Предисловие
Семь специалистов, семь Excel-таблиц, и десятки требований регуляторов, которые обновляются со скоростью света. Каждая проверка — это гонка с дедлайном, хаос в переписках и отчаяние в глазах команды. Дошло до того, что отпуск одного сотрудника мог парализовать работу всей службы ИБ. Перемены не приходят в одночасье, обычно осознание того, что нужно что-то менять приходит слишкомпоздно — а именно, после первого серьезного инцидента, когда урон уже нанесен.
Когда мы думаем об информационной безопасности в банках, чаще всего представляется гигантская организация с отдельным ситуационным центром, огромным штатом SOC-аналитиков, миллионами в бюджете, заложенными на киберзащиту и командой проектных менеджеров, которые годами тестируют и внедряют системы и подходы. Но реальность не всегда является такой.
Сотни небольших банков в России и странах СНГ работают в совершенно иных условиях: команда ИБ — это несколько специалистов, бюджет — строго ограничен, а требования регуляторов — те же самые, что и для топ-10 игроков рынка.
Наш кейс — про один такой небольшой банк в России. Всего семь сотрудников в службе ИБ. И при этом — ГОСТ 57580, методические рекомендации 3/8/12, 72 форма отчетности и десятки других обязательных требований, которым нужно соответствовать.
Пролог
Немного статистики:
В 2024 году Банк России отозвал лицензии у шести кредитных организаций. В России лицензии у банков чаще всего отзываются по целому ряду причин: от проведения сомнительных операций и рискованной кредитной политики до предоставления недостоверной отчетности и систематического невыполнения предписаний регулятора. Финансовая отрасль — самая зарегулированная отрасль, поэтому соответствие требованиям и аудиты становятся краеугольным камнем.
Глава первая: До
Банковская сфера — это всегда про высокую цену ошибки. Одно неверно заполненное поле в отчетности, просроченный документ или несвоевременный ответ регулятору могут обернуться не просто штрафом, а запретом на отдельные операции или потерей лицензии. Регуляторный контроль здесь непрерывный: плановые проверки чередуются с внеплановыми, а запросы могут прийти в любой момент. При этом требования обновляются, формы меняются, а сроки на предоставление информации часто измеряются днями, а не неделями.
В крупных банках с этим справляются за счет масштабных ИБ-отделов, автоматизированных систем, а порой, и выделенных команд, которые занимаются только задачами по соответствию требованиям. В небольших — всё иначе. Те же самые требования, но всего несколько человек в штате, которые одновременно:
занимаются инцидентами;
сопровождают инфраструктуру;
ведут документацию;
готовят ответы регуляторам.
В таких условиях даже небольшая внеплановая проверка способна парализовать работу службы ИБ.
Любой запрос от регулятора превращается в стресс. Чтобы ответить на него, приходится:
искать нужные данные в разрозненных Excel-таблицах, которые каждый ведет по-своему;
перепроверять, актуальна ли информация и когда она обновлялась в последний раз;
разбираться, кто отвечает за конкретный раздел и есть ли этот человек сейчас на месте. А этот человек может быть в отпуске или уволиться.
Ситуация настолько хаотична, что в среднем подготовка к аудиту занимала месяц. Даже если команда успевает все подготовить, это происходит ценой переработок, срывом других задач и выгорания. А на следующий день после аудита все начинается по новой.
Штрафы и предписания стали нормой. Не потому, что специалисты не знали, что делать, а потому что процесс не был централизованным и контролируемым.
Глава вторая: После
История этого кейса началась случайно. Сотрудник службы ИБ наткнулся на статью про автоматизацию процессов ИБ в Anti-Malware. В материале рассказывалось о SGRC системе SECURITM, которая объединяет ключевые процессы информационной безопасности в одном окне. Особенно подкупала встроенная обновляемая база регуляторики для проверки соответствия требованиям. Сначала идея показалась слишком хорошей, чтобы быть правдой. Но у SECURITM была бесплатная Community версия для тестирования. Это удобно, поскольку не пришлось рисковать бюджетом.
Тест начался с простого: перенесли в систему один небольшой процесс, чтобы понять, как это работает на практике. Через несколько недель стало ясно, что инструмент действительно экономит время и ликвидирует хаос.
После этого банк перешел к полноценному пилоту, а ещё через полтора месяца — к эксплуатации системы. SECURITM — это единая система, но система является не монолитом, а конструктором, который позволяет собрать для себя именно такой набор модулей, которые требуются на данном этапе. Решено было начать с пяти направлений: активы, уязвимости, риски, меры и, конечно, требования.
Внедрение прошло в три этапа:
Оцифровка активов — весь список активов перенесли в систему, описали, привязали к владельцам. Теперь можно было не только в реальном времени увидеть цифровую модель компании, но и понять, кто за что отвечает.
Привязка к требованиям — каждому активу и процессу назначили релевантные регуляторные требования.
Автоматизация отчетности — теперь при запросе регулятора или аудиторов можно было за пару кликов сформировать отчет с текущим статусом соответствия.
Результат, который почувствовали сразу
Через месяц сотрудники перестали бояться слова «аудит». Теперь они знали: достаточно зайти в SECURITM и там будет вся необходимая информация — не нужно обзванивать коллег, копаться в архивах или срочно искать человека, который «знает, где лежит этот файл».
Через три месяца количество предписаний снизилось почти до нуля. Штрафы перестали быть регулярным явлением. А главное — появилась прозрачность. Руководитель службы ИБ видит весь ландшафт целиком — где риски, где несоответствия, кто за них отвечает и какие шаги нужно предпринять.
При этом процессы перестали зависеть от кадровых перестановок. Если сотрудник увольняется или уходит в отпуск, работа не останавливается: SECURITM хранит и процессы, и данные, и историю изменений.
Почему это важно для маленьких банков и всех НФО в целом
Внедрение системы ИБ часто воспринимается как долгий и дорогой проект. Но этот кейс показал, что можно начать с малого — с первой ступени зрелости, когда хаос отступает, а процесс потихоньку становится управляемым. Для этого не нужен гигантский бюджет или полугодовой пилот: SECURITM разворачивается за 30 минут.
С этого момента банк уже экономит: меньше ошибок, меньше потенциальных штрафов, меньше потерь времени, меньше выгорания команды. И самое ценное — появляется основа, на которую можно надстраивать всё остальное: управление рисками, автоматизацию реагирования на инциденты, аналитику.
Этот переход — шаг от выживания к развитию. И для многих компаний именно он открывает путь к следующему уровню зрелости информационной безопасности.
Комментарии (0)
Shaman_RSHU
16.09.2025 10:37Не хотел бы я быть клиентом банка, где вместо аналитиков SOC только "бумажные" безопасники с кучей отчётности в ЦБРФ. Это должно быть в фоне основных задач практической безопасности.
С этого момента банк уже экономит: меньше ошибок, меньше потенциальных штрафов, меньше потерь времени, меньше выгорания команды. И самое ценное — появляется основа, на которую можно надстраивать всё остальное: управление рисками, автоматизацию реагирования на инциденты, аналитику
Банк скорее всего экономит, но про защиту активов клиентов ничего не предусмотрено.
itGuevara
Она только для тестирования поможет? Нет ли в ней какого-либо шаблона, который можно загрузить и сразу понять как выстроить в организации процесс (практический, т.е. сделай раз, сделай два ...) по 850П?
Nic_Kazantsev Автор
Community версия поможет выстроить и управлять процессом соответствия.
В ней можно взять на контроль необходимые нормативно-правовые акты, которые уже разделены на требования. И по каждому требованию есть возможность провести оценку соответствия (выполнено/не выполнено/как выполнено) на текущий момент в организации.
Если говорить про Положение Банка России 850-П от 13.01.2025 про обязательные требования к операционной надежности, то этот документ уже доступен в нашей базе, как и утратившее силу Положение Банка России № 787-П от 12.01.2022. Новое положение скросскоррелировано со старым и другими похожими требованиями, что облегчает процедуру оценки соответствия разным стандартам и требованиям.
Более того, доступна также база защитных мер, которые помогают понять - а как или чем можно соответствовать (что необходимо сделать, какое средство защиты внедрить, какой регламент выпустить (иногда с примерами) и т.д.). Защитные меры можно также создавать самостоятельно для себя в своей команде, если Вы понимаете что чего-то пока еще нет в базе.