Объекты критической инфраструктуры банка: что к ним относится и как теперь категорировать

До 2026 года процесс категорирования объектов КИИ регулировался ФЗ №187, но прежде всего – ПП №127 от 8 февраля 2018 года. Действовал, можно сказать, рамочный подход. Правила категорирования (ПП 127) носили универсальный характер для всех отраслей – от здравоохранения до атомной энергетики.

Главной сложностью этого этапа была высокая степень неопределённости. Субъекты, особенно в сложной и многообразной банковской сфере, должны были самостоятельно решать, какие именно информационные системы подпадают под действие закона и как применять к ним общие показатели критериев значимости.

Ситуация кардинально изменилась с принятием пакета документов в конце 2025 и начале 2026 года. Ключевую роль здесь сыграли поправки, внесённые постановлением правительства РФ № 1762 от 7 ноября 2025 г. в ПП 127, и публикация главного отраслевого документа – Распоряжения Правительства РФ № 360-р от 26 февраля 2026 г., утвердившего перечни типовых отраслевых объектов КИИ, в том числе для банковской сферы. Рассмотрим кратко основные нововведения.

Отказ от «критических процессов» в пользу «типовых объектов». Новая редакция ПП 127 (п. 3) указывает, что категорированию подлежат объекты, которые соответствуют типам из утверждённого перечня типовых объектов КИИ. Теперь субъекту не нужно гадать, что является «критическим». Раздел VII этого перечня («Банковская сфера и иные сферы финансового рынка») содержит исчерпывающий список систем, которые автоматически считаются значимыми.

Например, теперь чётко определено, что является объектом критической информационной инфраструктуры банка:

• информационные системы дистанционного банковского обслуживания (п. 112);
• автоматизированные банковские системы (АБС) (п. 113);
• процессинговые системы (п. 114);
• системы центрального депозитария и регистратора (п. 116);
• системы негосударственных пенсионных фондов (п. 118), страховых организаций (п. 119, 120), микрофинансовых компаний (п. 121) и т. д.

Наличие информационной системы такого типа у субъекта – это и есть признак её значимости. Самостоятельная сложная оценка последствий для присвоения категории уходит в прошлое, уступая место формализованному расчёту значений показателей, которые теперь жёстко привязаны к конкретному типу системы (п. 18-29 ПП 92).

Категория значимости – это формальная оценка, которая присваивается объекту критической информационной инфраструктуры (например, АСУ или сети связи) по результатам процедуры категорирования. Она отражает, насколько критичным является этот объект для общества, экономики, государства или экологии в случае, если его работа будет нарушена в результате компьютерной атаки.

Законом установлены три категории значимости. Самый высокий уровень - первый. Чем выше категория, тем серьёзнее потенциальные последствия от инцидента и, соответственно, тем жёстче требования к системам информационной безопасности на таком объекте (эти требования устанавливает ФСТЭК).

Раньше субъекты КИИ в банковской сфере сами создавали комиссию по категорированию (п. 11 ПП 127), сами определяли перечень своих объектов и присваивали им категории , основываясь на утверждённых тем же постановлением показателях критериев значимости (социальная, политическая, экономическая значимость и др.).

Теперь процесс категоризации объектов КИИ в банковской сфере становится предсказуемым и прозрачным. Он превращается из экспертной задачи в расчётно-техническую, что должно минимизировать споры с регулятором. ПП 92 в разделе III «Порядок расчёта значений показателей критериев значимости» вводит чёткие формулы для каждой из систем. Если раньше нужно было доказывать, что остановка системы ДБО приведёт к экономическому ущербу, то теперь всё просто:

• для систем ДБО, АБС и процессинга категория значимости напрямую зависит от среднедневного количества операций по переводу денежных средств;
• для систем центрального депозитария – от количества ценных бумаг на учёте;
• для систем НПФ – от объёма пенсионных накоплений и резервов.

Чем выше категория, тем шире набор обязательных мер защиты (от антивируса до систем обнаружения атак) и тем жёстче требования безопасности к объекту КИИ банка. Конкретные требования утверждены приказом ФСТЭК № 239:

1. Для объектов III категории требуется реализация базового набора мер. Это обязательная антивирусная защита, контроль целостности, резервное копирование, регистрация событий и управление доступом.
2. Для объектов II категории набор мер расширяется. Например, для них становится обязательным использование средств обнаружения вторжений (IDS/IPS), сегментирование сети, контроль действий привилегированных пользователей и более строгие требования к восстановлению после сбоев.
3. Для объектов I категории требования максимальны. Здесь добавляются меры по доверенной загрузке, контролю за использованием съёмных носителей, усиленный мониторинг сетевого трафика и, что особенно важно, повышенные требования к самому программному обеспечению.

Отдельно остановимся на ПО и программно-аппаратных комплексах, которые должны использоваться на объектах КИИ финансовой сферы.

Главный принцип, закреплённый в ПП № 1478, прост и суров: на значимых объектах КИИ может использоваться только ПО из реестра российского ПО или евразийского ПО (п. 1 Требований к ПО). В контексте новых отраслевых перечней это означает, что все системы, перечисленные в разделе VII Распоряжения 360-р (все АБС, ДБО, процессинги, системы страховщиков и т. д.), в случае присвоения им категории значимости, должны быть реализованы на софте из реестра Минцифры. Кроме того, все они обязаны взаимодействовать с ГосСОПКА (системой ФСБ для мониторинга и реагирования на кибератаки).

Логичное следствие из общего тренда на импортозамещение в КИИ - появление понятия «доверенный ПАК» (программно-аппаратный комплекс). Подробно о них мы рассказывали в этой статье. Для значимого объекта КИИ в банке недостаточно, чтобы на сервере стояло российское ПО. Сам сервер (аппаратная часть) тоже должен быть российским и включённым в соответствующие реестры Минпромторга. Цель, заявленная правительством, – полный переход на доверенные ПАК к 2030 году. Это значит, что для финансового сектора на горизонте 4–5 лет стоит задача не только сменить софт, но и, вероятно, полностью обновить парк серверного и телекоммуникационного оборудования, заменив его на отечественное.

Запрет на иностранные ПО и ПАК не абсолютен, но любое отступление от него требует сложной бюрократической процедуры согласования. Проект постановления, в котором как раз говорится о возможностях для таких отступлений, мы рассматривали в этом посте в нашем ТГ-канале.