.PNG)
Финансовый сектор: кибербезопасность и SOC-мониторинг
Финансовый сектор — лидер по числу кибератак в России с 2022 года.
Средний ущерб от одного инцидента в банке — 11,5 млн ₽. Каждый третий — BEC-мошенничество. SOC для банков, НКО и финтех с поддержкой требований ЦБ РФ: ГОСТ Р 57580, FinCERT, Положения 683-П и 719-П. Мониторинг платёжных систем и противодействие фроду 24/7.
Актуальные угрозы: Финансовый сектор
Специфические векторы атак, о которых должен знать ваш SOC
Фишинг и BEC-мошенничество
Целевые фишинговые атаки на бухгалтерию, казначейство и топ-менеджмент финансовых организаций. Business Email Compromise (BEC) — компрометация деловой переписки с имитацией директора или контрагента — приводит к несанкционированным переводам на суммы от сотен тысяч до десятков миллионов рублей. Среднее время от первого письма до вывода средств — 3–5 рабочих дней.
Атаки на интернет-банк и API
Атаки на веб-приложения и мобильное API банков: SQL-инъекции, XSS, уязвимости аутентификации, атаки на бизнес-логику платёжных процессов. Уязвимость в одном API-эндпоинте может открыть доступ к счетам тысяч клиентов. Особенно опасны IDOR-уязвимости, позволяющие обращаться к чужим данным через подмену идентификатора.
Инсайдерские угрозы в платёжных системах
Сотрудники с привилегированным доступом к АБС, процессинговым системам и хранилищам данных клиентов представляют системный риск. UEBA-мониторинг (анализ поведения пользователей и сущностей) выявляет аномальные паттерны: нетипичное время работы, массовые запросы к данным клиентов, необычные транзакции — до того, как ущерб нанесён.
DDoS на процессинг и интернет-банк
Целенаправленные DDoS-атаки на платёжную инфраструктуру в пиковые часы или в дни крупных платежей. Блокировка процессинга на 1 час обходится банку среднего размера в 5–15 млн рублей прямых потерь плюс репутационный ущерб от жалоб клиентов в ЦБ. Атаки часто комбинируются с требованием выкупа.
Регуляторные требования
ГОСТ Р 57580.1-2017
Базовый стандарт защиты информации в финансовых организациях, обязательный по требованию Банка России. Определяет три уровня защиты (0.7, 0.85, 0.95) в зависимости от системной значимости организации. Банки с системной значимостью обязаны достичь уровня не ниже 0.7. Ежегодная оценка соответствия проводится аккредитованными оценщиками. Наличие SOC или подключение к MSSP — обязательное условие для достижения уровней 0.7 и выше.
Положения ЦБ РФ 683-П и 719-П
Положение 683-П регулирует обеспечение защиты информации при осуществлении банковских операций. Требует ведения журналов событий ИБ, мониторинга 24/7, реагирования на инциденты в установленные сроки и ежегодного аудита ГОСТ Р 57580. Положение 719-П распространяет аналогичные требования на некредитные финансовые организации: МФО, НКО, профучастников рынка ценных бумаг.
FinCERT Банка России
Центр мониторинга и реагирования на кибератаки в кредитно-финансовой сфере ЦБ РФ. Финансовые организации обязаны направлять уведомления о компьютерных инцидентах в FinCERT в установленные сроки — как правило, не позднее 3 часов с момента обнаружения для критичных инцидентов, связанных с хищением средств. Взаимодействие с FinCERT — обязательный элемент системы управления инцидентами.
187-ФЗ для финансовой инфраструктуры
Ряд организаций финансового сектора — кредитные организации, биржи, системно значимые участники — относятся к субъектам КИИ. Их информационные системы являются значимыми объектами КИИ с обязательным подключением к ГосСОПКА и выполнением требований Приказа ФСТЭК №239. Это дополнительный слой требований поверх стандарта ГОСТ Р 57580.
SOC КРЕДО-С — лицензиат ФСТЭК с 2007 года и ФСБ с 2009 года. Полный комплект документации для регуляторных проверок предоставляется в рамках договора.
Наши услуги — Финансовый сектор
Комплекс мер защиты с учётом специфики отрасли
Мониторинг событий ИБ (SOC)
Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.
MSSP-услуги
Собственный SOC стоит от 10 млн в год — оборудование, лицензии, три смены аналитиков. MSSP от КРЕДО-С даёт тот же уровень защиты от 50 000 ₽/мес без капитальных затрат и найма.
Расследование инцидентов
Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней.
Анализ защищённости
Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.
Кейс из практики
Региональный банк
300 рабочих мест, 12 отделений, лицензия ЦБ РФ
Банк не соответствовал требованиям ГОСТ Р 57580 (уровень 0.35 при минимуме 0.7) и не имел выстроенного мониторинга событий ИБ. Плановая проверка ЦБ — через 4 месяца. При нарушении — предписание с ограничением деятельности.
Полный аудит по ГОСТ Р 57580, разработка плана повышения уровня защиты, подключение к SOC КРЕДО-С, настройка 40+ корреляционных правил под АБС и процессинговые системы, подготовка документации для проверки ЦБ, инструктаж персонала по работе с инцидентами.
Аудит ГОСТ Р 57580 пройден без замечаний. Уровень защиты повышен с 0.35 до 0.72 за 3 месяца. При плановой проверке ЦБ — 0 предписаний по ИБ. За первые 6 месяцев SOC обнаружил 3 инцидента: 1 BEC-попытку и 2 подозрительных внутренних транзакции.
Полезные статьи
Персональные данные и 152-ФЗ — что нужно знать бизнесу в 2025-2026 году
Что такое персональные данные, какие требования предъявляет 152-ФЗ, какие штрафы грозят за утечку (оборотные штрафы до 3% выручки). Пошаговый план приведения в соответствие и роль SOC в защите ПДн.
Антифишинг для бизнеса — обучение сотрудников кибербезопасности
Почему сотрудники — главная уязвимость компании и как это исправить. Сравнение антифишинг-платформ, ROI обучения и программа киберучений КРЕДО-С.
Мониторинг событий ИБ: как работает и зачем нужен
Мониторинг событий информационной безопасности — непрерывный анализ логов через SIEM для раннего обнаружения атак. Как работает, что мониторить и как выбрать SOC.
Аутсорсинг ИБ: что входит в сервис и сколько стоит
Аутсорсинг информационной безопасности — MSSP или внешний SOC вместо штатного отдела ИБ. Разбираем модели, что входит в сервис, сравнение с инхаусом и стоимость.
Расследование инцидентов ИБ: как проводится и что даёт
Расследование инцидентов информационной безопасности — форензика и анализ цифровых следов атаки. Хронология, масштаб компрометации, доказательная база для регуляторов.
Вопросы и ответы
Что такое ГОСТ Р 57580 и кто обязан соответствовать стандарту?
ГОСТ Р 57580 — стандарт обеспечения операционной надёжности для финансовых организаций, введённый в действие нормативными актами Банка России (Положения 683-П и 719-П). Обязателен для банков, небанковских кредитных организаций (НКО), микрофинансовых организаций (МФО), профессиональных участников рынка ценных бумаг, страховщиков и ряда других категорий. Организации с системной значимостью должны достичь уровня защиты не ниже 0.7 из 1.0. Оценка проводится ежегодно аккредитованными Банком России компаниями. Несоответствие требованиям ведёт к предписаниям ЦБ и возможному ограничению деятельности.
Как SOC помогает выполнить требования Положения 683-П Банка России?
Положение 683-П требует непрерывного мониторинга событий ИБ 24/7, ведения журналов событий со сроком хранения не менее 3 лет, реагирования на инциденты в установленные сроки, ежегодного аудита ГОСТ Р 57580. SOC КРЕДО-С закрывает все эти требования: мониторинг ведётся круглосуточно, журналы хранятся в защищённом SIEM, при инцидентах формируются документы для уведомления FinCERT и Банка России. Кроме того, мы готовим документацию для ежегодной оценки по ГОСТ Р 57580.
Помогаете ли с взаимодействием с FinCERT и уведомлениями Банка России?
Да. При подключении к SOC КРЕДО-С взаимодействие с FinCERT берём на себя: готовим уведомления об инцидентах в установленные сроки (не позднее 3 часов с момента обнаружения для инцидентов категории А), ведём журнал взаимодействия с регулятором, формируем отчёты о принятых мерах. Наши аналитики знают требования FinCERT изнутри и понимают, какой объём информации нужен для уведомления.
Подходит ли ваш SOC для небольших НКО, МФО и кредитных кооперативов?
Да. Мы работаем с финансовыми организациями любого масштаба — от крупных системно значимых банков до небольших кредитных кооперативов. Для НКО, МФО и небольших банков предусмотрен пакет с набором функций, достаточным для соответствия ГОСТ Р 57580, стоимостью от 50 000 рублей в месяц. Мы также помогаем пройти оценку по ГОСТ Р 57580 с нашими партнёрами-оценщиками.
Что такое UEBA и зачем он нужен финансовой организации?
UEBA (User and Entity Behavior Analytics) — технология анализа поведения пользователей и систем для выявления аномалий, не поддающихся обнаружению сигнатурными методами. В финансовых организациях UEBA критически важен для борьбы с инсайдерскими угрозами: выявляет массовый экспорт данных клиентов, нетипичные транзакции, обращения к данным вне рабочего контекста. Это особенно актуально при расследовании случаев продажи данных клиентов или несанкционированных переводов с использованием привилегированного доступа.
Рассчитайте стоимость SOC — Финансовый сектор
Калькулятор учитывает специфику вашей отрасли, регуляторные требования и размер инфраструктуры