Наша работа - Ваша уверенность

Практический анализ защищенности финансовых организаций 2025

Практический анализ защищенности финансовых организаций 2025

Организации финансового рынка обязаны проводить тестирование на проникновение и анализировать выявленные уязвимости ежегодно.

Ранее мы уже рассматривали нормативную базу, регламентирующую порядок проведения подобных тестирований в банковской сфере. Однако законодательство в области обеспечения защиты информации динамично развивается, и в 2025 году вступили в силу несколько нормативных правовых актов (далее – НПА), содержащих принципиальные изменения относительно ранее существовавших законов и положений.

Перечень основных нормативных документов по анализу защищенности в банковской сфере

Требование о проведении тестирований и анализа уязвимостей зафиксировано целым рядом НПА, в том числе положениями Банка России:

 
Вплоть до 2025 года сам процесс тестирования был детализирован слабо – основные работы, подходы и рекомендации по составлению итогового отчета содержались только в документе PC БР ИББС-2.6-2014, действие которого распространялось только на автоматизированные банковские системы. В январе 2025 года Банк России представил новые методические рекомендации 2-МР, регламентирующие проведение анализа защищенности финансовых организаций.

Рассмотрим основные моменты новых нормативных актов.

Новые методические рекомендации

Основная цель документа – унифицировать подход финансовых организаций к тестированию на проникновение, а также определить, как именно должен осуществляться анализ уязвимостей, какая информация должна попадать в отчетные документы в обязательном порядке.
№2-МР регламентирует целый ряд ключевых моментов, в число которых вошли:

    • требования к техническому заданию на проведение тестирования и анализа уязвимостей;
    • основные требования к содержанию отчета по итогам проведения работ (также указан рекомендуемый срок хранения отчетных документов – согласно рекомендациям, он составляет 5 лет);
    • задачи и цели проведения указанных работ;
    • рекомендованные методики проведения тестирования, а также порядок применения автоматизированных инструментов моделирования атак с учетом выявленных в ИС уязвимостей;
    • рекомендованный порядок проведения анализа выявленных уязвимостей (в частности, оценивать их критичность Банк России предлагает в соответствии с Методикой ФСТЭК РФ)
      перечень организационно-распорядительных документов и локальных нормативных актов организации, требования которых должны учитываться при тестировании и анализе;
    • порядок направления информации о результатах тестирования и анализа в адрес Банка России.

 
Также финансовые организации могут найти в НПА информацию о том, в каких ситуациях они могут проводить подобные работы самостоятельно (и как именно Банк России рекомендует это делать) и в каких случаях стоит привлечь стороннюю организацию (с указанием требований к подобному подрядчику).

Требования по ИБ для иностранных банков

Положение устанавливает обязанность банка защищать данные при совершении операций в рамках своей деятельности, не ограничиваясь при этом только денежными переводами. Действие документа распространяется на кредитные организации и иностранные банки, которые действуют на территории РФ через свои филиалы и представительства.
Основные положения, содержащиеся в документе:

    • уточнены нормы, регламентирующие использование криптографии для обеспечения безопасности данных;
    • определен порядок использования средств электронной подписи;
    • установлены нормы, которые должны помочь предотвратить вовлечение несовершеннолетних граждан в противоправную деятельность в финансовой сфере;
    • определены механизмы, позволяющие противодействовать совершению денежных операций при злоупотреблении доверием или под влиянием обмана.

 

Заключение

Тесты на проникновение и проведение анализа выявленных уязвимостей входят в число обязательных мероприятий, необходимых не только для соблюдения требований законодательства в сфере ИБ для финансового сектора, но и повышения общего уровня защищенности информации в Организации.

Чтобы организовать выполнение работ в соответствии со всеми актуальными требованиями регулятора, получить подробные информативные отчеты и рекомендации по усилению уровня защиты информации, свяжитесь с нами, и наши специалисты проведут подробную консультацию об услуге.

Связанные материалы

(Словарь терминов ИБ) Пентест
(Блог) Пентест для банковской системы
(Кейсы) Пентест: анализ защищенности внутренних и внешних ресурсов
(Блог) Стандарты работы ИБ
(Защита информации) Банки . Проверка на соответствие норм безопасности кредитных организаций
(Блог) Тестирование на уязвимость ИБ
(Защита информации) Тестирование на проникновение
Поиск
Мы в соцсетях
Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
Дзен-канал компании «Рубикон»
Популярные разделы
Новости ИБ | Законодательство | Практика | Кейсы | КИИ | ПДн | Пентест | OWASP | Вебинары | Мероприятия | Межрегиональный круглый стол
Популярные новости
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Вредоносный штат: почему сотрудники могут быть опаснее хакеров
Защита объектов КИИ
Защита объектов КИИ
Запрет на закупки иностранного ПО
Запрет на закупки иностранного ПО
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять