ISO 27001 для банков и финтеха: СУИБ и требования регуляторов (DORA, NIS2)
Финансовый сектор является главной мишенью для киберпреступников, инсайдеров и APT-группировок. Утечка базы данных клиентов или простой процессингового центра стоят банкам миллионов долларов прямых убытков и отзыва лицензии. Для построения непробиваемого щита вокруг финансовых активов международные и национальные регуляторы (включая Центробанки) требуют внедрения Системы управления информационной безопасностью (СУИБ) на базе стандарта ISO/IEC 27001:2022.
Архитектура СУИБ в финансовом секторе
Стандарт ISO 27001 — это не инструкция по настройке межсетевого экрана (firewall) или антивируса. Это управленческий (менеджмент) стандарт. Он заставляет Совет Директоров банка интегрировать информационную безопасность в ДНК компании.
- Анализ контекста и рисков: Банк должен выявить все информационные активы (серверы, БД, ноутбуки сотрудников, бумажные досье). Затем проводится оценка рисков (по методологии ISO 27005): что будет, если сотрудник потеряет флешку с данными клиентов?
- Заявление о применимости (SoA): На основе рисков банк выбирает меры защиты (контроли) из Приложения A к стандарту (в версии 2022 года их 93). Если банк не использует облака, он исключает контроль 5.23 (Облачная безопасность), но обязан обосновать это.
- Матрица доступов (Need-to-Know): Рядовой операционист не должен иметь доступа к базе данных VIP-клиентов или SWIFT-терминалу. Внедряется строгий контроль прав (Role-Based Access Control).
- Инцидент-менеджмент: Если хакеры провели DDoS-атаку, СУИБ диктует, кто конкретно в банке нажимает "красную кнопку", как быстро оповещаются клиенты и регуляторы, и как извлекаются логи для форензики.
ISO 27001 как база для выполнения Регламентов DORA и NIS2
Если финтех-компания, банк или криптобиржа обслуживает клиентов из Евросоюза, с 17 января 2025 года она попадает под действие акта DORA (Digital Operational Resilience Act), а также директивы NIS2. DORA не устанавливает единый фиксированный процент штрафа для самих финансовых организаций — конкретные санкции определяет национальное законодательство каждой страны ЕС (потолки существенно различаются, от 5% годового оборота в Испании до 10% в Швеции, встречаются и фиксированные потолки в диапазоне €1-20 млн). Отдельно, фиксированный штраф в размере до 1% от среднего дневного мирового оборота (периодически, до 6 месяцев) применяется Европейскими надзорными органами (ESAs) — но только к критическим поставщикам ИКТ-услуг (Critical ICT Third-Party Providers), а не напрямую к банкам.
ISO 27001 является "золотым ключом" для прохождения комплаенса по этим суровым европейским законам. Рассмотрим пересечения:
| Требование европейского Регулятора | Как это закрывается стандартом ISO 27001:2022 |
|---|---|
| Управление рисками ИКТ (DORA, Глава II) | Полностью соответствует Разделу 6 (Оценка рисков ИБ) стандарта ISO 27001. Матрица рисков и план обработки рисков удовлетворяют аудиторов DORA. |
| Риски третьих сторон (DORA, Глава V) | Европа жестко требует контролировать IT-подрядчиков банка. В ISO 27001 для этого есть контроль A.5.19 (Информационная безопасность во взаимоотношениях с поставщиками), требующий аудита вендоров. |
| Отчетность об инцидентах (NIS2) | Директива NIS2 (статья 23) устанавливает трёхступенчатую отчётность: первичное предупреждение (early warning) в течение 24 часов с момента обнаружения значимого инцидента, развёрнутое уведомление (incident notification) в течение 72 часов, и финальный отчёт не позднее месяца после уведомления. Контроли A.5.24 – A.5.30 (Управление инцидентами и готовность ИКТ к непрерывности бизнеса) регламентируют порядок реакции и оповещения, что страхует банк от юридических штрафов. |
Специфика внедрения СУИБ в финтехе
Интеграция с PCI DSS и ГОСТ Р 57580
Стандарты не противоречат, а дополняют друг друга. ISO 27001 дает управленческую оболочку (PDCA-цикл, внутренний аудит), а стандарт PCI DSS (для карт) или ГОСТ Р 57580 (требования ЦБ РФ) дают четкие технические настройки: длину пароля, параметры криптографии, правила межсетевого экранирования.
Управление персоналом (Инсайдеры)
По данным ежегодного отчёта Verizon Data Breach Investigations Report (DBIR), большинство инцидентов в финансовом секторе связаны с внешними злоумышленниками (system intrusion, social engineering, веб-атаки) — доля внешних акторов в последних отчётах превышает 65-78%, но и доля внутренних факторов (ошибки персонала, злоупотребление доступом) остаётся значимой и недооценённой рисками менеджмента. ISO 27001 (контроли A.6.1 - A.6.8) требует жесткого скрининга кандидатов при найме, подписание NDA, использование DLP-систем (Data Loss Prevention) и обязательный отзыв всех доступов в кратчайший срок после увольнения сотрудника.
Непрерывность бизнеса (Business Continuity)
СУИБ тесно интегрируется с ISO 22301. Серверы банка должны быть зарезервированы (горячий или холодный резерв). ISO 27001 требует наличия "Готовности ИКТ к обеспечению непрерывности бизнеса" (Контроль A.5.30).
Проблемы при сертификации (Кейсы)
Мнимый Scope (Область применения). Финтех-стартап хотел сэкономить на сертификации и заявил в Scope СУИБ только "Офис разработки", исключив дата-центр с реальными данными клиентов. Аудитор TUV отклонил Заявку на сертификацию: искусственное обрезание Области применения, исключающее основные бизнес-процессы (хранение денег/данных), запрещено правилами международной аккредитации (IAF MD).
Отсутствие инвентаризации активов. Брокерская компания не имела актуального списка серверов (Asset Inventory) и конфигураций. Когда случился сбой, IT-отдел сутки выяснял, на каком виртуальном сервере лежал бэкап. В ходе аудита BSI выставило за это "Значительное несоответствие" (Major Conformity) по пункту A.5.9.
Вопросы и ответы
Заменяет ли ISO 27001 требования DORA и NIS2 полностью?
Нет, но существенно облегчает их выполнение. ISO 27001 даёт управленческую основу (риск-менеджмент, инцидент-менеджмент, аудит поставщиков), которая закрывает большую часть требований DORA/NIS2 по существу, но обе регуляции добавляют специфичные для финансового сектора и критической инфраструктуры требования (тестирование операционной устойчивости TLPT по DORA, конкретные сроки уведомлений по NIS2), которые нужно внедрять и подтверждать отдельно, поверх сертификата ISO 27001.
Какие штрафы грозят банку за несоблюдение DORA?
Единого фиксированного процента от оборота для банков в самом DORA нет — конкретные санкции устанавливает национальное законодательство каждой страны ЕС, и потолки штрафов существенно различаются между странами (от 5% годового оборота в одних юрисдикциях до 10% в других, плюс фиксированные потолки в диапазоне нескольких миллионов евро). Отдельная фиксированная санкция (до 1% среднего дневного мирового оборота) применяется Европейскими надзорными органами (ESAs), но только к критическим поставщикам ИКТ-услуг, не к самим банкам напрямую.
Сколько времени есть на уведомление регулятора об инциденте по NIS2?
Отчётность трёхступенчатая: первичное предупреждение (early warning) — в течение 24 часов с момента обнаружения значимого инцидента; развёрнутое уведомление с первичной оценкой тяжести — в течение 72 часов; финальный отчёт — не позднее месяца после подачи уведомления (при затяжном инциденте — с промежуточным отчётом).
Нужно ли исключать облачные сервисы из области сертификации, если банк ими не пользуется?
Да, но это нужно явно обосновать в Заявлении о применимости (SoA), а не просто умолчать. Если контроль A.5.23 (облачная безопасность) неприменим, банк указывает это с объяснением причины — полное исключение значимых бизнес-процессов из области сертификации без обоснования (например, искусственное сужение Scope до "офиса разработки" при исключении реального дата-центра с данными клиентов) запрещено правилами международной аккредитации.
Сколько контролей нужно внедрить банку по Annex A ISO 27001:2022?
Всего в Annex A редакции 2022 года 93 контроля (37 организационных, 8 по персоналу, 14 физических, 34 технологических). Не все контроли обязательны для каждой организации — конкретный набор определяется результатами оценки рисков и фиксируется в Заявлении о применимости (SoA), где банк обосновывает включение или исключение каждого контроля.
Как быстро нужно отозвать доступы уволенного сотрудника по ISO 27001?
Стандарт не задаёт единый универсальный срок в часах — требование контроля A.6.5 («Responsibilities after termination or change of employment») в том, что процесс отзыва доступов должен быть формализован, задокументирован и выполняться максимально оперативно после увольнения или смены должности, а не растягиваться на недели. Конкретный целевой срок (например, «в течение рабочего дня» или «в течение часа для критичных систем») банк устанавливает сам во внутренней политике и должен демонстрировать её реальное соблюдение аудитору.
Экспертное сопровождение для финансового сектора
Внедрение ISO/IEC 27001:2022 в банке или платежной системе требует глубокого понимания IT-инфраструктуры (от мейнфреймов до микросервисов) и регуляторного ландшафта (DORA, GDPR, PCI DSS, ФЗ-152, требования ЦБ). Реестр Гарант проводит инструментальный GAP-анализ архитектуры, разрабатывает корпоративные политики ИБ, внедряет процесс классификации активов и проводит сертификационный аудит Вашей СУИБ с оформлением сертификата от признанного западного органа (UKAS, DAkkS).
Другой обзор ISO 27001 для банков и требований регуляторов — в статье «ISO 27001 для банков и финансовых организаций: СУИБ и требования регуляторов». О сертификации непрерывности бизнеса, тесно связанной с ИКТ-устойчивостью, — в статье «ISO 22301: сертификация системы непрерывности бизнеса (BCMS) для выхода на международный рынок».
Международная сертификация, экспорт, ISO