Банковская сфера занимает особое место в Российской Федерации, выполняя важнейшие функции для стабильного развития экономики государства, в том числе, обладает особым конституционно-правовым статусом, закреплённым статьёй 75 Конституции РФ. Предоставляя широкий спектр финансовых услуг, обеспечивая доступ к финансовым ресурсам как физическим, так и юридическим лицам банковский сектор в последние годы стал объектом масштабного внедрения информационных технологий.

Актуальность темы определяется активным ростом внедрения технологических процессов в банковскую деятельность, которая, в свою очередь, всё же в большей степени подвергается вмешательствам третьих лиц в рамках преступных посягательств. Правовые проблемы информационной безопасности банковского сектора привлекают особое внимание, поскольку в настоящее время законодательное регулирование находится на недостаточном уровне и быстрый темп цифровизации безусловно требует должного правового реагирования, что поможет обеспечить защищенность банковской сферы от негативного воздействия и неправомерного поведения недобросовестных субъектов общественных отношений.

Несмотря на наличие обширной нормативной базы, правовое обеспечение информационной безопасности в банковской сфере сталкивается с рядом системных проблем.

Одним из главных недостатков является высокая степень фрагментации нормативной базы: ответственность и требования распределены между федеральными законами, например: Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон № 152-ФЗ «О персональных данных»; Федеральный закон № 161-ФЗ «О национальной платежной системе»; Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» и отраслевыми актами Банка России, приказами органов исполнительной власти (ФСТЭК, РКН), а также внутренними стандартами кредитных организаций. Эта многослойность создает коллизию норм и повышает издержки на соблюдение требований, поскольку банки вынуждены одновременно ориентироваться на разные по содержанию и уровню детализации акты.

Автором изучены аналитические отчёты «Финансовый сектор: утечки конфиденциальной информации. Мир — Россия, 2021–2023 гг., 2024 г. [9, 10]», подготовленные экспертно-аналитическим центром (ЭАЦ) группы компаний InfoWatch.

В Российской Федерации зафиксировано 64 факта утечек персональных данных в 2023 году, данный показатель превысил показатели аналогичного периода предыдущего года в 3,2 раза. За 2024 г. экспертно-аналитический центр InfoWatch зарегистрировал 25 случай утечек конфиденциальной информации в организациях отрасли «Банки и финансовые услуги».

Рис. 1

«Из российских финансовых организаций в 2023 г. утекло более 170 млн. записей ПДн (без учёта платёжных данных). Эта цифра больше, чем население России. По сравнению с 2022 г. скомпрометировано в три с лишним раза больше ПДн, а по сравнению с 2021 г. — больше почти в 57 раз [10]». В 2024 г. из российских финансовых организаций утекло более 68 млн записей. (рис. 1).

Следует заметить, что количество утечек, изложенное выше представлено без учёта платежных данных. Исходя из статистки, можно сделать вывод о том, что складывается негативная, нестабильная динамика, требующая рассмотренная причин и путей решения.

В этом контексте, стоит отметить, что регулятор, в частности Банк России уже выпускает методические рекомендации (например, Методические рекомендации № 2-МР от 22 января 2025 года о тестировании на проникновение и анализе уязвимостей [7]) для организаций финансового рынка, но их юридический вес и обязательность исполнения пока не всегда чётко закреплены в законе.

Согласно опросу, проведенному BISA в декабре 2023 года среди специалистов направлений ИБ и СБ из крупных частных финансовых организаций, за прошедший год наибольшим риском финансовые организации назвали внутренние угрозы утечки данных по вине сотрудников (67 %). В меньшей степени серьезными, но также довольно высокими финорганизации назвали риски роста фишинговых (50 %) и DDoS-атак (50 %) [8].

Так, авторы Бойченко О. В. и Польская С. И. считают, что «к числу наиболее серьезных угроз кибербезопасности банков относятся атаки вредоносных программ и программ-вымогателей, фишинг, социальная инженерия, удаленная работа, незашифрованные данные, Интернет вещей, вирусы для смартфонов, облачные атаки, а также атаки на цепочки поставок. Организации, стремящиеся обеспечить действенную систему защищенности пользовательских и коммерческих данных, имеющих признаки конфиденциальности, внедряют в состав автоматизированных банковских систем инновационные способы противодействия существующим угрозам. Однако, при этом мошенники начинают использовать новые уловки, чтобы обвести систему вокруг пальца» [1, с. 25]. Поэтому финансовые организации вынуждены искать новые способы противодействия современным киберугрозам.

Дудин М. Н. отмечает «важным является факт отсутствия специальных программ развития секьюрити-инфраструктуры для банков, финансируемых за счет государственных источников (внебюджетные фонды, целевые бюджеты крупнейших участников рынка кибербезопасности государственной формы собственности). Это делает банковскую систему более уязвимой, так как большинство банков не могут себе позволить такие расходы ввиду длительности их окупаемости и неявного коммерческого эффекта» [2, с. 52–71].

Ещё одним из существенных недостатков правового обеспечения информационной безопасности в банковской сфере Российской Федерации является недостаточная регламентация ответственности.

Механизмы юридической ответственности за утечку данных или неисполнение требований информационной безопасности недостаточно проработаны. В некоторых случаях невозможно определить виновное лицо, особенно в случае атак на инфраструктуру, расположенную за рубежом (например, в облачных сервисах).

Юридическая ответственность за нарушения информационной безопасности в банковской системе Российской Федерации регулируется рядом нормативно-правовых актов.

В частности, Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных» устанавливает требования к защите и обработке персональных данных клиентов банков, что является ключевым элементом информационной безопасности [11].

Общие правила и требования к защите информации регулирует Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации» [12].

В Уголовном кодексе РФ (статьи 272–274) предусмотрена уголовная ответственность за неправомерный доступ к компьютерной информации, создание и распространение вредоносных программ, а также нарушение правил эксплуатации компьютерных систем, что применимо к банковской сфере [13].

В то же время Кодекс об административных правонарушениях предусматривает административную ответственность за нарушение требований в сфере информационной безопасности [14].

Центральный банк России выпускает нормативные акты и рекомендации для банков по обеспечению информационной безопасности, но их юридическая сила зачастую ограничена и не всегда сопровождается прямыми санкциями.

Однако, несмотря на законодательную базу, практика показывает наличие значительных проблем.

1. Проблема разграничения ответственности. Законодательно недостаточно чётко разграничена ответственность между банком, его сотрудниками и подрядчиками за нарушения в области информационной безопасности. Это усложняет процесс привлечения к ответственности и возмещения ущерба в случае инцидентов [4, c. 45–51]. Например, статья 152-ФЗ обязывает банк обеспечивать защиту персональных данных, но конкретные меры и ответственность исполнителей не всегда однозначны (Федеральный закон № 152-ФЗ).
2. Недостаточная регламентация новых угроз. Современные киберугрозы, включая атаки с использованием искусственного интеллекта и сложных вредоносных комплексов, в действующем законодательстве прописаны недостаточно подробно. Шугунов Т. Л. отмечает, что правовая база отстаёт от темпов развития технологий и киберпреступности, что снижает эффективность защиты банковских систем [6, c. 250–253].
3. Проблемы с применением законодательства. Правоприменение осложняется отсутствием судебной практики по делам, связанным с новыми типами нарушений в банковской сфере. Неопределённость норм и недостаток методических рекомендаций создают пробелы, которые затрудняют работу правоохранителей и судов.

Следующим недостатком следует отметить недостаточность требований к тестированию и отчётности. Несмотря на разработку Банком России Методических ремкоендаций № 2-МР от 22 января 2025 г. «По проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка» которым введены требования к тестированию (пентестам) [5], отсутствует унифицированная методика их проведения.

Сидоров И. В. считает, что «не предусмотрена обязательная публичная отчётность об уровне защищённости банковской инфраструктуры» [4, с. 37–44]. Исходя из прогноза развития рынка кибербезопасности в Российской Федерации на 2024–2028 годы разработка единого регламента аудита повысила бы прозрачность и доверие клиентов [8].

Также, низкий уровень кадровой обеспеченности и отсутствие сертифицированных специалистов по ИБ осложняют реализацию даже прогрессивных норм. Смирнов К. В. поясняет «в зависимости от размера компании исправление технических ошибок и угроз может быть невероятно сложным и бюрократическим, требующим межведомственной документации и внедрения. ИТ-отделы и разработчики часто не обладают исчерпывающими знаниями обо всех используемых библиотеках, компонентах и инструментах. Кроме того, мы ограничены строгими графиками развертывания, чтобы свести к минимуму сбои и простои приложений» [4, с. 50–51.]. Рекомендуется внедрить систему обязательной сертификации и повышения квалификации для ответственных лиц в банках на законодательном уровне.

Исходя из выявленных проблем, можно предложить следующие меры:

1. Унификация правил и создание отраслевого кодекса или стандарта с юридической силой. Объединить требования из разных норм (законы, положения Банка России, акты ФСТЭК и РКН) в единый нормативный акт отраслевого уровня, закрепив юридическую ответственность за нарушения информационной безопасности;
2. Усиление требований к тестированию и аудитам безопасности. Установить минимальные частоты проведения пентестов, внешних аудитов и оценки уязвимостей, требования к независимости аудиторов. Возможно, включить обязательные публичные отчёты об итогах аудитов;
3. Развитие кадровых стандартов и институциональных возможностей. Законодательно закрепить требования к квалификации специалистов по ИБ в банках и аудиторам, предусмотреть аккредитационные и сертификационные программы, стимулировать сотрудничество банков и высших учебных заведений по профессиональной подготовке. Регуляторы должны быть оснащены экспертами и инструментами для анализа, аудита и надзора;
4. Повышение прозрачности и отчетности перед обществом. Создать правовую основу для отраслевого (но анонимизированного) стандартного отчёта по ИБ-инцидентам, потерям, усилиям, направленным на защиту, чтобы повысить доверие и вовлечённость клиентов и общественности.

Литература:

1. Бойченко О. В., Польская С.И Аналитика проблем кибербезопасности критической информационной инфраструктуры банков // Научный вестник: Финансы, банки, инвестиции. 2023. № 3 С. 25.
2. Дудин М. Н. Вызовы и угрозы цифровой экономики для устойчивости национальной банковской системы / М. Н. Дудин, С. В. Шкодинский // Финансы: теория и практика. 2022. Т. 26, № 6. С. 52–71.
3. Северин В. А. Правовые аспекты обеспечения информационной безопасности цифровой экономики // Правовые аспекты обеспечения информационной безопасности цифровой экономики. 2023. Т. 16. № 8. С. 45–51.
4. Сидоров, И. В. Кибербезопасность в российских банках: угрозы и реакция на них // Uralsib Business Trends. 2023. № 2. С. 37–44.
5. Смирнов, К. П. Проблемы кибербезопасности, которые нельзя игнорировать в 2022 году // Russian Journal of Management. 2022. Т. 10, № 4. С. 45–55.
6. Шугунов Т. Л., Жуков А. З., Хочуева Ф. А. Проблемы обеспечения киберустойчивости банковской системы Российской Федерации // Пробелы в российском законодательстве. 2019. № 6. С. 250–253.
7. Банк России. Методические рекомендации № 2-МР от 22 января 2025 г. «По проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка».
8. Центр стратегических разработок (ЦСР). Прогноз развития рынка кибербезопасности в Российской Федерации на 2024–2028 годы. М.: ЦСР, 2024. 56 с.
9. Аналитический отчёт «Россия: утечки информации ограниченного доступа 2023–2024» Официальный сайт ГК InfoWatch // URL: https://www.infowatch.ru/sites/default/files/analytics/files/rossiya-utechki-informatsii-ogranichennogo-dostupa-2023–2024.pdf (Дата обращения: 25.08.2025).
10. Аналитический отчёт «Финансовый сектор: утечки конфиденциальной информации. Мир — Россия, 2021–2023». Официальный сайт ГК InfoWatch // URL: https://www.infowatch.ru/analytics/analitika/utechki-informatsii-v-finansovom-sektore-za-tri-goda-mir-rossiya (Дата обращения 13.05.2024).
11. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.06.2025) «О персональных данных» // СЗ РФ. 31.07.2006, № 31 (1 ч.), ст. 3451.
12. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 24.06.2025) «Об информации, информационных технологиях и о защите информации» // СЗ РФ. 31.07.2006, № 31 (1 ч.), ст. 3448.
13. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 31.07.2025) // СЗ РФ. 17.06.1996, № 25, ст. 2954.
14. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 31.07.2025) // СЗ РФ. 07.01.2002, № 1 (ч. 1), ст. 1.