Новый стандарт информационной безопасности для банков (СФУТ 9.03-2025). Что изменится с 2027 года?

21 января опубликован стандарт финансовых услуг и технологий СФУТ 9.03-2025 «Банковская деятельность. Обеспечение информационной безопасности. Общие требования». Он уже утвержден Национальным банком Республики Беларусь и вступает в силу с 1 января 2027 года. Этот стандарт станет обязательным для банков и небанковских кредитно-финансовых организаций. А значит на выполнение его требований для соответствия стандартам у организаций остается меньше одного года.

В нашем материале мы кратко расскажем об изменениях.

Кратко о СФУТ 9.03-2025

Стандарт устанавливает единые базовые требования к обеспечению информационной безопасности в банках, небанковских кредитно-финансовых организациях и ОАО «Банк развития Республики Беларусь».

Он применяется при:

• проектировании и развитии ИТ-инфраструктуры;
• построении системы информационной безопасности (СИБ);
• аудите ИБ;
• внедрении системы менеджмента информационной безопасности (СМИБ).

ВАЖНО!

Стандарт не рекомендательный. Его требования должны быть встроены во внутренние документы и процессы. В документе на этот счет есть две оговорки:

1. В стандарте определены базовые требования к СИБ. С учетом особенностей деятельности отдельных банков данные требования могут быть уточнены в локальных правовых актах.
2. При технической невозможности или экономической нецелесообразности реализации отдельных требований к СИБ на этапе проектирования разрабатываются компенсирующие меры, направленные на нейтрализацию угроз ИБ. При этом банк должен обосновать применение таких мер.

Антивирусная защита и вредоносный код

Вредоносное программное обеспечение остаётся одним из самых массовых и универсальных инструментов атак на финансовые организации. Фишинг, шифровальщики и вредоносные вложения в письмах по-прежнему успешно обходят формальные меры защиты и часто становятся точкой входа для более серьёзных инцидентов.

Стандарт СФУТ 9.03-2025 рассматривает антивирусную защиту не как «установленный продукт», а как непрерывный управляемый процесс. Регулятор ожидает, что банк не просто реагирует на заражения, а способен предотвращать распространение вредоносного кода, быстро локализовывать инциденты и минимизировать ущерб для бизнес-процессов.

Стандарт регламентирует:

• использование только сертифицированных средств;
• регулярное обновление и сканирование;
• контроль съёмных носителей;
• порядок действий при заражениях.

Безопасная разработка ПО

Современные банковские системы – это сложные программные комплексы, которые постоянно дорабатываются, интегрируются и масштабируются. Ошибки, заложенные на этапе проектирования или разработки, очень сложно компенсировать техническими средствами защиты на этапе эксплуатации.

Поэтому стандарт делает акцент на безопасной разработке, как обязательной части ИБ. Это означает, что безопасность должна учитываться до появления уязвимого кода в продуктиве, а не после инцидента. Такой подход снижает риск критических уязвимостей, утечек данных и компрометации АБС, а также уменьшает затраты на исправление ошибок в будущем.

Требования к безопасности ПО начинаются на этапе проектирования и включают в себя:

• моделирование угроз;
• контроль доступа к исходному коду;
• экспертиза собственного и стороннего кода;
• тестирование на проникновение и фаззинг;
• строгая изоляция сред разработки, тестирования и эксплуатации.

Защита рабочих мест сотрудников

Рабочие места сотрудников один из самых уязвимых элементов ИТ-инфраструктуры финансовой организации. Именно через АРМ чаще всего происходят фишинговые атаки, заражения вредоносным ПО и компрометация учётных данных, включая привилегированные доступы.

Стандарт СФУТ 9.03-2025 прямо учитывает человеческий фактор и требует выстроить защиту рабочих мест комплексно - от технических ограничений до обучения сотрудников и включает стандарты по:

• обязательной идентификации и аутентификации пользователей;
• наличию многофакторной аутентификации для критичных ролей пользователей;
• контролю портов, периферии и ПО;
• правилам работы со съёмными носителями;
• регулярному обучению сотрудников.

Интернет и дистанционное банковское обслуживание

Интернет-доступ и системы дистанционного банковского обслуживания – это одновременно источник удобства для клиентов и повышенный источник угроз для банка. Через внешние каналы проходят финансовые операции, персональные данные и управленческие команды, что делает их приоритетной целью для злоумышленников.

Требования СФУТ 9.03-2025 направлены на исключение неконтролируемого доступа, ограничение распространения инцидентов внутри сети и обеспечение прослеживаемости действий пользователей и администраторов.

Серверы и виртуальная инфраструктура

Серверы, ЦОД и виртуальные среды – основа банковских ИТ-систем, на которой держатся ключевые бизнес-процессы. Компрометация серверной инфраструктуры может привести к масштабным последствиям вплоть до полной остановки финансовых операций.

Регулярные аудиты, контроль изменений, резервное копирование и тестирование на проникновение становятся не рекомендацией, а обязательным элементом обеспечения устойчивости банка.

Особое внимание в документе уделяется:

• физической защите серверов и ЦОД;
• резервному копированию;
• управлению изменениями;
• защите среды виртуализации;
• регулярным аудитам и тестам на проникновение (минимум раз в год).

Криптография и управление ключами

Криптография обеспечивает конфиденциальность данных, целостность операций и подлинность участников взаимодействия. В СФУТ 9.03-2025 уделяется особое внимание управлению жизненным циклом криптографических ключей и встроенности криптографии в бизнес-процессы. Регулятор ожидает, что финансовые организации понимают где, зачем и каким образом они применяют криптографию, а также готовы оперативно реагировать на компрометацию.

Стандарт формализует:

• применение средств криптографической защиты;
• управление жизненным циклом ключей;
• аудит и мониторинг криптографических событий;
• действия при компрометации ключей.