Финансовый сектор является главной мишенью для киберпреступников, инсайдеров и APT-группировок. Утечка базы данных клиентов или простой процессингового центра стоят банкам миллионов долларов прямых убытков и отзыва лицензии. Для построения непробиваемого щита вокруг финансовых активов международные и национальные регуляторы (включая Центробанки) требуют внедрения Системы управления информационной безопасностью (СУИБ) на базе стандарта ISO/IEC 27001:2022.

Архитектура СУИБ в финансовом секторе

Стандарт ISO 27001 — это не инструкция по настройке межсетевого экрана (firewall) или антивируса. Это управленческий (менеджмент) стандарт. Он заставляет Совет Директоров банка интегрировать информационную безопасность в ДНК компании.

  • Анализ контекста и рисков: Банк должен выявить все информационные активы (серверы, БД, ноутбуки сотрудников, бумажные досье). Затем проводится оценка рисков (по методологии ISO 27005): что будет, если сотрудник потеряет флешку с данными клиентов?
  • Заявление о применимости (SoA): На основе рисков банк выбирает меры защиты (контроли) из Приложения A к стандарту (в версии 2022 года их 93). Если банк не использует облака, он исключает контроль 5.23 (Облачная безопасность), но обязан обосновать это.
  • Матрица доступов (Need-to-Know): Рядовой операционист не должен иметь доступа к базе данных VIP-клиентов или SWIFT-терминалу. Внедряется строгий контроль прав (Role-Based Access Control).
  • Инцидент-менеджмент: Если хакеры провели DDoS-атаку, СУИБ диктует, кто конкретно в банке нажимает "красную кнопку", как быстро оповещаются клиенты и регуляторы, и как извлекаются логи для форензики.

ISO 27001 как база для выполнения Регламентов DORA и NIS2

Если финтех-компания, банк или криптобиржа обслуживает клиентов из Евросоюза, с 17 января 2025 года она попадает под действие акта DORA (Digital Operational Resilience Act), а также директивы NIS2. DORA не устанавливает единый фиксированный процент штрафа для самих финансовых организаций — конкретные санкции определяет национальное законодательство каждой страны ЕС (потолки существенно различаются, от 5% годового оборота в Испании до 10% в Швеции, встречаются и фиксированные потолки в диапазоне €1-20 млн). Отдельно, фиксированный штраф в размере до 1% от среднего дневного мирового оборота (периодически, до 6 месяцев) применяется Европейскими надзорными органами (ESAs) — но только к критическим поставщикам ИКТ-услуг (Critical ICT Third-Party Providers), а не напрямую к банкам.

ISO 27001 является "золотым ключом" для прохождения комплаенса по этим суровым европейским законам. Рассмотрим пересечения:

Требование европейского Регулятора Как это закрывается стандартом ISO 27001:2022
Управление рисками ИКТ (DORA, Глава II) Полностью соответствует Разделу 6 (Оценка рисков ИБ) стандарта ISO 27001. Матрица рисков и план обработки рисков удовлетворяют аудиторов DORA.
Риски третьих сторон (DORA, Глава V) Европа жестко требует контролировать IT-подрядчиков банка. В ISO 27001 для этого есть контроль A.5.19 (Информационная безопасность во взаимоотношениях с поставщиками), требующий аудита вендоров.
Отчетность об инцидентах (NIS2) Директива NIS2 (статья 23) устанавливает трёхступенчатую отчётность: первичное предупреждение (early warning) в течение 24 часов с момента обнаружения значимого инцидента, развёрнутое уведомление (incident notification) в течение 72 часов, и финальный отчёт не позднее месяца после уведомления. Контроли A.5.24 – A.5.30 (Управление инцидентами и готовность ИКТ к непрерывности бизнеса) регламентируют порядок реакции и оповещения, что страхует банк от юридических штрафов.

Специфика внедрения СУИБ в финтехе

Интеграция с PCI DSS и ГОСТ Р 57580

Стандарты не противоречат, а дополняют друг друга. ISO 27001 дает управленческую оболочку (PDCA-цикл, внутренний аудит), а стандарт PCI DSS (для карт) или ГОСТ Р 57580 (требования ЦБ РФ) дают четкие технические настройки: длину пароля, параметры криптографии, правила межсетевого экранирования.

Управление персоналом (Инсайдеры)

По данным ежегодного отчёта Verizon Data Breach Investigations Report (DBIR), большинство инцидентов в финансовом секторе связаны с внешними злоумышленниками (system intrusion, social engineering, веб-атаки) — доля внешних акторов в последних отчётах превышает 65-78%, но и доля внутренних факторов (ошибки персонала, злоупотребление доступом) остаётся значимой и недооценённой рисками менеджмента. ISO 27001 (контроли A.6.1 - A.6.8) требует жесткого скрининга кандидатов при найме, подписание NDA, использование DLP-систем (Data Loss Prevention) и обязательный отзыв всех доступов в кратчайший срок после увольнения сотрудника.

Непрерывность бизнеса (Business Continuity)

СУИБ тесно интегрируется с ISO 22301. Серверы банка должны быть зарезервированы (горячий или холодный резерв). ISO 27001 требует наличия "Готовности ИКТ к обеспечению непрерывности бизнеса" (Контроль A.5.30).

Проблемы при сертификации (Кейсы)

Мнимый Scope (Область применения). Финтех-стартап хотел сэкономить на сертификации и заявил в Scope СУИБ только "Офис разработки", исключив дата-центр с реальными данными клиентов. Аудитор TUV отклонил Заявку на сертификацию: искусственное обрезание Области применения, исключающее основные бизнес-процессы (хранение денег/данных), запрещено правилами международной аккредитации (IAF MD).

Отсутствие инвентаризации активов. Брокерская компания не имела актуального списка серверов (Asset Inventory) и конфигураций. Когда случился сбой, IT-отдел сутки выяснял, на каком виртуальном сервере лежал бэкап. В ходе аудита BSI выставило за это "Значительное несоответствие" (Major Conformity) по пункту A.5.9.

Вопросы и ответы

Заменяет ли ISO 27001 требования DORA и NIS2 полностью?

Нет, но существенно облегчает их выполнение. ISO 27001 даёт управленческую основу (риск-менеджмент, инцидент-менеджмент, аудит поставщиков), которая закрывает большую часть требований DORA/NIS2 по существу, но обе регуляции добавляют специфичные для финансового сектора и критической инфраструктуры требования (тестирование операционной устойчивости TLPT по DORA, конкретные сроки уведомлений по NIS2), которые нужно внедрять и подтверждать отдельно, поверх сертификата ISO 27001.

Какие штрафы грозят банку за несоблюдение DORA?

Единого фиксированного процента от оборота для банков в самом DORA нет — конкретные санкции устанавливает национальное законодательство каждой страны ЕС, и потолки штрафов существенно различаются между странами (от 5% годового оборота в одних юрисдикциях до 10% в других, плюс фиксированные потолки в диапазоне нескольких миллионов евро). Отдельная фиксированная санкция (до 1% среднего дневного мирового оборота) применяется Европейскими надзорными органами (ESAs), но только к критическим поставщикам ИКТ-услуг, не к самим банкам напрямую.

Сколько времени есть на уведомление регулятора об инциденте по NIS2?

Отчётность трёхступенчатая: первичное предупреждение (early warning) — в течение 24 часов с момента обнаружения значимого инцидента; развёрнутое уведомление с первичной оценкой тяжести — в течение 72 часов; финальный отчёт — не позднее месяца после подачи уведомления (при затяжном инциденте — с промежуточным отчётом).

Нужно ли исключать облачные сервисы из области сертификации, если банк ими не пользуется?

Да, но это нужно явно обосновать в Заявлении о применимости (SoA), а не просто умолчать. Если контроль A.5.23 (облачная безопасность) неприменим, банк указывает это с объяснением причины — полное исключение значимых бизнес-процессов из области сертификации без обоснования (например, искусственное сужение Scope до "офиса разработки" при исключении реального дата-центра с данными клиентов) запрещено правилами международной аккредитации.

Сколько контролей нужно внедрить банку по Annex A ISO 27001:2022?

Всего в Annex A редакции 2022 года 93 контроля (37 организационных, 8 по персоналу, 14 физических, 34 технологических). Не все контроли обязательны для каждой организации — конкретный набор определяется результатами оценки рисков и фиксируется в Заявлении о применимости (SoA), где банк обосновывает включение или исключение каждого контроля.

Как быстро нужно отозвать доступы уволенного сотрудника по ISO 27001?

Стандарт не задаёт единый универсальный срок в часах — требование контроля A.6.5 («Responsibilities after termination or change of employment») в том, что процесс отзыва доступов должен быть формализован, задокументирован и выполняться максимально оперативно после увольнения или смены должности, а не растягиваться на недели. Конкретный целевой срок (например, «в течение рабочего дня» или «в течение часа для критичных систем») банк устанавливает сам во внутренней политике и должен демонстрировать её реальное соблюдение аудитору.

Экспертное сопровождение для финансового сектора

Внедрение ISO/IEC 27001:2022 в банке или платежной системе требует глубокого понимания IT-инфраструктуры (от мейнфреймов до микросервисов) и регуляторного ландшафта (DORA, GDPR, PCI DSS, ФЗ-152, требования ЦБ). Реестр Гарант проводит инструментальный GAP-анализ архитектуры, разрабатывает корпоративные политики ИБ, внедряет процесс классификации активов и проводит сертификационный аудит Вашей СУИБ с оформлением сертификата от признанного западного органа (UKAS, DAkkS).

Другой обзор ISO 27001 для банков и требований регуляторов — в статье «ISO 27001 для банков и финансовых организаций: СУИБ и требования регуляторов». О сертификации непрерывности бизнеса, тесно связанной с ИКТ-устойчивостью, — в статье «ISO 22301: сертификация системы непрерывности бизнеса (BCMS) для выхода на международный рынок».