ЦБ готовит единые требования по информбезопасности для страховщиков: что меняется и кому готовиться

Банк России прорабатывает вопрос об установлении требований стандартного уровня защиты информации для всех страховых организаций. Об этом регулятор сообщил «Интерфаксу», передает ИА «Финмаркет». Для рынка страхования это означает переход к единому базовому уровню ИБ, который затронет не только страховщиков, но и смежные сегменты финансовой экосистемы: банки, лизинг, инвестиции и участников, связанных с обработкой персональных данных.

Единый стандарт ИБ: текущие нормы и планируемые изменения

В настоящее время требования к информационной безопасности дифференцированы в зависимости от размера активов страховщика. Как пояснили в ЦБ, в соответствии с положением № 757-П стандартный уровень защиты информации по ГОСТ Р 57580.1-2017 обязаны обеспечивать страховщики с активами свыше 20 млрд р. Они также не реже одного раза в три года проводят оценку соответствия требованиям с привлечением внешних проверяющих и обязаны оценивать безопасность прикладного программного обеспечения. Остальные компании реализуют только минимальный уровень защиты.

«Сейчас Банк России прорабатывает вопрос о реализации требований стандартного уровня защиты информации всеми страховыми организациями», — сообщили в ЦБ.

Переход к единому стандарту усилит дисциплину управления рисками и позволит страхователям, клиентам и партнерам по страхование видеть сопоставимый базовый уровень защиты. Это особенно важно для экосистем, где взаимодействуют страховые компании, банки и провайдеры ИТ‑услуг, а также для процессов, связанных с кредиты, ипотека и корпоративный лизинг.

Квалификационные требования и деловая репутация

Параллельно ко второму чтению готовится законопроект о квалификационных требованиях и деловой репутации руководителей финансовых организаций. Документ предусматривает возможность признания деловой репутации заместителя руководителя по информационной безопасности неудовлетворительной при утечке персональных данных. Также ЦБ предлагает ввести критерий, связанный с нарушением требований по противодействию кибермошенничеству.

«Если в течение года регулятор неоднократно применял меры к организации за нарушение требований к защите информации и борьбе с мошенничеством, то профильный топ-менеджер банка на 10 лет лишается возможности занимать руководящие должности… Для топ-менеджеров страховых компаний… срок составит 5 лет», — пояснили в ЦБ.

На этом фоне актуализируются решения по управлению персональными рисками, включая Страхование ответственности директоров и руководителей (D&O), а также специализированные отраслевые продукты для финсектора, например Страхование МФО и КПК. Такие инструменты дополняют корпоративную систему контроля и повышают устойчивость компаний к регуляторным и операционным шокам.

Рост кибератак и уязвимость цепочки поставок

Регулятор отмечает рост активности кибератак.

«Злоумышленники по-прежнему пытаются скомпрометировать инфраструктуру финансовых организаций с использованием фишинговых рассылок… проводят DDoS-атаки», — указали в Банке России.

Наибольшую опасность представляют атаки на поставщиков ИТ-услуг, к которым ранее не применялись требования по информационной безопасности. В ответ разработан законопроект о правовом регулировании аутсорсинга ИТ и облачных сервисов для финансовых организаций. Это критично для экосистем, где обрабатываются платежи, инвестиции, скоринг по кредиты и ипотека, а также договоры лизинг.

Позиция отрасли: подтверждение тренда

Глава НСИС Николай Галушин подтвердил рост угроз:

«В целом рынок испытывает всевозрастающую нагрузку от кибератак. Масштаб атак в разы увеличился с 2022 г.».

По его словам, с 2026 г. НСИС полностью берет на себя разработку и сопровождение АИС страхования.

«Создание компетенций внутри компании — это еще и 100% внутренней ответственности за функционирование системы», — подчеркнул он.

Для страхового рынка это означает необходимость синхронизировать процессы страхование с едиными регуляторными подходами и практиками защиты информации, особенно в связке со смежными секторами — банки, инвестиции, кредиты, ипотека, лизинг. Компании, которые заранее адаптируют архитектуру ИБ, проведут аудит ПО и подготовят персонал, быстрее пройдут оценку соответствия и сохранят доверие клиентов.