+7 (495) 980-67-76

Новые правила категорирования для финансовых организаций. Как теперь оценивать объекты КИИ?

13 февраля 2026

С 15 февраля 2026 года вступит в силу недавно опубликованное Постановление Правительства РФ от 6 февраля 2026 года № 92 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка», которое устанавливает отраслевые особенности категорирования объектов критической информационной инфраструктуры (ОКИИ) в банковской и финансовой сферах. Документ разработан совместно с Банком России, является дополнением к общим Правилам категорирования (Постановление Правительства РФ от 08 февраля 2018 года № 127) и адаптирует процедуру категорирования под специфику финансового рынка.

При этом какой-либо переходный период на уточнение и категорирование своих ОКИИ в соответствии с новыми указаниями не предусмотрен. У субъектов КИИ до 15 февраля есть время изучить новые требования, а далее в соответствии с Постановлением Правительства № 127 необходимо провести инвентаризацию и категорирование своих систем, а также начать подготовку к новой системе отчетности о значимых ОКИИ.

Что это значит на практике?

До сих пор необходимость отнесения информационных систем к ОКИИ и оценка их критичности для организаций банковской сферы и иных сфер финансового рынка часто носила достаточно субъективный характер. Постановление Правительства переводит этот процесс на рельсы объективных, измеримых показателей. Под действие правил подпадают не только кредитные организации, но и:

      1.      Государственный орган, юридическое лицо, выполняющее функции (полномочия) в банковской сфере и иных сферах финансового рынка, или подведомственная им организация (в том числе Банк России);

      2.      Некредитные финансовые организации, которые осуществляют виды деятельности, указанные в части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)»;

      3.      Субъекты национальной платежной системы, определенные в ФЗ от 27 июня 2011 года № 161 «О национальной платежной системе»;

      4.      Лицо, оказывающее профессиональные услуги на финансовом рынке;

      5.      Бюро кредитных историй.

Документ детализирует, по каким показателям (позициям Перечня критериев значимости) должны оцениваться различные информационные системы, принадлежащие на законных основаниях рассматриваемым субъектам, например:

  • Объекты органов государственной власти и подведомственных им организаций, обеспечивающие выполнение функций (осуществление полномочий) в банковской сфере и иных сферах финансового рынка, а также коммерческие Центры обработки данных – по нарушению функционирования госоргана, международных договоров (показатели 6 и 7).

  • Типовые объекты госкорпораций, государственных унитарных предприятий, государственных компаний, организаций оборонно-промышленного комплекса, стратегических акционерных обществ, стратегических предприятий оцениваются – по возникновению ущерба субъекту КИИ (показатель 8).

  • Все типовые объекты оцениваются – по возникновению ущерба бюджетам РФ (показатель 9).

  • Системы ЦБ РФ, обеспечивающие функции по переводу денежных средств (в том числе ССНП, СБП), системы ДБО и АБС кредитных организаций, процессинговые системы – по объему операций перевода денежных средств (показатель 10).

Детализировано применение показателей 10¹–10⁷ для отдельных типов некредитных финансовых организаций.

Как будут оценивать системы?

Ключевые изменения затронули расчет по показателям значимости 8 и 9:

      1.      Показатель 8 – расчет осуществляется согласно внутренним документам субъекта КИИ.

      2.      Показатель 9 – для расчета приведена формула, учитывающая:

  • среднее время простоя и/или деградации технологических процессов кредитных организаций и некредитных финансовых организаций за последние 3 года (на основании значений, определенных в положениях об операционной надежности Банка России от 31 января 2025 года № 850-П и от 15 ноября 2021 года № 779-П);

  • продолжительность восстановления оказания услуг платежной инфраструктуры;

  • максимально возможное время нарушения технологических процессов, приводящего к неоказанию или ненадлежащему оказанию услуг на финансовом рынке;

  • сопутствующий экономический ущерб субъекта КИИ, усредненный за последние 3 года.

Формально закреплены интересные детали, которые необходимо в обязательном порядке учитывать при оценке:

  • Наихудшие сценарии атак и отсутствие защитных мер – при оценке уязвимости систем рекомендуется рассматривать максимально возможный ущерб, как будто защита полностью отсутствует.

  • Взаимозависимости между системами – нужно учитывать, как сбой в одной системе может повлиять на другие.

  • Статистику предыдущих инцидентов – при оценке угроз рекомендуется анализировать статистику уже произошедших инцидентов.

Что изменится для организаций? Обязанности субъектов КИИ

  • Отчетность станет строже. Ежегодно, не позднее 10-го рабочего дня года, все упомянутые организации должны будут предоставлять в Банк России или Минфин (в зависимости от типа организации) актуальный перечень значимых ОКИИ.

  • Ответственность возрастет. Теперь не получится сказать «эта система у нас не очень важная» без объективных расчетов. Если система по формулам подпадает под критерии значимости, она автоматически становится объектом повышенного внимания регуляторов.

  • Оперативное уведомление уполномоченного органа при изменении категорий. В течение 10 дней информировать Банк России или Минфин о любых изменениях в категориях значимости ОКИИ.

Значение документа для отрасли

Документ устанавливает комплексный подход к оценке значимости ОКИИ с учетом специфики финансовой сферы, при этом особое внимание уделяется количественным показателям и их влиянию на функционирование финансового рынка в целом:

  • Ужесточает и систематизирует подход к определению и категорированию ОКИИ в ключевом для экономики финансовом секторе.

  • Переводит оценку критичности систем с качественного на количественный уровень, вводя конкретные формулы.

  • Повышает ответственность финансовых организаций за инвентаризацию и защиту своей ИТ-инфраструктуры.

Что дальше?

В связи со скорым вступлением в действие отраслевых особенностей и отсутствием переходного периода на приведение в соответствие ОКИИ, субъектам КИИ финансовой сферы необходимо как можно оперативнее отреагировать и приступить к инвентаризации и категорированию своих систем по новым правилам, тем более что этого требует и 127-ПП.

«Регуляторы в лице ЦБ РФ и ФСТЭК России всё чаще обращают внимание на выполнение требований 187-ФЗ и включают поднадзорные организации в планы проверок, направляют письма о необходимости представить подтверждения процедуры категорирования. Зачастую регуляторы предоставляют на ответ такой срок, в течение которого сложно выполнить что-то с нуля. Мы рекомендуем обратить на это внимание и своевременно приступить к выполнению новых указаний, чтобы не стать заложниками ситуации», – Игорь Тарви, Руководитель направления защиты объектов критической информационной инфраструктуры

Наши услуги

АО «ДиалогНаука» предлагает комплексные услуги по приведению ОКИИ в соответствие требованиям 187-ФЗ – от быстрой оценки статуса до проектирования и внедрения защиты. Коротко, что делаем:

  • Экспресс-оценка статуса и перечня ОКИИ.

  • Категорирование: методика, обследование, расчеты показателей, присвоение категорий; комплект сведений в ФСТЭК.

  • Документы: модель угроз; приказы, регламенты, протоколы комиссии.

  • Выполнение требований приказов ФСТЭК № 235/239: проектирование, поставка и внедрение средств защиты.

Контактные данные для связи:

+7 (495) 980-67-76, +7 (499) 670-95-95, info@dialognauka.ru.
998
Подписаться на рассылку
Услуги
Проведение категорирования объектов КИИ
Все услуги

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.