Какие основные требования к ИБ банков в России в 2026 году?

Два действующих положения Банка России: 851-П (с 29 марта 2025, заменило 683-П) — требования к защите информации при банковской деятельности, и 850-П (с 3 мая 2025, заменило 787-П) — операционная надёжность. Оба применимы к кредитным организациям и филиалам иностранных банков. Требуют ежегодный пентест, анализ уязвимостей и оценку соответствия по ГОСТ Р 57580.2. Проводить может только лицензиат ФСТЭК по ТЗКИ.

Действует ли Положение 683-П в 2026 году?

Нет. Положение Банка России 683-П утратило силу с 29 марта 2025 года и заменено на Положение 851-П от 30 января 2025. Ключевые изменения: 851-П теперь охватывает и филиалы иностранных банков, введён обязательный цикл PDCA, расширен перечень защищаемой информации, введены два уровня защиты — усиленный (для системно значимых банков) и стандартный. Все отсылки в старых документах на 683-П нужно актуализировать на 851-П.

Обязателен ли PCI DSS для российских банков в 2026?

Банк России не требует PCI DSS напрямую, но де-факто все банки-эквайеры и эмитенты обязаны через договорные обязательства с платёжными системами Visa/Mastercard. С 31 марта 2024 единственная актуальная версия — v4.0. Требования 11.2 (ежеквартальные ASV-сканирования), 11.3 (аутентифицированные внутренние сканы), 11.4 (ежегодный пентест). Российские карточные системы (Мир) имеют собственные стандарты, близкие по духу к PCI DSS.

Какие штрафы за нарушение требований ИБ в финсекторе в 2026?

Административные: по ст. 13.12 КоАП — 50-100 тысяч рублей для ЮЛ, по ст. 13.12.1 КоАП — 100-500 тысяч за нарушение порядка уведомления об инцидентах КИИ. По 152-ФЗ с 30 мая 2025 за повторные утечки ПДн — от 1% до 3% годовой выручки (минимум 20 млн, максимум 500 млн рублей); за утечку более 100 тысяч записей — 10-15 миллионов; за биометрические данные — 15-20 миллионов. Уголовная ответственность по ст. 274.1 УК РФ — до 10 лет за неправомерное воздействие на значимые объекты КИИ с тяжкими последствиями.

Как быстро нужно уведомить ФинЦЕРТ об инциденте?

Первичное уведомление — в течение 3 часов с момента обнаружения инцидента, через автоматизированную систему обработки инцидентов (АСОИ) ФинЦЕРТ. Срок представления результатов расследования — 30 календарных дней. АСОИ ФинЦЕРТ — основной канал обмена информацией, в него включено более 1 700 организаций финансового сектора. Банки-субъекты КИИ параллельно уведомляют НКЦКИ по 187-ФЗ в те же 3 часа.

Главная›Блог›Аудит безопасности для fintech 2026

Аудит безопасности для fintech: 851-П, 757-П и ГОСТ 57580 в 2026

Q: Какие требования по ИБ у НФО (страховых, МФО, НПФ)?

Положение ЦБ РФ 757-П от 20 апреля 2021 (действует с июня 2021, заменило 684-П) — требования к защите информации. Положение 779-П от 15 ноября 2021 — операционная надёжность. Распространяются на МФО, страховые компании, страховые брокеры, НПФ, УК, брокеров-дилеров, операторов платёжных систем. Три уровня защиты: усиленный, стандартный, минимальный. Оценка соответствия по ГОСТ 57580.2 — от раза в год (усиленный) до раза в три года (стандартный).

Q: Как часто нужен пентест для банка по 851-П?

Ежегодно — обязательный пентест и анализ уязвимостей объектов информационной инфраструктуры. Методология унифицирована Методическими рекомендациями Банка России 2-МР от 22 января 2025. Проводить может только организация-лицензиат ФСТЭК по ТЗКИ по подпунктам б, д, е Постановления Правительства №79 от 03.02.2012. Отчёт оформляется в нередактируемом электронном формате с УКЭП руководителя проводящей организации.

Q: Какой состав серии ГОСТ Р 57580?

Четыре стандарта: 57580.1-2017 — базовый состав организационных и технических мер защиты; 57580.2-2018 — методика оценки соответствия; 57580.3-2022 — управление риском информационных угроз и обеспечение операционной надёжности (с 01.02.2023); 57580.4-2022 — базовый состав мер операционной надёжности (с 01.02.2023). Оценку по 57580.2 может проводить только лицензиат ФСТЭК. Периодичность — раз в 2 года для банков стандартного уровня.

Q: Применим ли DORA к российским финтех?

DORA (Regulation EU 2022/2554) действует с 17 января 2025 и применяется только к финансовым организациям, лицензированным или действующим в ЕС. Российские компании попадают под DORA только если имеют лицензию/регистрацию в ЕС или являются ICT third-party service provider, оказывающим критические услуги финансовым организациям ЕС. Чисто российские финтех, работающие только на рынке РФ, под DORA не попадают.

Обновлено: апрель 2026 Следующее обновление: июль 2026 ~28 минут чтения АКТУАЛЬНО

Нормативная база ИБ для финсектора России в 2026 году существенно обновлена. 683-П утратило силу с 29 марта 2025 и заменено на 851-П. Параллельно с 3 мая 2025 вступило в силу 850-П (заменило 787-П) — операционная надёжность банков. Для НФО действуют 757-П (заменило 684-П) и 779-П. Все документы опираются на серию ГОСТ Р 57580 (4 стандарта).

Ключевые требования по ИБ для банков: ежегодный пентест по методике 2-МР Банка России от 22.01.2025, оценка соответствия по ГОСТ 57580.2 не реже раза в 2 года, уведомление ФинЦЕРТ об инцидентах в течение 3 часов. Проводить может только лицензиат ФСТЭК по ТЗКИ.

Новые штрафы с 30 мая 2025 по 152-ФЗ — до 500 миллионов рублей за повторные утечки ПДн (1–3% годовой выручки). Уголовная ответственность по ст. 274.1 УК РФ — до 10 лет за воздействие на значимые объекты КИИ.

// Содержание

Карта нормативной базы 2026
Положение 851-П — ИБ банков
Положение 850-П — операционная надёжность банков
Положение 757-П — ИБ НФО
Положение 779-П — операционная надёжность НФО
Методические рекомендации 2-МР
ГОСТ Р 57580: все 4 части
Порядок пентеста для банка
ФинЦЕРТ и уведомление об инцидентах
187-ФЗ и КИИ для финсектора
152-ФЗ и новые штрафы с 30.05.2025
PCI DSS v4.0 и российские банки
SWIFT CSP и СПФС
EU DORA: когда применим
Штрафы и ответственность
Compliance-карта: как выстроить программу
FAQ

Карта нормативной базы 2026

Финсектор в России покрывается несколькими слоями требований. Часть общих (152-ФЗ, 187-ФЗ), часть отраслевых (положения ЦБ), часть договорных (PCI DSS, SWIFT CSP).

Документ	Применимость	Статус
851-П	Банки и филиалы иностранных банков — ИБ	Действует с 29.03.2025 (заменило 683-П)
850-П	Банки — операционная надёжность	Действует с 03.05.2025 (заменило 787-П)
757-П	НФО — ИБ	Действует с июня 2021 (заменило 684-П)
779-П	НФО — операционная надёжность	Действует с 01.10.2022
821-П	Защита при денежных переводах	Действует параллельно с 851-П
2-МР	Методика пентеста для финсектора	Утверждено 22.01.2025
ГОСТ Р 57580.1–4	Базовые меры и оценка соответствия	Все части действуют
152-ФЗ + Приказ ФСТЭК №21	Персональные данные	Новые штрафы с 30.05.2025
187-ФЗ + 58-ФЗ (07.04.2025)	КИИ	Поправки с 01.09.2025
PCI DSS v4.0	Платёжные карты (Visa/Mastercard)	Обязательна с 31.03.2024
SWIFT CSCF v2025	Банки с SWIFT-коннективностью	Актуальна, но большинство РФ отключены
EU DORA (2022/2554)	Финорганизации с деятельностью в ЕС	Действует с 17.01.2025

Главное изменение 2025: обновление всего основного регуляторного периметра ЦБ РФ. 683-П и 787-П одновременно ушли в архив, появились 851-П и 850-П. Если вы работаете по документам, составленным до марта 2025 — обновлять ссылки на положения нужно срочно.

Положение 851-П — ИБ банков

Положение Банка России № 851-П

Требования к обеспечению защиты информации при банковской деятельности

Издано: 30 января 2025 · Вступило в силу: 29 марта 2025 · Заменило: 683-П

Полное название: «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

Что нового по сравнению с 683-П

Охват расширен: теперь распространяется и на филиалы иностранных банков на территории РФ
Цикл PDCA (Plan-Do-Check-Act) — введён как явное требование. Не одноразовая оценка, а постоянный процесс
Два уровня защиты (вместо одного): «усиленный» — для системно значимых банков, «стандартный» — для остальных
Расширен перечень защищаемой информации: включены данные о мошеннических операциях, результатах противодействия, профили риск-поведения клиентов
Уточнены термины: «согласие под влиянием обмана», «злоупотребление доверием» — в контексте противодействия мошенническим переводам
ОУД4 — требования к сертификации ПО для защиты сохранены и уточнены

Ключевые требования по аудиту

Ежегодный пентест и анализ уязвимостей объектов информационной инфраструктуры
Оценка соответствия по ГОСТ Р 57580.2 не реже раза в 2 года
Проводить может только лицензиат ФСТЭК по ТЗКИ
Отчёт — электронный нередактируемый формат, подписанный УКЭП руководителя проводящей организации
Результаты хранятся у банка, предъявляются ЦБ при проверке

Положение 850-П — операционная надёжность банков

Положение Банка России № 850-П

Требования к операционной надёжности при банковской деятельности

Издано: 13 января 2025 · Вступило в силу: 3 мая 2025 · Заменило: 787-П

Регулирует обеспечение непрерывности оказания банковских услуг. Параллельное 851-П — если 851 про «защиту от внешних атак», то 850 про «что делать, чтобы сервис продолжал работать при сбоях».

Ключевые обязанности

Определение критичных процессов и объектов информационной инфраструктуры, их поддерживающих
Управление риском реализации информационных угроз (ссылается на ГОСТ 57580.3)
Сигнальные и контрольные показатели деградации по всем критичным процессам — обязательны с октября 2025
Планы обеспечения непрерывности и восстановления (BCP/DRP)
Тестирование BCP/DRP минимум раз в год
Отчётность о результатах управления риском — в ЦБ в установленной форме

Положение 757-П — ИБ НФО

Положение Банка России № 757-П

Требования к защите информации для некредитных финансовых организаций

Издано: 20 апреля 2021 · Вступило в силу: июнь 2021 · Заменило: 684-П

Для кого применяется: МФО, страховые компании, страховые брокеры, НПФ, УК, брокеры-дилеры, операторы платёжных систем. Полный список субъектов — в ст. 76.1 ФЗ «О Центральном банке».

Три уровня защиты

Усиленный — для организаций с крупной клиентской базой, существенной финансовой активностью, системно значимых
Стандартный — средний уровень для большинства НФО
Минимальный — для страховых брокеров и ряда других низкорисковых категорий

Периодичность оценки соответствия по ГОСТ 57580.2

Усиленный уровень — раз в год
Стандартный — раз в 3 года
Минимальный — по индивидуальному графику

Ежегодный пентест обязателен для организаций усиленного и стандартного уровней.

Положение 779-П — операционная надёжность НФО

Положение Банка России № 779-П

Требования к операционной надёжности НФО

Издано: 15 ноября 2021 · Вступило в силу: 1 октября 2022 (минимальный уровень — с 01.01.2023)

Зеркало 850-П для некредитных финансовых организаций. Требует управления риском реализации информационных угроз, обеспечения непрерывности оказания услуг, тестирования BCP/DRP.

Методические рекомендации 2-МР

Методические рекомендации Банка России № 2-МР

Проведение тестирования на проникновение и анализ уязвимостей

Утверждены 22 января 2025 · Применимы к банкам, НФО, субъектам НПС, бюро кредитных историй

Ключевой документ, унифицирующий подход к пентесту в финсекторе. До него каждая организация трактовала требования 683-П/757-П по-своему — теперь есть единая методология.

Что регламентирует 2-МР

Область охвата пентеста: какие системы обязательно в scope
Методология: базируется на ГОСТ Р 58143-2018 и OWASP WSTG
Требования к инструментарию
Форма и содержание отчёта
Требования к команде исполнителя
Обязательность ручной верификации находок
Периодичность: ежегодно + после существенных изменений инфраструктуры

2-МР ссылается на старые номера положений (683-П, 757-П), но правоприменительная практика после 29.03.2025 распространяет методику на 851-П как правопреемника.

ГОСТ Р 57580: все 4 части

Стандарт	Название	Действует с
57580.1-2017	Защита информации финансовых организаций. Базовый состав организационных и технических мер	01.01.2018
57580.2-2018	Методика оценки соответствия защиты информации	2019
57580.3-2022	Управление риском реализации информационных угроз и обеспечение операционной надёжности	01.02.2023
57580.4-2022	Обеспечение операционной надёжности. Базовый состав мер	01.02.2023

Как они связаны с положениями ЦБ

57580.1 — конкретизирует технические и организационные меры, требуемые 851-П и 757-П по ИБ
57580.2 — методика оценки соответствия. Именно по ней раз в 1–3 года проводится оценка. Проводить может только лицензиат ФСТЭК
57580.3 — базис для 850-П и 779-П (операционная надёжность)
57580.4 — детализация мер операционной надёжности

Оценка соответствия по 57580.2 — формальная процедура с балльной системой. Средняя оценка на первый запуск у банков — 0.5–0.7 (по шкале 0–1), целевое значение — 0.8+. Годовая программа корректирующих мер после первой оценки — стандартная практика.

Порядок пентеста для банка

Сводный процесс проведения compliance-пентеста по 851-П и 2-МР.

1. Выбор исполнителя

Обязательна лицензия ФСТЭК по ТЗКИ. Конкретно — пункты «б», «д», «е» из Постановления Правительства РФ №79 от 03.02.2012 (перечень лицензируемой деятельности):

«б» — разработка и производство средств защиты информации
«д» — работы по технической защите конфиденциальной информации
«е» — контроль защищённости информации

Банк также может проводить пентест силами внутренней команды, если соответствующая лицензия есть у самого банка.

2. Определение scope

По 2-МР в scope обязательно должны входить:

Объекты информационной инфраструктуры, поддерживающие критичные процессы
Внешний периметр (интернет-банк, мобильный банк, публичные API)
Системы ДБО (дистанционного банковского обслуживания)
Системы обработки платежей и переводов
Инфраструктура информационного обмена с СПФС / SWIFT (где применимо)

3. Проведение тестирования

Методология — ГОСТ Р 58143-2018 («Методы и средства безопасности. Тестирование на проникновение») + OWASP WSTG. Обязательна ручная верификация каждой находки — автоматические сканеры не принимаются как единственный источник.

4. Оформление отчёта

Требования к отчёту:

Электронный документ в нередактируемом формате (PDF/A)
Подписан УКЭП руководителя проводящей организации
Executive summary + технические детали + рекомендации + CVSS-оценки
Описание методологии и инструментария
Подтверждение ручной верификации найденных уязвимостей

5. Передача и хранение

Отчёт о пентесте не направляется в ЦБ в плановом порядке — хранится у банка
Предъявляется ЦБ при проверке
Результаты оценки соответствия по 57580.2 передаются в ЦБ согласно форме отчётности
Срок хранения в открытых источниках чётко не регламентирован — сверяйтесь с текстом 851-П и 2-МР

ФинЦЕРТ и уведомление об инцидентах

ФинЦЕРТ — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Работает на базе автоматизированной системы обработки инцидентов (АСОИ). К ней подключено более 1 700 организаций финансового сектора.

Сроки уведомления об инцидентах

Первичное уведомление: в течение 3 часов с момента обнаружения инцидента
Результаты расследования: 30 календарных дней
Канал: АСОИ ФинЦЕРТ (cbr.ru/information_security/fincert)

Банки, являющиеся субъектами КИИ, параллельно уведомляют НКЦКИ (Национальный координационный центр по компьютерным инцидентам) по 187-ФЗ. Срок — те же 3 часа. Два уведомления, две разные системы, одно событие.

Что считается инцидентом для уведомления

Факт или попытка несанкционированного доступа
Успешная или неуспешная мошенническая операция
Компрометация средств защиты
Нарушение работоспособности критичных сервисов
Утечка конфиденциальной информации или ПДн

187-ФЗ и КИИ для финсектора

Финансовая сфера целиком относится к сфере применения 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Субъекты КИИ в финсекторе

Системно значимые банки
Финансовые организации с участием государства
Системно значимые инфраструктурные организации финрынка (биржи, депозитарии, НКО — расчётные центры)
Операторы платёжных систем

Категории значимости объектов КИИ

1 категория — критичные, последствия инцидента — риски для безопасности государства
2 категория — высокие последствия для жизни, здоровья граждан, экономики
3 категория — существенные последствия для отдельных отраслей

Категорирование проводит сам субъект и согласует с ФСТЭК.

58-ФЗ от 07.04.2025: важные поправки

С 1 сентября 2025 вступил в силу ФЗ № 58-ФЗ («поправки к 187-ФЗ»):

Коммерческие организации обязаны переводить значимые объекты КИИ на отечественное ПО
Введены типовые перечни объектов КИИ по отраслям (упрощает категорирование)
Увеличены полномочия ФСТЭК по контролю

Для банков, работающих на зарубежных СУБД (Oracle, MS SQL), ERP (SAP), на зарубежных платформах виртуализации — это означает программу миграции с бюджетом на годы вперёд.

Уголовная ответственность — ст. 274.1 УК РФ

Неправомерное воздействие на критическую информационную инфраструктуру с тяжкими последствиями — до 10 лет лишения свободы. Применяется к банкам и другим финансовым организациям, являющимся субъектами КИИ.

152-ФЗ и новые штрафы с 30.05.2025

Банки и финансовые организации обрабатывают массивы персональных данных уровней УЗ-1 или УЗ-2 (крупные, включая специальные категории — сведения о банковских операциях). Применяются:

152-ФЗ — базовый закон о персональных данных
Постановление Правительства № 1119 от 01.11.2012 — уровни защищённости (УЗ-1 … УЗ-4)
Приказ ФСТЭК № 21 от 18.02.2013 — технические меры защиты ИСПДн

Новые штрафы с 30 мая 2025

Штрафы за утечки ПДн кардинально повышены. Это главное изменение для финсектора за 2025 год после самих положений ЦБ.

Нарушение	Штраф
Утечка менее 10 тыс. субъектов ПДн (первое нарушение)	3–5 млн ₽
Утечка 10–100 тыс. субъектов (первое нарушение)	5–10 млн ₽
Утечка более 100 тыс. субъектов	10–15 млн ₽
Утечка биометрических данных	15–20 млн ₽
Повторное нарушение (любой масштаб)	1–3% годовой выручки, мин. 20 млн, макс. 500 млн ₽

Для крупного банка с выручкой от миллиарда рублей — это реальные деньги, которые можно потерять за одну утечку. Раньше штрафы были в десятки раз меньше.

PCI DSS v4.0 и российские банки

PCI DSS v4.0

Payment Card Industry Data Security Standard

Действует с: 31 марта 2022 (v4.0) · v3.2.1 устарела с 31.03.2024 · Новые требования — обязательны с 31.03.2025

Обязателен ли для РФ

ЦБ РФ напрямую не требует. Но де-факто все банки-эквайеры и эмитенты обязаны через договорные обязательства с платёжными системами (Visa, Mastercard, American Express). Невыполнение — штрафы от систем и риск отключения.

Ключевые требования по тестированию

11.2 — квартальные внешние сканирования через сертифицированного ASV + внутренние сканирования
11.3 — аутентифицированные внутренние сканы с учётными данными
11.4 — пентест не реже раза в год и после каждого значимого изменения инфраструктуры. Обязательно покрытие прикладного уровня (SQLi, XSS, CSRF и т.д.)
11.4.4 — устранение всех выявленных недостатков, не только критических

Российские карточные системы

Мир (НСПК) имеет собственный стандарт, близкий по духу к PCI DSS. Банки, работающие только с Мир — формально под PCI DSS не попадают.

SWIFT CSP и СПФС

SWIFT CSCF v2025

SWIFT Customer Security Controls Framework v2025

32 контроля (25 Mandatory + 7 Advisory) · Ежегодная самооценка + независимый аудит · Дедлайн — 31 декабря

Для большинства российских банков SWIFT CSP неактуален. Крупные российские банки отключены от SWIFT в рамках 18-го пакета санкций ЕС (июль 2025). Альтернатива — Система передачи финансовых сообщений ЦБ РФ (СПФС), 557 участников, в том числе 159 нерезидентов из стран СНГ, БРИКС и других.

Для банков, сохранивших доступ к SWIFT (часть банков с иностранным участием, специализированные финансовые организации), CSP остаётся обязательным: ежегодная самооценка через KYC-SA + независимый аудит (внутренний или внешний из реестра SWIFT).

EU DORA: когда применим

Digital Operational Resilience Act (Regulation EU 2022/2554)

DORA — регулирование операционной устойчивости в финсекторе ЕС

Действует с: 17 января 2025

Когда применяется к российским компаниям

DORA — EU-регулирование. К российскому финсектору применяется только в двух случаях:

У компании есть лицензия или регистрация в ЕС
Компания — ICT third-party service provider, оказывающий критические услуги финансовым организациям ЕС (software provider, cloud provider)

Чисто российские финтех, работающие только на рынке РФ — под DORA не попадают. Но если ваша компания оказывает ИТ-услуги банкам в Европе — нужно проверить применимость.

Ключевое требование: TLPT

Threat-Led Penetration Testing — обязателен для значимых EU-организаций по решению национального регулятора. Методология — TIBER-EU. Минимум раз в 3 года. Подробнее — в нашей статье Red Team vs Pentest vs VA.

Штрафы и ответственность

Основание	Нарушение	Санкция
КоАП ст. 13.12	Несоблюдение требований по защите информации	ЮЛ: 50–100 тыс. ₽
КоАП ст. 13.12.1	Нарушение порядка уведомления об инцидентах КИИ	ЮЛ: 100–500 тыс. ₽
152-ФЗ (с 30.05.2025)	Повторные нарушения	1–3% выручки, мин. 20 млн, макс. 500 млн ₽
152-ФЗ	Утечка >100 тыс. субъектов ПДн	10–15 млн ₽
152-ФЗ	Утечка биометрических ПДн	15–20 млн ₽
УК ст. 274.1	Неправомерное воздействие на значимый объект КИИ с тяжкими последствиями	До 10 лет лишения свободы
Меры ЦБ	Несоответствие 851-П/757-П	Предписания, ограничения операций, отзыв лицензии

Главный скачок 2025: новые штрафы по 152-ФЗ превращают утечку ПДн из «неприятной новости» в реальную финансовую катастрофу. Для банка с выручкой 100 млрд ₽ повторное нарушение — это потенциальный штраф 1–3 млрд ₽, ограниченный потолком 500 млн ₽. Это сопоставимо с бюджетом на полный пентест-цикл × 50.

Compliance-карта: как выстроить программу

Рабочий подход к организации compliance-программы в финсекторе в 2026 году.

Для системно значимого банка

Выровнять документацию под 851-П и 850-П (заменить все ссылки на 683-П / 787-П)
Выбрать уровень защиты по 851-П: усиленный (системно значимые) или стандартный
Запустить PDCA-цикл: план → реализация → контроль → улучшение
Ежегодный пентест по 2-МР у лицензиата ФСТЭК
Оценка соответствия по ГОСТ 57580.2 раз в 2 года
Настроить отправку инцидентов в АСОИ ФинЦЕРТ (3 часа) и НКЦКИ (если субъект КИИ)
Программа миграции значимых объектов КИИ на отечественное ПО (58-ФЗ)
Если эквайер/эмитент Visa/Mastercard — PCI DSS v4.0, пентест совмещается с 851-П
Если остаётся SWIFT — CSCF v2025, независимый аудит до 31 декабря
152-ФЗ — проверить уровень защищённости ИСПДн (УЗ-1 или УЗ-2), меры по Приказу ФСТЭК №21

Для НФО (страховая, МФО, УК)

Выбрать уровень защиты по 757-П: усиленный / стандартный / минимальный
Определить применимость 779-П (операционная надёжность)
Ежегодный пентест по 2-МР (усиленный/стандартный уровни)
Оценка соответствия по 57580.2: ежегодно (усиленный) / раз в 3 года (стандартный)
Настройка уведомлений в АСОИ ФинЦЕРТ
152-ФЗ — проверка уровня защищённости ИСПДн

Для платёжной системы / оператора

Дополнительно к 851-П (если кредитная) или 757-П (НФО): 821-П (денежные переводы), как правило — включение в КИИ, повышенные требования операционной надёжности.

Совмещение работ. Пентест по 851-П/757-П, пентест по PCI DSS 11.4 и оценку соответствия 57580.2 можно проводить в рамках одного проекта — если правильно составить ТЗ. Экономия 30–40% от суммарной стоимости раздельных проектов.

Связанные материалы: Сколько стоит пентест в России в 2026, Red Team vs Pentest vs VA, AI-assisted пентест для compliance.

FAQ

Какие основные требования к ИБ банков в 2026?

Два положения Банка России: 851-П (с 29.03.2025, заменило 683-П) — защита информации, и 850-П (с 03.05.2025, заменило 787-П) — операционная надёжность. Ежегодный пентест по 2-МР (22.01.2025), оценка соответствия по ГОСТ 57580.2 не реже раза в 2 года. Проводить может только лицензиат ФСТЭК по ТЗКИ.

Действует ли 683-П в 2026?

Нет. Утратило силу с 29 марта 2025, заменено на 851-П от 30.01.2025. Ключевые изменения: охват филиалов иностранных банков, PDCA-цикл, два уровня защиты (усиленный для системно значимых, стандартный для остальных), расширение перечня защищаемой информации.

Какие требования у НФО?

757-П (с июня 2021, заменило 684-П) — ИБ. 779-П (с 01.10.2022) — операционная надёжность. Применимы к МФО, страховым, НПФ, УК, брокерам-дилерам, операторам платёжных систем. Три уровня: усиленный, стандартный, минимальный. Пентест обязателен для усиленного и стандартного уровней.

Как часто нужен пентест для банка по 851-П?

Ежегодно. Методология — 2-МР Банка России от 22.01.2025. Проводить может только лицензиат ФСТЭК по ТЗКИ (подпункты б, д, е Постановления Правительства №79). Отчёт — нередактируемый электронный документ с УКЭП руководителя проводящей организации.

Какой состав серии ГОСТ Р 57580?

4 стандарта: 57580.1-2017 (базовые меры), 57580.2-2018 (оценка соответствия), 57580.3-2022 (управление риском, с 01.02.2023), 57580.4-2022 (операционная надёжность, с 01.02.2023). Оценку по 57580.2 может проводить только лицензиат ФСТЭК.

Обязателен ли PCI DSS для российских банков?

ЦБ напрямую не требует. Но все банки-эквайеры и эмитенты обязаны через договоры с Visa/Mastercard. С 31.03.2024 актуальна v4.0. Требования 11.2 (ежеквартальные ASV-сканы), 11.3 (аутентифицированные внутренние), 11.4 (ежегодный пентест). Для работы только с НСПК Мир — PCI DSS не применяется.

Актуален ли SWIFT CSP для российских банков?

Для большинства — нет. Крупные российские банки отключены от SWIFT (18-й пакет санкций ЕС, июль 2025). Альтернатива — СПФС ЦБ РФ (557 участников). Для банков, сохранивших доступ — CSCF v2025 обязателен: 32 контроля, ежегодная самооценка через KYC-SA до 31 декабря.

Применим ли DORA к российским финтех?

DORA (EU 2022/2554, с 17.01.2025) — только для финорганизаций, лицензированных или действующих в ЕС, либо ICT third-party service provider, обслуживающих критичных клиентов в ЕС. Чисто российские финтех — вне сферы DORA.

Какие штрафы за нарушение ИБ в финсекторе в 2026?

КоАП 13.12: 50-100 тыс. ₽. КоАП 13.12.1 (КИИ): 100-500 тыс. ₽. 152-ФЗ с 30.05.2025: за повторные утечки — 1-3% выручки, потолок 500 млн ₽; за утечку >100 тыс. субъектов — 10-15 млн ₽; за биометрию — 15-20 млн ₽. УК ст. 274.1: до 10 лет за воздействие на значимые объекты КИИ.

Как быстро нужно уведомить ФинЦЕРТ?

Первичное уведомление — в течение 3 часов с момента обнаружения инцидента через АСОИ ФинЦЕРТ. Результаты расследования — 30 календарных дней. Банки-субъекты КИИ параллельно уведомляют НКЦКИ по 187-ФЗ в те же 3 часа.

// История изменений

Апрель 2026: первая публикация. Актуальная нормативная база на апрель 2026: 851-П (с 29.03.2025, заменило 683-П), 850-П (с 03.05.2025, заменило 787-П), 757-П, 779-П, 821-П, 2-МР от 22.01.2025. ГОСТ Р 57580.1-4. 187-ФЗ + 58-ФЗ от 07.04.2025 (с 01.09.2025). 152-ФЗ с новыми штрафами с 30.05.2025 (до 500 млн ₽). PCI DSS v4.0 (обязательна с 31.03.2024). SWIFT CSCF v2025 с оговоркой про отключение российских банков (18-й пакет санкций ЕС, июль 2025). DORA (с 17.01.2025) с разъяснением применимости. Источники: cbr.ru, consultant.ru, garant.ru, rtmtech.ru, cbr.ru/information_security/fincert, DLA Piper, КонсультантПлюс.
Следующее обновление — июль 2026: актуализация по новым методическим рекомендациям, правоприменительной практике штрафов 152-ФЗ.

Нужен compliance-пентест для финсектора?

МЕТЕОР проводит пентест по методологии 2-МР Банка России, совмещаемый с PCI DSS 11.4 и оценкой соответствия ГОСТ 57580.2. AI-assisted подход — быстрее и дешевле классического при сохранении compliance-требований.

IronAudit — аудит с ИИ Другие статьи блога