Национальный банк утвердил стандарт финансовых услуг и технологий СФУТ 9.04-2026. Документ называется «Банковская деятельность. Обеспечение информационной безопасности. Условия для реализации СФУТ 9.03-2025». Он устанавливает базовые условия для выполнения требований по обеспечению информационной безопасности, заложенных в стандарте СФУТ 9.03-2025. Стандарт вступает в силу с 1 января 2027 года.
Оценка зрелости и кадровое обеспечение
СФУТ 9.04-2026 регламентирует порядок оценки уровня зрелости выполнения процессов системы обеспечения информационной безопасности. Оценка проводится по шкале, включающей несколько уровней — от начального до оптимизированного. Для каждого уровня установлены критерии, позволяющие определить текущее состояние процессов. Банк должен зафиксировать результаты оценки и использовать их при планировании улучшений.
Процессы системы обеспечения информационной безопасности включают управление инцидентами, управление уязвимостями, управление доступом и другие. Для каждого процесса определены ключевые показатели, влияющие на уровень зрелости. Оценка проводится на основе данных, собираемых в течение отчетного периода.
Документ также определяет методику расчета потребностей службы информационной безопасности в кадровых ресурсах. Расчет учитывает объем задач, сложность процессов, количество автоматизированных систем и частоту инцидентов. На основе расчета устанавливается необходимая численность сотрудников и требования к их квалификации. Банк обязан обеспечить соответствие фактических кадровых ресурсов рассчитанным показателям. Методика может использоваться для обоснования штатного расписания и бюджета на персонал.
Оценка рисков и контроль эффективности
Стандарт устанавливает требования к оценке рисков информационной безопасности. Методика включает идентификацию активов, угроз и уязвимостей, оценку вероятности и величины ущерба. Риски ранжируются по шкале от низкого до критического. По результатам оценки разрабатываются меры по их снижению. Стандарт определяет периодичность проведения оценки — не реже одного раза в год. Методика может применяться как ко всей организации, так и к отдельным критическим активам.
Кроме того, СФУТ 9.04-2026 устанавливает процедуры контроля эффективности использования ресурсов, выделяемых на информационную безопасность. Контроль осуществляется через расчет обязательных показателей: доля затрат на информационную безопасность в ИТ-бюджете, стоимость обработки одного инцидента, количество предотвращенных атак. Полученные значения сравниваются с целевыми. Контроль может проводиться как внутренними аудиторами, так и внешними экспертами. Стандарт определяет минимальную периодичность отчетности.
Обязательность и сроки внедрения
Стандарт утвержден постановлением правления Нацбанка. Его положения обязательны для всех банков. Внедрение стандарта направлено на унификацию подходов к обеспечению информационной безопасности. Банки должны привести свои процессы в соответствие с требованиями до 1 января 2027 года. Стандарты серии СФУТ разрабатываются для регулирования различных аспектов банковской деятельности — от платежных сервисов до защиты информации. Новый документ конкретизирует условия реализации общих требований к информационной безопасности. Национальный банк продолжает формирование единой нормативной базы в этой области.
