/Mastercard/МИР; 12 доменов требований
  • Swift Customer Security Programme (CSP) — обязателен для банков — участников Swift; ежегодная аттестация по CSCF фреймворку
  • ISO 27001:2022 / ГОСТ Р ИСО/МЭК 27001:2021 — рекомендуется ЦБ РФ как основа СУИБ; сертификат признаётся при аудитах регулятора
  • ГОСТ Р 57580.1-2017 (ЦБ РФ) — отраслевой стандарт защиты информации финансовых организаций; 8 процессов ЗИ
ГОСТ Р 57580.1-2017 ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций» — отраслевой стандарт ЦБ РФ, разработанный специально для финансовых организаций России. Стандарт определяет 8 процессов защиты информации (контроль привилегированного доступа, защита информационной инфраструктуры, управление инцидентами и другие) и устанавливает три уровня соответствия (1, 2, 3). ISO 27001 и ГОСТ Р 57580.1 имеют значительное пересечение: более 70% требований ГОСТ Р 57580.1 закрываются мерами Annex A ISO 27001
ФинЦЕРТ Банка России ФинЦЕРТ (Финансовый CERT Банка России) — центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Банки обязаны: подключиться к автоматизированной системе обработки инцидентов ФинЦЕРТ; уведомлять ФинЦЕРТ об инцидентах ИБ в течение 3 часов (I–II уровень) и 24 часов (III уровень); участвовать в обмене индикаторами компрометации. СУИБ ISO 27001 §6.1.1 и Annex A.5.25 (реагирование на инциденты ИБ) создают процессную основу для выполнения этих требований
ISO 27001:2022 vs 2013 ISO 27001:2022 (принят октябрь 2022 года) содержит 93 меры в Annex A вместо 114 в версии 2013. Новые категории: 4 темы (A.5 Организационные — 37 мер; A.6 Люди — 8; A.7 Физические — 14; A.8 Технологические — 34). Новые меры особенно важны для банков: A.5.7 Threat Intelligence, A.5.23 ИБ при использовании облачных сервисов, A.5.30 Готовность ИКТ к непрерывности бизнеса, A.8.11 Маскирование данных, A.8.16 Мониторинг активности
Заявление о применимости Statement of Applicability (SoA) — ключевой документ СУИБ ISO 27001, в котором организация для каждой из 93 мер Annex A указывает: применима или не применима; обоснование исключения; статус реализации. Для банка практически все 93 меры применимы — SoA становится объёмным документом (50–150 страниц). Регулятор (ЦБ РФ) при аудите вправе запросить SoA как доказательство системного подхода к ИБ

Ключевые угрозы ИБ для финансовых организаций

🎣
Фишинг и социальная инженерия
Компрометация учётных данных сотрудников через фишинг
Annex A.6 + A.8.9
🦠
Программы-вымогатели (Ransomware)
Шифрование данных с требованием выкупа
A.8.7 + A.8.13
👤
Инсайдерские угрозы
Кража данных или мошенничество сотрудниками
A.6.3 + A.5.18
🔗
Атаки через цепочку поставок
Компрометация через IT-поставщиков и партнёров
A.5.19 + A.5.21
💳
Мошенничество с платёжными данными
Кража карточных данных, скимминг, Card-Not-Present
A.8.11 + PCI DSS
☁️
Уязвимости облачной инфраструктуры
Неправильная конфигурация облачных сервисов
A.5.23 новый
📱
Атаки на мобильный банкинг
Man-in-the-App, вредоносные приложения
A.8.1 + A.8.25
🔓
SQL-инъекции и API-атаки
Атаки на АБС и API Open Banking
A.8.25 + A.8.28

Архитектура СУИБ банка: от ISO 27001 до регуляторной отчётности

Архитектура СУИБ банка: ISO 27001 → регуляторное соответствие 🔐 СУИБ ISO 27001 Реестр активов → Оценка рисков SoA → Меры Annex A → Мониторинг 🏛️ ЦБ РФ Регуляторы 719-П / 757-П / 382-П 57580.1 / 187-ФЗ СУИБ закрывает ✅ Результаты Сертификат ISO 27001 Отчёт рег. аудита подтверждает 💳 PCI DSS / Swift CSP ISO 27001 → база для PCI DSS аудита 60–70% контролей пересекаются 🛡️ ГосСОПКА / КИИ СУИБ → процессы реагирования на инциденты в ФинЦЕРТ / НКЦКИ 📊 ПДн / 152-ФЗ / GDPR ISO 27001 + ISO 27701 (PIMS) расширение для ПДн защиты

Маппинг ISO 27001:2022 на требования регуляторов

Требование / область ISO 27001:2022 раздел ЦБ РФ 719-П / 57580.1 PCI DSS v4.0 187-ФЗ КИИ
Управление рисками ИБ § 6.1.2 719-П п.3; 57580.1 процесс 1 PCI DSS req. 12.3 ФСТЭК № 235 п.18
Реестр информационных активов A.5.9 57580.1 процесс 2 PCI DSS req. 9.4 перечень объектов КИИ
Управление доступом A.5.15–A.5.18 57580.1 процесс 3; 382-П PCI DSS req. 7, 8 ФСТЭК мера УПД
Шифрование данных A.8.24 382-П (криптозащита); ФСБ лицензия PCI DSS req. 3, 4 ~ при хранении на объектах КИИ
Управление инцидентами ИБ A.5.24–A.5.28 483-П (уведомление ФинЦЕРТ 3 ч) PCI DSS req. 12.10 ГосСОПКА уведомление
Непрерывность бизнеса / BCP A.5.29–A.5.30 719-П операционная надёжность (RTO/RPO) ~ PCI DSS req. 12.3.4 требования к категориям объектов КИИ
Безопасность поставщиков / третьих сторон A.5.19–A.5.22 719-П управление IT-аутсорсингом PCI DSS req. 12.8 ~ при доступе к объектам КИИ
Мониторинг и логирование A.8.15–A.8.16 57580.1 процесс 8; хранение 3 года PCI DSS req. 10 требование НКЦКИ
Threat Intelligence (новое в 2022) A.5.7 — новый ФинЦЕРТ feed индикаторов ~ implied req. 6.3 ГосСОПКА обмен

Приоритетные меры Annex A ISO 27001:2022 для банков

⭐ Приоритетные меры для финансовых организаций
A.5.7 Threat Intelligence (новый): сбор и анализ угроз ИБ; подписка на ФинЦЕРТ-фид; IOC-анализ; тиражирование индикаторов в SIEM
A.5.15–A.5.18 Управление доступом: MFA для всех привилегированных пользователей; PAM (Privileged Access Management); ролевая модель доступа к АБС; ежеквартальный пересмотр прав
A.5.23 ИБ облачных сервисов (новый): оценка ИБ облачных провайдеров; Shared Responsibility Matrix; требования к шифрованию в облаке; выход и переносимость данных
A.5.24–A.5.28 Управление инцидентами: SOAR/SIEM интеграция; SLA реагирования по уровням инцидентов; уведомление ФинЦЕРТ в 3 часа; проверочные «красные команды» (Red Team)
A.5.29–A.5.30 Непрерывность и ИКТ-готовность: RTO/RPO для критических систем согласно 719-П; BCP-тесты (учения); резервные ЦОД; сценарии восстановления при ransomware
A.8.11 Маскирование данных (новый): токенизация карточных данных; псевдонимизация ПДн в тестовых средах; динамическое маскирование в хранилищах данных
🛡️ Технические меры — обязательные для банков
A.8.15–A.8.16 Логирование и мониторинг: SIEM с хранением логов ≥3 лет; корреляция событий АБС + AD + сетевого оборудования; SOC (Security Operations Center) 24/7
A.8.7 Защита от вредоносного ПО: EDR на всех конечных точках; изолированные сети АБС; контроль USB-носителей; песочница для анализа вложений
A.8.24 Криптография: ГОСТ Р 34.12-2015 (Кузнечик) для хранения данных клиентов; TLS 1.2+ с российскими СКЗИ для каналов связи; аттестованные СКЗИ при КИИ
A.8.25–A.8.29 Безопасная разработка: SAST/DAST в CI/CD pipeline; пентест перед релизами интернет-банка; API-шлюз с rate limiting; OWASP Top 10 проверки
A.8.1 Устройства конечных пользователей: MDM для мобильных устройств; full disk encryption на ноутбуках; удалённое уничтожение данных; запрет shadow IT
A.6.3 Осведомлённость ИБ (обновлённый): ежегодное обязательное обучение всего персонала; фишинговые симуляции ежеквартально; инструктаж при найме и изменении должности

Пошаговое внедрение СУИБ ISO 27001 в банке

1
Scoping и контекст организации (§4)
Определить область действия СУИБ: какие системы (АБС, ДБО, процессинг, ядро), подразделения и площадки включены; составить реестр заинтересованных сторон (ЦБ РФ, ФСТЭК, аудиторы, клиенты, совет директоров); анализ требований всех применимых регуляторов (ЦБ, ФСТЭК, ФСБ, Роскомнадзор). Scoping — наиболее критическое решение, определяющее объём и стоимость всего проекта
2–4 нед.
2
Инвентаризация активов и оценка рисков ИБ (§6.1.2)
Разработать реестр информационных активов (системы, данные, инфраструктура, персонал) с классификацией конфиденциальности; провести оценку рисков ИБ по методологии (ISO 27005 или FAIR); определить владельцев активов; приоритизировать риски для финансовых систем; разработать план обработки рисков. Реестр активов банка — 200–1000+ позиций
4–8 нед.
3
Разработка SoA и выбор мер Annex A
Statement of Applicability: для каждой из 93 мер Annex A — применима/не применима с обоснованием; статус реализации; ссылка на реализующий документ или систему. Для банка: практически все 93 меры применимы; особое внимание новым мерам 2022 года (A.5.7, A.5.23, A.5.30, A.8.11, A.8.16, A.8.23). SoA — публичный документ для регуляторов и аудиторов
3–6 нед.
4
Внедрение технических и организационных мер
Реализация выбранных мер Annex A: организационные (политики, процедуры, обучение, управление инцидентами); технические (SIEM, EDR, PAM, MFA, шифрование, DLP, Threat Intelligence feed). Приоритет: критические риски из Плана обработки рисков. Параллельная разработка политики ИБ, процедуры управления инцидентами, BCP/DR планов. Срок: 3–8 месяцев
3–8 мес.
5
Внутренний аудит СУИБ + анализ со стороны руководства
Внутренний аудит всех разделов ISO 27001 и всех применимых мер Annex A; технические тесты — пентест, фишинг-симуляция, BCP-учения; анализ со стороны руководства: Совет директоров / Комитет по рискам — отчёт о состоянии ИБ, метрики, инциденты, риски; протокол с решениями. Аудит банка: 2–4 недели с привлечением специализированной команды
2–4 нед.
6
Сертификационный аудит Stage 1 + Stage 2
Stage 1: документарная проверка — СУИБ-документация, SoA, реестр активов, оценка рисков, план обработки рисков, метрики. Stage 2: аудит соответствия — проверка реализации мер Annex A; тестирование процессов управления инцидентами; проверка логов SIEM; интервью с CISO, CIO, руководством бизнес-подразделений. Сертификат ISO 27001 на 3 года
3–5 дней

Временная шкала проекта СУИБ для банка

Мес. 1–2
Scoping + реестр активов + оценка рисков
Мес. 2–4
SoA + Policy + процедуры + обучение
Мес. 4–10
Техн. меры (SIEM/EDR/PAM/MFA/шифрование)
Мес. 10–13
Внутр. аудит + пентест + анализ руководства
Мес. 13–18
Stage 1 + Stage 2 → Сертификат ISO 27001 ✓

* Небольшой банк / МФО / страховщик (до 200 чел., зрелая ИБ-практика): 9–12 месяцев. Средний банк (200–1000 чел.): 12–18 месяцев. Крупный банк с несколькими площадками: 18–24 месяца. При наличии ГОСТ Р 57580.1 — срок сокращается на 2–4 месяца

Стоимость внедрения и сертификации ISO 27001 для финансовых организаций

Консалтинг и разработка СУИБ (малый банк)
₽800 000–2 500 000
Консалтинг (средний банк, 200–1000 чел.)
₽2 500 000–8 000 000
Технические меры (SIEM, EDR, PAM, MFA)
₽3 000 000–15 000 000+
Сертификационный аудит (малый банк)
₽300 000–700 000
Сертификационный аудит (средний банк)
₽700 000–2 000 000
Надзорный аудит (ежегодно)
₽200 000–600 000/год
Пентест (ежегодный, средний банк)
₽500 000–2 000 000/год
Итого 1-й год (средний банк, «под ключ»)
₽8 000 000–25 000 000+

⚠ Пять критических ошибок при внедрении ISO 27001 в банке

Первая — слишком широкий scoping с включением всех систем сразу: попытка охватить весь банк в первой версии СУИБ приводит к перегрузке проекта и задержкам. Оптимальная стратегия: начать с критических систем (АБС, ДБО, процессинг), получить сертификат, расширить scoping при ресертификации. Вторая — формальный SoA без реального внедрения мер: Statement of Applicability отмечает меры как «реализованные», но фактически они выполнены только на бумаге. Аудитор Stage 2 тестирует реализацию технически — запрашивает логи SIEM, демонстрацию PAM, политику управления доступом в АБС. Несоответствие между SoA и реальностью — гарантированное Major Nonconformity. Третья — отсутствие реального управления инцидентами ИБ: процедура написана, но не тестировалась; персонал не знает своих ролей; нет интеграции с SIEM; уведомление ФинЦЕРТ не отрабатывалось ни разу. При Stage 2 аудитор просит показать последние 3–5 записей об инцидентах с доказательствами прохождения процедуры. Четвёртая — игнорирование цепочки поставок (A.5.19–A.5.22): банк внедряет меры ИБ для себя, но не оценивает ИБ-уровень IT-поставщиков (разработчиков АБС, облачных провайдеров, аутсорс-разработчиков). Большинство крупных инцидентов в банках происходят именно через скомпрометированных поставщиков. Пятая — обучение ИБ только для ИБ-департамента: §7.2 и A.6.3 требуют осведомлённости ВСЕГО персонала, включая бэк-офис, бухгалтерию, фронт-офис. Аудитор проводит интервью с рядовыми сотрудниками — незнание базовых правил ИБ (парольная политика, фишинг) = несоответствие.

Реестр Гарант — внедрение и сертификация ISO 27001 для банков и финансовых организаций

📞 Телефон / WhatsApp / Telegram: 89005746601

📧 Email: reestrgarant@mail.ru

Специализируемся на внедрении СУИБ ISO 27001 / ГОСТ Р ИСО/МЭК 27001 для банков, МФО, страховщиков и платёжных систем: определение оптимального scoping с учётом требований ЦБ РФ (719-П, 57580.1), инвентаризация информационных активов и оценка рисков ИБ по методологии ISO 27005, разработка SoA с маппингом всех 93 мер Annex A ISO 27001:2022 на требования регуляторов, разработка пакета политик и процедур СУИБ (Политика ИБ, процедура управления инцидентами, BCP/DR, управление доступом), подбор и помощь в архитектуре технических мер (SIEM, EDR, PAM, MFA, шифрование), организация пентестов и фишинг-симуляций как элемента СУИБ, подготовка персонала — от топ-менеджмента до операционистов, сопровождение Stage 1 и Stage 2 сертификационного аудита.