Security Resilience: подходы к оценке зрелости информационной безопасности

Методологический подход к анализу доменов информационной безопасности

В рамках настоящего отчёта анализ применения международных фреймворков информационной безопасности выполнен на основе доменной модели NIST Cybersecurity Framework (NIST CSF) версии 2.0.

Выбор NIST CSF обусловлен тем, что данный фреймворк предоставляет универсальную доменную структуру, позволяющую системно рассматривать требования в области информационной безопасности как на управленческом, так и на техническом уровне, а также применять риск-ориентированный подход, интегрированный в бизнес-процессы организации.

При этом в Российской Федерации для финансовых организаций ключевым отраслевым стандартом в области информационной безопасности и операционной надёжности является серия стандартов ГОСТ Р 57580, который устанавливает обязательные требования и служит базисом для построения системы ИБ. Структура и направленность ГОСТ Р 57580 ориентированы преимущественно на оценку реализации и достаточности мер защиты информации, что определяет его прикладной и нормативный характер и ограничивает его использование в качестве универсальной архитектурной модели для комплексного доменного анализа.

Использование доменной модели NIST CSF в рамках данного исследования позволило:

• Обеспечить сопоставимость и целостность анализа.
• Унифицировать сравнение требований различных международных фреймворков.
• Оценить степень применимости управленческих и технических практик с учётом их адаптации к российскому финтех-рынку и требованиям ГОСТ Р 57580.
• Выявить пересечения и различия в подходах.

Домены NIST CSF и аналитика применения в финтех-организациях

01 Governance (Стратегия и управление)

Описание домена

Governance – это домен, определяющий стратегическое и организационное управление информационной безопасностью организации. Он охватывает формирование целей и принципов ИБ, разработку и утверждение политик и процедур, распределение ролей и ответственности, а также контроль выполнения требований в области информационной безопасности.

В рамках домена Governance также формируются управленческие подходы к контролю рисков, связанных с использованием программного обеспечения, аппаратных средств и услуг третьих лиц. Это включает установление требований информационной безопасности к поставщикам, интеграцию вопросов управления цепочкой поставок в систему корпоративного управления рисками и принятие решений о допустимом уровне зависимостей от внешних решений.

Цели домена

• Обеспечить стратегическое выравнивание подходов к информационной безопасности с бизнес-целями организации.
• Определить четкое распределение ролей и ответственности за информационную безопасность.
• Установить политики и стандарты для защиты информационных активов.
• Обеспечить эффективное управление человеческими, финансовыми и технологическими ресурсами в целях реализации инициатив информационной безопасности.
• Обеспечить соответствие нормативным и законодательным требованиям в области информационной безопасности.
• Установить требования по информационной безопасности к поставщикам и включать их в договорные отношения и критерии выбора.
• Обеспечить управление рисками информационной безопасности, связанными с поставщиками, подрядчиками и использованием решений/услуг третьих лиц.

Применение домена Governance в международных фреймворках

Особенности внедрения в Российской Федерации

Реализация домена Governance в российских финтех-организациях, использующих международные фреймворки информационной безопасности, осуществляется с учётом требований национального регулирования. Это влияет на формирование стратегической модели управления ИБ, включая управление внешними зависимостями и рисками цепочки поставок, которые рассматриваются как часть корпоративного управления.

01 Требование использования отечественного программного обеспечения

Запрет на использование иностранного ПО на объектах критической информационной инфраструктуры требует выстраивания стратегии импортозамещения в рамках Governance. Это затрагивает как архитектурные решения, так и управление рисками, связанными с выбором поставщиков, ограниченной зрелостью отечественных решений и необходимостью адаптации персонала.

02 Повышенная роль регуляторов в формировании приоритетов ИБ

В российском финтех-секторе ключевые приоритеты информационной безопасности, включая требования к поставщикам и используемым технологиям, во многом задаются регуляторами. В результате Governance ориентирован преимущественно на нормативное соответствие, что снижает гибкость в управлении рисками и выборе стратегических инициатив, в том числе в части цепочки поставок.

03 Требования к локализации данных и инфраструктуры

Обязательная локализация персональных данных и приоритет использования отечественной инфраструктуры ограничивают применение зарубежных облачных сервисов и глобальных цепочек поставок. Эти ограничения учитываются в Governance при формировании стратегии ИБ и долгосрочных планов развития ИТ- и ИБ-архитектуры.

04 Ограниченная зрелость управления рисками цепочки поставок

Различия в степени формализации подходов к управлению рисками цепочки поставок и особенности оценки поставщиков обуславливают необходимость адаптации международных практик к национальному контексту. В рамках домена Governance это усиливает роль внутренних политик, компенсирующих управленческих мер и экспертной оценки рисков, связанных с внешними зависимостями.

Identify (Идентификация активов, рисков и угроз)

Identify – это домен, охватывающий процессы выявления, инвентаризации и классификации информационных активов, оценки рисков информационной безопасности и анализа актуального ландшафта угроз. Он формирует понимание того, какие активы подлежат защите и с каким уровнем риска функционирует организация, при этом угрозы в рамках данного домена рассматриваются как методологическая основа для оценки рисков и обоснования управленческих и архитектурных решений, а не как события в реальном времени.

• Сформировать полный и актуальный реестр информационных активов.
• Классифицировать активы с точки зрения их критичности для бизнеса.
• Оценить риски реализации информационных угроз.
• Выявить потенциальные уязвимости и зоны повышенного риска.
• Обеспечить соответствие требованиям законодательства и отраслевых стандартов.
• Обеспечить руководство информацией для принятия решений по управлению рисками.

Применение домена Identify в международных фреймворках

Реализация домена Identify в российских финтех-организациях характеризуется ограничениями, влияющими на процессы анализа угроз и оценки рисков.

01 Отсутствие официального и широкодоступного механизма обмена информацией об угрозах (Cyber Threat Intelligence, CTI)

В Российской Федерации отсутствует единая широкодоступная и централизованная платформа обмена информацией об угрозах, сопоставимая с международными инициативами (US-CERT, ENISA). Существующие механизмы обмена CTI ориентированы преимущественно на отдельные отрасли и имеют ограниченную применимость для широкого круга организаций.

Как пример, в стране развивается национальная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, включая деятельность НКЦКИ (Национальный координационный центр по компьютерным инцидентам Федеральной службы безопасности) и инфраструктуру ГосСОПКА, а также отраслевые механизмы обмена информацией об угрозах, такие как ФинЦЕРТ Банка России. Указанные механизмы формируют основу для централизованного обмена информацией об угрозах и инцидентах, однако на текущем этапе в большей степени ориентированы на взаимодействие с государственными органами, объектами критической инфраструктуры и финансовыми организациями, что ограничивает их использование. Для большинства организаций вне указанных категорий доступ к таким механизмам либо отсутствует, либо носит ограниченный характер.

02 Требование обязательного уведомления государственных органов

Национальные требования предусматривают обязательное уведомление уполномоченных государственных органов и пострадавших лиц о произошедших инцидентах информационной безопасности. Данные требования накладывают дополнительные ограничения на процессы идентификации и классификации инцидентов и требуют формализации критериев значимости инцидентов уже на этапе Identify. Отказ от внедрения или некорректное внедрение средств «уведомления» регуляторов об инцидентах может привести к существенным штрафам, финансовым и репутационным потерям.

Protect (Реализация мер защиты)

Домен Protect фокусируется на реализации организационных и технических мер, направленных на предотвращение несанкционированного доступа и снижение вероятности реализации угроз информационной безопасности. В рамках данного домена формируются и применяются меры по управлению доступом, защите данных и обеспечению безопасности инфраструктуры и пользовательских сред, направленные на снижение уровня риска до момента возникновения инцидента в соответствии с результатами оценки рисков и принятыми управленческими решениями.

• Предотвратить несанкционированный доступ к информационным системам и данным.
• Обеспечить защиту конфиденциальности, целостности и доступности информации.
• Снизить вероятность успешной реализации атак.
• Ограничить потенциальный ущерб при компрометации отдельных компонентов.
• Обеспечить выполнение требований регуляторов в части защиты данных.

Применение домена Protect в международных фреймворках

Практическая реализация домена Protect в российских финтех-организациях осуществляется с учетом требований национального законодательства и регуляторной практики, влияющих на выбор средств защиты и архитектуру решений.

01 Обязательная замена иностранного программного обеспечения на отечественное

Ограничения на использование иностранного программного обеспечения на объектах критической информационной инфраструктуры обуславливают необходимость применения отечественных средств защиты и инфраструктурных решений. Это влияет на архитектуру защитных мер, уровень автоматизации и зрелость реализуемых контролей, а также требует корректировки проектных решений и дополнительных организационных усилий при внедрении мер защиты.

02 Ограничения на использование зарубежных облачных сервисов

Требования к локализации данных исключают использование зарубежных облачных платформ для обработки персональных данных и сервисов безопасности. В результате реализация мер защиты в домене Protect должна опираться на локальных провайдеров или собственную инфраструктуру, что ограничивает применение отдельных облачных моделей безопасности и влияет на масштабируемость и гибкость защитных решений.

04 Обнаружение угроз

Домен Detect ориентирован на своевременное выявление подозрительной активности, атак и инцидентов информационной безопасности за счет непрерывного мониторинга и анализа событий безопасности, а также выявления признаков компрометации в информационных системах и сетях. В рамках данного домена угрозы рассматриваются как события, подлежащие оперативному обнаружению и подтверждению с целью передачи релевантной информации для последующего реагирования.

Применение домена Detect в международных фреймворках

Практическая реализация домена Detect в российских финтех-организациях определяется требованиями национального законодательства и регуляторных актов, которые влияют на построение и функционирование систем мониторинга и обнаружения, используемые источники аналитики угроз и порядок уведомления о выявленных инцидентах.

01 Требование локального размещения средств мониторинга и хранения логов

Требования по локализации данных и нормативные требования к обработке информации ограничивают использование зарубежных облачных решений мониторинга и предполагают размещение систем сбора и анализа событий безопасности на территории Российской Федерации, включая использование отечественных SIEM и SOC-решений.

02 Ограничения на использование зарубежных платформ Threat Intelligence

В российских условиях ограничено использование ряда международных платформ аналитики угроз (Threat Intelligence), что требует опоры на отечественных провайдеров и внутренние источники информации об угрозах при построении корреляционных и аналитических сценариев.

03 Регламентированные сроки уведомления о выявленных инцидентах

Нормативные требования финансового сектора предусматривают жесткие сроки первичного уведомления о выявленных атаках и инцидентах. Это повышает требования к зрелости процессов мониторинга и требует организации 24/7 наблюдения, формализованных процедур эскалации и автоматизации первичной фиксации и передачи информации.

05 Реагирование на инциденты

Домен Respond фокусируется на управлении подтвержденными инцидентами информационной безопасности и координации действий по их обработке. Он охватывает процессы реагирования, классификации инцидентов, анализа причин и последствий, сдерживания и устранения угроз, а также управление коммуникациями и документированием в ходе инцидента. Реализация домена Respond направлена на минимизацию ущерба и предотвращение повторной реализации инцидентов за счет формализованных процедур реагирования и систематического совершенствования процессов.

Применение домена Respond в международных фреймворках

Практическая реализация домена Respond в российских финтех-организациях определяется регламентированными сроками уведомления, необходимостью взаимодействия с несколькими государственными органами и ограничениями на привлечение зарубежных сервисов расследования и реагирования.

01 Жесткие сроки реагирования и уведомления

Нормативные требования предусматривают необходимость оперативного уведомления регуляторов о выявленном инциденте информационной безопасности в установленные сроки (3/24/72 часа) и последующей отчетности по результатам его обработки и закрытия (как правило, в срок до 30 дней). Это требует наличия подготовленной команды реагирования на инциденты, формализованных процедур реагирования и автоматизации первичных действий (обнаружение, классификация, эскалация и подготовка уведомления) для соблюдения регламентированных временных требований.

02 Требование уведомления регуляторов

В зависимости от характера и последствий инцидента информационной безопасности организация обязана уведомлять соответствующие уполномоченные органы и, в установленных случаях, затронутых лиц.

• Оперативное уведомление об инцидентах, затрагивающих объекты критической информационной инфраструктуры, осуществляется в адрес Национального координационного центра по компьютерным инцидентам (НКЦКИ ФСБ России) в рамках функционирования системы ГосСОПКА.
• В случае инцидентов, связанных с нарушением безопасности персональных данных, организация обязана уведомить Роскомнадзор, а также затронутых субъектов персональных данных в порядке и сроки, установленные законодательством Российской Федерации.
• ФСТЭК России осуществляет регуляторный контроль и надзор за соблюдением требований по обеспечению безопасности критической информационной инфраструктуры, включая оценку полноты и корректности мер реагирования на инциденты.
• Для финансовых организаций дополнительно применяется порядок информирования ФинЦЕРТ Банка России в рамках отраслевого взаимодействия и требований регулятора.

Совокупность указанных требований обусловливает необходимость корректной классификации инцидентов информационной безопасности, выстраивания управляемых коммуникаций с регуляторами и заинтересованными сторонами, а также документирования процессов реагирования и принятых мер.

03 Ограничения на обращение к иностранным сервисам расследования/форензики

В условиях действующих ограничений финтех-организации не могут в полной мере взаимодействовать с международными сервисами по расследованию инцидентов и реагированию. В результате возрастает необходимость наличия собственных компетенций в области цифровой форензики (компьютерной криминалистики) и реагирования на инциденты, либо выстраивания договорных отношений с отечественными специализированными организациями, способными обеспечить проведение расследований и поддержку процессов реагирования в установленные сроки.

06 Восстановление и непрерывность деятельности

Домен Recover ориентирован на восстановление и поддержание операционной устойчивости организации после инцидентов информационной безопасности и иных чрезвычайных событий. В рамках данного домена реализуются процессы резервного копирования, аварийного восстановления (Disaster Recovery) и обеспечения непрерывности деятельности (Business Continuity), направленные на снижение последствий инцидентов и восстановление критически важных информационных систем, данных и бизнес-процессов.

Применение домена Recover в международных фреймворках

Практическая реализация домена Recover в российских финтех-организациях осуществляется с учетом требований к территориальному размещению данных, применению отечественных технических решений и ограничений на использование зарубежных сервисов резервирования и аварийного восстановления.

01 Территориальные требования к размещению резервных копий

Требования к территориальному размещению данных предусматривают хранение резервных копий на территории Российской Федерации, что исключает использование зарубежных облачных решений для резервирования. Это обуславливает необходимость реализации процессов восстановления на локальной инфраструктуре и влияет на архитектурные решения в части резервного копирования и аварийного восстановления. В результате возрастает нагрузка на собственную инфраструктуру и процессы эксплуатации, что приводит к увеличению затрат на обеспечение резервирования и операционной устойчивости, в среднем на 20–30% от ИТ-бюджета.

02 Ограниченный выбор и зрелость отечественных средств резервного копирования

Реализация процессов резервного копирования и восстановления в рамках домена Recover осуществляется с использованием отечественных программных и аппаратных средств. При этом доступные решения могут обладать ограниченной функциональностью по сравнению с зарубежными аналогами и более высокой стоимостью владения, что необходимо учитывать при проектировании и развитии системы восстановления.

03 Ограничения на привлечение зарубежных провайдеров аварийного восстановления

Действующие ограничения исключают возможность использования услуг зарубежных провайдеров аварийного восстановления (Disaster Recovery). В результате организации вынуждены обеспечивать процессы аварийного восстановления за счет собственной инфраструктуры либо выстраивать договорные отношения с отечественными провайдерами, что напрямую влияет на уровень операционной устойчивости и требования к планированию восстановления.

Общий вывод

Анализ доменной модели NIST CSF и международных фреймворков

В рамках исследования была проведена оценка применимости доменов NIST Cybersecurity Framework (CSF) к требованиям и структурам ISO/IEC 27001:2022, CIS Controls v8.1 и ISACA COBIT 2019. Результаты оценки представлены в виде унифицированной матрицы соответствия, что позволило наглядно отразить степень согласованности управленческих и операционных подходов указанных стандартов с доменной моделью NIST CSF в условиях российского финтех-сектора.

Таблица оценки применимости международных фреймворков:

Шкала оценки: 1 — низкая применимость, 4 — высокая применимость.

Анализ показал, что наибольшей применимостью характеризуются домены Governance, Protect и Respond, тогда как домены Identify, Detect и Recover требуют более глубокой адаптации механизмов реализации при сохранении общей методологической основы.

Специфика внедрения доменов NIST CSF в Российской Федерации

Финтех-организации Российской Федерации применяют международные фреймворки информационной безопасности с учетом действующего нормативного регулирования, включая ограничения на использование иностранного программного обеспечения, требования к локализации данных и необходимость одновременного соблюдения требований нескольких регуляторов. Эти факторы существенно влияют на практику внедрения доменов NIST CSF.

Дополнительную сложность создают регламентированные сроки и порядок уведомления о киберинцидентах, использование национальных механизмов обмена информацией об угрозах и ограничения на привлечение зарубежных сервисов реагирования и расследования. В совокупности данные условия требуют адаптации архитектурных решений и усиления роли управленческих процессов при построении системы информационной безопасности.

Применение международных фреймворков в финтех-секторе является целесообразным, однако требует глубокой адаптации к российскому законодательству. Эффективность внедрения во многом определяется знанием национального нормативного ландшафта, гибкостью в применении международных практик, долгосрочным планированием и готовностью к инвестициям в инфраструктуру на базе отечественных решений.

Роль NIST CSF и национальных стандартов

NIST Cybersecurity Framework основан на управлении киберрисками и предназначен для формирования целостной архитектуры процессов, ролей и технических мер защиты. Фреймворк разработан как гибкий и адаптируемый инструмент, предоставляющий обобщённые рекомендации, которые конкретизируются организациями с учётом их профиля рисков, уровня зрелости и организационного контекста. Вместе с тем его практическое внедрение может быть ресурсозатратным и требует поэтапного и осознанного подхода.

Серия ГОСТ Р 57580, в свою очередь, ориентирована на оценку соответствия реализации мер защиты информации в финансовых организациях и устанавливает обязательные регуляторные требования в данной области. Стандарт задаёт формализованные критерии и контрольные требования, направленные на обеспечение проверяемости и воспроизводимости результатов оценки.

Результаты исследования показывают, что международные фреймворки информационной безопасности сохраняют высокую методологическую ценность для российского финтех-сектора, однако их практическое применение возможно только при адаптации к национальным требованиям. В этих условиях целесообразным представляется комбинированный подход, при котором требования серии ГОСТ Р 57580 дополняются архитектурной моделью NIST CSF и лучшими международными практиками управления рисками.

Aft framework: зрелость кибербезопасности для самостоятельной оценки в финансовых организациях

Дисклеймер

Предлагаемый фреймворк оценки кибербезопасности разработан с учётом особенностей российского финансового рынка и сочетает требования нормативного соответствия с риск-ориентированным управлением. В его основе лежит понимание того, что устойчивость системы информационной безопасности формируется не только через формальное выполнение установленных мер защиты, но и через системную оценку и управление киберрисками.

Серия ГОСТ Р 57580 и доменная модель NIST CSF в данном контексте рассматриваются как взаимодополняющие подходы. Серия ГОСТ Р 57580 ориентирована на оценку реализации и достаточности мер защиты информации и обеспечивает воспроизводимость и проверяемость результатов, тогда как NIST CSF задаёт качественную архитектуру управления киберрисками, позволяющую оценивать зрелость процессов, управленческих решений и взаимодействия между доменами безопасности.

В рамках методологии отдельно выделена область управления рисками цепочки поставок (Supply Chain - Dependency Management), что обусловлено её возрастающим влиянием на устойчивость финансовых организаций и необходимостью более детальной оценки внешних зависимостей. В совокупности такой подход формирует целостную модель оценки, в которой количественная проверяемость нормативных требований сочетается с качественной оценкой зрелости кибербезопасности, обеспечивая практическую применимость фреймворка в условиях российского финтех-сектора.

Марианна Данилина

Руководитель управления стратегии, исследований и аналитики, АФТ

В 2025 году российские банки потратили от 330 до 390 млрд рублей на информационную безопасность и, вероятно, превысили запланированные ИБ-бюджеты. Это много по меркам ИБ, но сопоставимо масштабу банковского сектора и рисков: примерно 0,2% совокупных активов рынка и около 10% годовой прибыли.

С учетом появления новых поколений угроз и увеличения числа атак на сектор, рост бюджетов в направление безопасности – это необходимая мера. Однако не всегда покупка нового ИБ-инструмента позволяет выстраивать эффективные барьеры против кибермошенников: порой наращивается «лоскутное одеяло» слабо интегрированных инструментов.

Для того чтобы подойти к вопросу повышения безопасности системно, мы предлагаем организациям оценить зрелость кибербезопасности с помощью нашего фреймворка и в зависимости от уровня – совершенствовать процессы комплексно.

Сергей Демидов

Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса, Московская биржа

Московская биржа уделяет повышенное внимание информационной безопасности, обрабатывая данные огромного числа пользователей, среди которых только частных инвесторов около 38,6 млн. У нас внедрена система управления информационной безопасностью, соответствующая требованиям российского законодательства и стандарта ISO 27001. Регулярно проводятся организационные и технические мероприятия по обеспечению информационной безопасности, управлению ИТ-инфраструктурой и инцидентами информационной безопасности.

Среди таких мероприятий ранее Московская биржа принимала участие в международном отраслевом исследовании Cyber Resilience, которое было построено на доменах NIST CSF. Тогда результаты исследования позволили определить направления для улучшения и сравниться со средними значениями по рынку. С экспертами Управления стратегии, исследований и аналитики АФТ мы решили также обратить внимание коллег финтех-отрасли на вопросы устройства внутренней кибербезопасности и предлагаем лучший подход для самостоятельной оценки в финансовых организациях.

Методология фреймворка

AFT Framework — Зрелость кибербезопасности. Для самостоятельной оценки в финансовых организациях.

Цель создания фреймворка

Содействие повышению уровня зрелости функции кибербезопасности на российском финансовом рынке за счет обеспечения участников АФТ методологией для самостоятельной оценки кибербезопасности по доменам NIST CSF:

• Распределение доменов по этапам инцидента:

• До инцидента: Governance, Identify, Protect.
• Во время инцидента: Detect, Respond.
• После инцидента: Recover.
• На всех этапах: Supply Chain — Dependency management.

За основу подхода были взяты 7 взаимосвязанных доменов кибербезопасности NIST CSF. К каждому из доменов «Исследования & аналитика» и Экспертная группа АФТ предлагают перечень вопросов, ответив на которые можно получить оценку зрелости кибербезопасности организации. Оценка в зависимости от цели может быть выполнена для определения уровня частной зрелости каждого из семи доменов NIST CSF и общей зрелости кибербезопасности.

1. Уровень общей зрелости для всей функции кибербезопасности предполагается измерять как консолидированную оценку по всем семи доменам NIST CSF.
2. Уровень частной и общей зрелости предполагается измерять как сумму баллов по ответам в опросном листе для самостоятельной оценки.
3. Определены пороговые значения суммы баллов для четырех уровней зрелости кибербезопасности: высокого, среднего, ниже среднего и низкого.

Пример оценки:

• Governance: Высокий уровень зрелости * Identify: Ниже среднего уровень зрелости * Protect: Низкий уровень зрелости * Detect: Средний уровень зрелости * Respond: Высокий уровень зрелости * Recover: Средний уровень зрелости * Supply Chain - Dependency management: Средний уровень зрелости * Общий уровень зрелости: средний

Матрица уровней зрелости

Уровни зрелости кибербезопасности NIST CSF

Высокий уровень зрелости: Адаптивный (Adaptive)

• Процессы кибербезопасности выстроены и регулярно обновляются в ответ на внешние изменения.
• Используются передовые технологии и методы для прогнозирования и предотвращения угроз, в том числе машинное обучение.
• Кибербезопасность учитывается при формировании общей стратегии организации.

Средний уровень зрелости: Повторяемый (Repeatable)

• Процессы кибербезопасности документированы и стандартизированы.
• Организация выполняет превентивный мониторинг по инцидентам, меры защиты и планы регулярно обновляются с учетом опыта произошедших инцидентов.
• Существует детальное распределение ролей и обязанностей в штатной структуре.

Ниже среднего уровень зрелости: Формализованный (Risk-Informed)

• Процессы кибербезопасности начинают документироваться и стандартизироваться.
• Организация отслеживает произошедшие инциденты и есть планы по их устранению.
• Существует базовое понимание ролей и обязанностей по кибербезопасности.

Низкий уровень зрелости: Частичный (Partial)

• Процессы кибербезопасности не формализованы и выполняются на ad-hoc основе.
• Реагирование на инциденты и управление рисками не систематизированы.
• Осведомленность о киберрисках ограничена среди сотрудников.

Опросный лист

Домен Governance

AFT Framework – Зрелость кибербезопасности. Для самостоятельной оценки в финансовых организациях.

Governance: стратегия и управление

Identify (фоновый мониторинг), Protect (внедрение решений и предотвращение), Detect (выявление угроз), Respond (реагирование на инцидент), Recover (восстановление). Supply Chain - Dependency management: управление взаимодействиями с поставщиками.

Governance — стратегия и управление персоналом, по, инфраструктурой иб

Governance — стратегия & управление персоналом, ПО, инфраструктурой ИБ

Case study: Governance

Согласно опросу Национальной ассоциации корпоративных директоров (NACD) в США, проведенному в 2025 году, 77% директоров публичных компаний заявили, что за последний год на заседаниях совета обсуждались потенциальные финансовые убытки от возможного киберинцидента. Для сравнения, двумя годами ранее таких организаций было менее половины. Также около 72% членов советов директоров прошли в 2025 году хотя бы один специальный обучающий курс или семинар по киберрискам. Ранее руководители такого уровня редко лично участвовали в подобных мероприятиях. Менеджмент признает, что киберугрозы, например, ransomware, утечки данных, сбои из-за атак, могут поколебать позиции бизнеса не меньше, чем традиционные финансовые или операционные риски.

Источники: NACD Public Company, АО «Позитив Текнолоджиз»

Домен Identify

AFT Framework – Зрелость кибербезопасности

Для самостоятельной оценки в финансовых организациях.

• Identify (Фоновый мониторинг) * Protect (Внедрение решений и предотвращение) * Detect (Выявление угроз) * Respond (Реагирование на инцидент) * Recover (Восстановление)

Supply Сhain — Dependency management

Управление взаимодействиями с поставщиками.

Identify — мониторинг угроз, управление уязвимостями, рисками и комплаенс

Case study: Identify

Внедрение отечественной платформы «Диво» в Россельхозбанке продемонстрировало, как учет ИТ-активов напрямую усиливает информационную безопасность. В рамках проекта по импортозамещению ITSM-системы был создан сервисный каталог, который охватил более 700 сервисов, включая ИТ-услуги, административно-хозяйственные задачи, процессы централизованного обслуживания и другие ключевые функции. При реализации проекта в новую систему были перенесены более 150 000 пользовательских записей, 6 376 записей агентов, 4 500 рабочих групп и свыше 200 000 значений из справочников. Переход на новую платформу прошел практически бесшовно – благодаря продуманным интеграциям, синхронизации старых и новых связей, а также заранее выстроенной логике переноса и настройки. Переход на платформу «Диво» также стал важной точкой отказа от традиционного подхода к разработке – теперь процессы настраиваются через визуальный интерфейс и принципы low-code. Это позволило в четыре раза сократить сроки внедрения изменений и запускать новые процессы, которые ранее были невозможны в старой системе.

Источник: АО «Россельхозбанк».

В октябре 2025 года Московская биржа запустила платформу Compliance Tool: комплексное решение для эмитентов и профессиональных участников рынка для построения эффективной системы внутреннего контроля, выполнения регуляторных требования и взаимодействия с биржевой инфраструктурой. Платформа включает 4 сервиса: система учета инсайдеров, взаимодействие, контроль сделок инсайдеров и проверку совпадения контрагента. Благодаря Compliance Tool, можно формировать списки инсайдеров с защитой данных по стандартам ИБ и выстраивать коммуникацию комплаенс-подразделений участников торгов и биржи при проверке торговых операций. Платформа позволяет осуществлять контроль за соблюдением инсайдерами условий совершения операций с финансовыми инструментами, до 95% сокращая трудозатраты по выявлению рисков.

Источник: ПАО «Московская Биржа ММВБ-РТС».

Домен Protect

Для самостоятельной оценки в финансовых организациях.

Структура фреймворка:

• Governance — стратегия и управление.
• Identify — фоновый мониторинг.
• Protect — внедрение решений.
• Detect — выявление угроз.
• Respond — реагирование на инцидент.
• Recover — восстановление и предотвращение.
• Supply Сhain (Dependency management) — управление взаимодействиями с поставщиками.

Внедрение мер защиты и поддержки ИБ (контроль доступа и защита данных)

Case study: protect

Приложение Яндекс ID (ранее – Яндекс Ключ) теперь полноценный центр управления аккаунтом на Яндексе: с его помощью можно держать под контролем все данные и настройки. В Яндекс ID можно просмотреть список всех устройств, с которых выполнен вход, а также настроить способы восстановления доступа. Приложение также сообщает пользователю о каждом входе в его аккаунт в пуш-уведомлении.

Яндекс ID генерирует одноразовые коды (RFC TOTP) для входа на ресурсы, где есть двухфакторная аутентификация, например «Госуслуги». Подход к безопасности с Яндекс ID соответствует лучшим мировым практикам, что подтверждает сертификат ISO/IEC 27001.

Источник: ООО «Яндекс»

Крупнейшая страховая компания Ирландии Vhi Healthcare внедрила биометрическую аутентификацию от HYPR для более 1 млн клиентов. Решение повышает безопасность предоставления сервисов, снижает операционные расходы и улучшает пользовательский опыт. Внедрение беспарольной технологии позволило полностью отказаться от затрат на сброс паролей, одновременно остановив атаки с использованием украденных учётных данных. Это решение не только обеспечило соответствие строгим требованиям PSD2 для сильной аутентификации клиентов (SCA), но и значительно повысило удобство для пользователей всех возрастов, включая пожилых людей с телефонами без современных защитных технологий.

В результате Vhi Healthcare добилась существенного повышения продуктивности службы поддержки и качества обслуживания клиентов, создав безопасную и интуитивно понятную цифровую экосистему для здоровья.

Источник: Vhi Healthcare

Альфа-Банк и Т1 Облако запустили гибридную облачную инфраструктуру на базе графических ускорителей для тестирования и внедрения генеративного ИИ, где ключевой приоритет — это защита данных.

Платформа адаптирована под строгие банковские стандарты с усиленным логированием, мониторингом, безопасными API и защищенными каналами между дата-центрами, обеспечивая надежность и масштабируемость для внутренней ИИ-платформы AlfaGen. Решение позволяет быстро прототипировать сервисы вроде ИИ-ассистентов для разработчиков и аналитики.

Источник: АО «Альфа-Банк», ООО «Т1Клауд»

Антон Степанов

Генеральный директор, Т1 Облако

Сегодня оперативное подключение высокопроизводительных вычислительных ресурсов через облако — частый запрос крупного бизнеса. Нашей задачей было — помочь Альфа-Банку в создании информационной платформы, которая позволит гибко и, самое главное, безопасно внедрять инструменты генеративного ИИ. Команда Т1 Облако провела серьезную работу над созданием надежной гибридной инфраструктуры, соответствующей стандартам безопасности, а экспертиза Альфа-Банка в комплексной поддержке ИТ-систем позволила плавно интегрировать ее в процессы компании.

Домен detect

Обнаружение угроз безопасности в реальном времени

Case study: detect

Центр противодействия кибератакам Solar JSOC – это первый и крупнейший коммерческий SOC в России. Входит в ТОП-5 европейских MSSP (Managed Security Service Provider) по объему бизнеса. Под защитой центра более 300 организаций из разных секторов экономики, а штат специалистов по кибербезопасности превышает 750 человек. Правила, индикаторы компрометации и сигнатуры SOC непрерывно обогащаются данными центра исследования киберугроз Solar 4RAYS, который сегодня аккумулирует крупнейшую в России базу знаний о кибератаках. Таким образом, экспертиза Solar JSOC позволяет оперативно и своевременно выявлять актуальные угрозы и пресекать атаки даже профессиональных киберпреступников.

Сервис мониторинга и анализа инцидентов ИБ от Solar JSOC предназначен для оперативного обнаружения угроз в инфраструктуре организации. Сервис оказывается на базе SIEM-системы (системы выявления инцидентов ИБ), которая может быть развернута как в облачной инфраструктуре ГК «Солар», так и в инфраструктуре клиента. Сервис оказывается 24/7 за счет 6 филиалов, расположенных в разных часовых поясах: производится сбор и анализ событий ИБ, предоставляются рекомендации по реагированию, оказывается помощь в расследовании. Источник: АО «СОЛАР СЕКЬЮРИТИ»

Билайн вместе с «Лабораторией Касперского» запустили сканер киберугроз – он доступен в приложении оператора бесплатно. Клиенты смогут узнать, посещали ли они с устройства потенциально опасные ресурсы, такие как фишинговые или вредоносные сайты. Проверка осуществляется на уровне сети и не требует дополнительного ПО. Оператор проверит данные о трафике за последние 30 дней, сравнит их с базами киберугроз и выдаст результат в виде светофора.

По данным Билайн, телеком-оператор за последние три месяца 2025 года заблокировал 50+ тыс. фишинговых ресурсов, а почти 4 млн клиентов столкнулись с киберугрозами. Источник: АО «Лаборатория Касперского»

Respond

Identify (фоновый мониторинг) — Protect (внедрение решений) — Detect (выявление угроз) — Respond (реагирование на инцидент) — Recover (восстановление и предотвращение). Supply Chain — Dependency management: управление взаимодействиями с поставщиками.

Реагирование на инциденты иб: экстренные меры и дорожная карта

Case study: Respond

Cистему безопасности для реагирования на возможные киберинциденты, разработанную инженерами компании VK, внедрили в отечественный мессенджер MАХ. Решение содержит больше 10 петабайт данных для кибер-расследований, что повышает скорость реагирования на возможные инциденты, предоставляя проактивную и превентивную охоту за угрозами. Источник: ООО «ВК»

МТС Web Services внедрила решение для управления обращениями и инцидентами в «АШАН». Итоговое решение включает кастомную форму для приема обращений и поддерживает разные сценарии подачи заявок — в том числе полностью анонимные. Для таких запросов создан отдельный защищенный чат, где заявитель может общаться без раскрытия персональных данных. Отдельное внимание было уделено прозрачности коммуникаций: встроенный чат позволяет сотрудникам «АШАН» вести переписку с заявителем и между собой, фиксируя все действия в журнале изменений в соответствии с требованиями ИБ.

Развертывание и адаптация платформы MWS Tables на инфраструктуре заказчика заняли менее 3 месяцев. On-premises-модель обеспечила полный контроль над данными и возможность увеличивать количество лицензий без дополнительной перенастройки. Источник: ООО «МВС»

Домен Recover

AFT Framework – Зрелость кибербезопасности. Для самостоятельной оценки в финансовых организациях.

Identify (фоновый мониторинг), Protect (внедрение решений), Detect (выявление угроз), Respond (реагирование на инцидент), Recover (восстановление и предотвращение). Supply Chain - Dependency management: управление взаимодействиями с поставщиками.

Восстановление данных, систем и процессов после инцидента и меры предотвращения

Case study: Recover

В октябре 2025 года на территории Университета Иннополис Банк России провел международные киберучения «Евразия-2025». В трансграничных киберучениях приняли участие представители финансовых регуляторов и финансовых организаций стран Евразийского экономического союза (ЕАЭС) и одной из стран-наблюдателей.

Участники мероприятия расследовали компьютерный инцидент в банке, который, по легенде, подвергся атаке хакеров. Сценарий был связан с эксплуатацией уязвимостей в программных продуктах, используемых этим банком. Командам требовалось восстановить его инфраструктуру и провести расследование, чтобы выйти на след злоумышленников – пройти весь сценарий Recovery. Всю собранную информацию команды передавали в ФинЦЕРТ Банка России.

Чтобы эффективнее противодействовать глобальным киберугрозам, Банк России продолжит сотрудничество с финансовыми регуляторами из стран ЕАЭС и других заинтересованных государств. Источник: Центральный банк Российской Федерации

СберУниверситет внедрил новую версию системы резервного копирования и восстановления данных Кибер Бэкап от российской компании «Киберпротект». Решение защищает более 40 ТБ данных СберУниверситета при высокой скорости работы. На обновление системы заказчику потребовался всего 1 день.

Кибер Бэкап также позволяет прогнозировать показатели RTO / RPO, что важно для образовательного центра, в котором ежегодно повышают квалификацию 40+ тысяч топ-менеджеров, госслужащих и предпринимателей. Источник: ООО «Киберпротект»

Домен Supply Chain – Dependency Management

AFT Framework – Зрелость кибербезопасности. Для самостоятельной оценки в финансовых организациях.

Identify (фоновый мониторинг), Protect (внедрение решений), Detect (выявление угроз), Respond (реагирование на инцидент), Recover (восстановление и предотвращение). Supply Chain - Dependency management: управление взаимодействиями с поставщиками.

Управление взаимодействием с поставщиками

Case study: Supply chain

В конце августа 2025 года злоумышленники парализовали ИТ-системы Jaguar Land Rover, что вынудило концерн остановить производство автомобилей на всех 3 британских заводах. Простои продолжались около 6 недель, за которые JLR не выпустила тысячи запланированных машин, понесла прямые убытки почти на 200 млн фунтов и нанесла ощутимый удар по всей отрасли. В октябре 2025 года выпуск автомобилей в Великобритании просел на 24% в годовом сравнении именно вследствие простоя JLR. В регионе Уэст-Мидлендс более 70% предприятий-подрядчиков сообщили о негативном влиянии атаки на JLR. Британскому правительству пришлось рассматривать вопрос о поддержке пострадавших участников цепочки поставок, а самому JLR в итоге был предоставлен льготный заем на 1,5 млрд фунтов для восстановления деятельности. Этот инцидент показал, как уязвимость одного узла приводит к каскадному сбою всей сети. Источник: АО «Позитив Текнолоджиз»

В JavaScript в сентябре 2025 был зафиксирован инцидент, объектом которого был Node Package Manager (npm) и ряд широко используемых JavaScript-пакетов, входящих в цепочки программного обеспечения. Злоумышленники получили доступ к учётным данным разработчика npm-пакетов через фишинговую кампанию. Письмо пришло с поддельного домена npmjs.help и выглядело как официальное уведомление об обновлении 2FA.

В результате инцидента были скомпрометированы порядка 150 программных пакетов, включая компоненты, связанные с экосистемой CrowdStrike. Часть затронутых библиотек, имеющих миллионы загрузок в неделю, содержала вредоносный код, предназначенный для хищения токенов и ключей аутентификации. Его особенность — способность распространяться автоматически, заражая другие доступные пакеты. Npm выявили скомпрометированные пакеты и удалили их из реестра. Разработчикам рекомендовали усилить защиту учётных записей, внедрить проверку целостности зависимостей и наладить процессы аудита цепочки поставок на всех этапах жизненного цикла ПО. Источник: ООО «АМ Медиа»

Выводы и дальнейшие шаги

За последние годы финансовый сектор столкнулся с ростом киберугроз: в 2024 году Банк России зафиксировал не менее 750 целевых кибератак на финансовые организации, большая часть которых была нацелена на выведение из строя ключевой инфраструктуры. В 2025 года тренд только усилился: по данным RED Security SOC, количество атак на финансовый сектор в России выросло в 2,2 раза по сравнению с аналогичным периодом 2024 года, при этом критическими признано свыше 13% инцидентов. По оценке Сбербанка, совокупный ущерб российской экономики от кибератак в 2025 году может достигать более 1,5 трлн рублей, значит, кибербезопасность перестала быть задачей исключительно для технических специалистов: это стратегический фактор устойчивости бизнеса, напрямую влияющий на финансовые результаты, репутацию и доверие клиентов. Фреймворк Ассоциации ФинТех — это практический ответ на системный вызов, с которым сталкиваются сегодня участники финансового рынка.

За основу взят международный стандарт NIST CSF, мы адаптировали его, наполнили вопросами и примерами из российской практики, чтобы руководитель или специалист ИБ мог самостоятельно провести диагностику внутренней функции кибербезопасности.

Фреймворк охватывает не только традиционные защиту и обнаружение, но и стратегическое управление (Governance) и восстановление после возможных инцидентов (Recover). Что актуально, мы также рассмотрели домен по управлению цепочкой поставок (Supply Chain), так как современные типы угроз могут проникать и через систему партнеров, даже если меры защиты в вашей организации на высоком уровне зрелости.

Что мы предлагаем сделать дальше?

01. Проведите самооценку

Ознакомьтесь с методологией и заполните опросные листы, проставив баллы с оценкой по каждому из доменов.

02. Определите приоритеты

Например, высокая зрелость в «Governance» при низкой в «Protect» могут указывать на разрыв между стратегией и тактикой: политика и регламенты функции не дополняются внедренными мерами защиты и их соблюдением. Фреймворк помогает выявить возможные отклонения.

03. Сформируйте дорожную карту

Мы предлагаем использовать полученную оценку для построения практического плана работ для повышения уровня зрелости кибербезопасности на 12-18 месяцев, фокусируясь на ключевых рисках для вашего бизнеса.

04. Делитесь опытом

На площадке АФТ мы организовываем встречи для участников экспертных сообществ, где мы будем рады вашей обратной связи как по сложности и удобству использования фреймворка, так и по практическим кейсам применения – вашим успехам в области кибербезопасности.

Выстраивание устойчивой функции кибербезопасности — это непрерывная системная работа, и мы верим, что фреймворк, который предлагает АФТ, станет дополнительным шагом в построении цифрового и устойчивого финансового рынка России.

Над исследованием работали

Команда АФТ

Привлеченные эксперты

Дизайн

Исследования и аналитика

research.analytics@fintechru.org

Ассоциация ФинТех основана в конце 2016 г. по инициативе Банка России и ключевых участников отечественного финансового рынка. Это уникальная площадка для конструктивного диалога регулятора с представителями бизнеса. Здесь формируется экспертная оценка инновационных технологий с учетом международного опыта, а также разрабатываются концепции финансовых технологий и подходы к их внедрению.

Информация, содержащаяся в настоящем документе (далее – Исследовании), предназначена только для информационных целей и не является профессиональной консультацией или рекомендацией. Ассоциация ФинТех не дает обещаний или гарантий относительно точности, полноты, своевременности или актуальности информации, содержащейся в Исследовании. Материалы Исследования полностью или частично нельзя распространять, копировать или передавать какому-либо лицу без предварительного письменного согласия Ассоциации ФинТех.