О насСтандартыБлог✦ ИИ-оценкаПолучить предложение →
Главная  /  Блог  /  Кибербезопасность для банков

Требования кибербезопасности для банков Центральной Азии — полное руководство 2026 года

Цифровизация банковского сектора Центральной Азии стремительно развивается — мобильный банкинг, онлайн-платежи и трансграничные переводы растут с каждым днём. Вместе с этими изменениями усиливаются и угрозы кибербезопасности. Национальный банк Кыргызстана (НБКР), Национальный Банк Казахстана и другие регуляторы региона требуют от банков соблюдения высоких стандартов информационной безопасности. В этой статье рассматриваются требования ISO 27001, PCI DSS, SWIFT CSP и опыт BALTUM.

КИБЕРБЕЗОПАСНОСТЬ БАНКОВСКИЙ СЕКТОР ISO 27001 PCI DSS

Требования кибербезопасности Национального банка Кыргызстана (НБКР)

Национальный банк Кыргызской Республики (НБКР) в последние годы существенно ужесточил требования к информационной безопасности в банковском секторе. Начиная с 2024 года НБКР требует от коммерческих банков следующее:

  • Разработка и утверждение политики информационной безопасности — документ, утверждённый советом директоров банка
  • Подразделение информационной безопасности или назначение ответственных специалистов (функция CISO)
  • Разработка плана реагирования на инциденты и его тестирование не реже одного раза в год
  • Отчётность перед НБКР о киберинцидентах — уведомление о серьёзных инцидентах в течение 24 часов
  • Внешний аудит — ежегодная независимая проверка системы информационной безопасности
  • Обучение сотрудников — регулярные тренинги по фишингу, социальной инженерии и информационной безопасности

НБКР также рекомендует банкам, работающим с электронными платёжными системами, соответствие стандарту PCI DSS. Закон «О платёжных системах в Кыргызстане» определяет основные требования по обеспечению безопасности электронных платежей.

Требования информационной безопасности Национального Банка Казахстана

Казахстан является крупнейшим финансовым рынком Центральной Азии, и его Национальный Банк (НБ РК) разработал строгую нормативную базу по информационной безопасности:

  • Система управления информационной безопасностью (СУИБ) — создание СУИБ в соответствии с ISO 27001 является для банков фактически обязательным
  • Оценка рисков — банки обязаны проводить оценку рисков информационной безопасности не реже одного раза в год
  • Тестирование на проникновение — ежегодное внешнее тестирование для выявления уязвимостей банковских систем
  • Непрерывность бизнеса — план обеспечения непрерывности бизнеса в соответствии с ISO 22301
  • Управление третьими сторонами — определение требований безопасности для ИТ-поставщиков и аутсорсинговых компаний

Министерство цифрового развития Казахстана также реализует национальную стратегию противодействия киберугрозам, что накладывает дополнительные требования на финансовый сектор.

Зачем банкам Центральной Азии нужен ISO 27001?

ISO/IEC 27001 — это международный стандарт для систем управления информационной безопасностью (СУИБ). Для банков Центральной Азии сертификация по ISO 27001 важна по следующим причинам:

  • Требования регуляторов. НБКР и Национальный Банк Казахстана признают ISO 27001 в качестве основы системы информационной безопасности. Сертификат подтверждает уровень безопасности банка перед регуляторами.
  • Управление рисками. ISO 27001 требует систематической оценки рисков и принятия мер по их снижению — это уменьшает последствия кибератак.
  • Международная надёжность. При трансграничных операциях зарубежные банки-партнёры требуют наличия сертификата ISO 27001.
  • Управление инцидентами. Стандарт охватывает процессы реагирования на инциденты — это соответствует требованиям НБКР и Национального Банка Казахстана по отчётности.
  • Постоянное улучшение. ISO 27001 требует постоянного обновления и совершенствования системы безопасности банка.

PCI DSS — безопасность карточных платежей

PCI DSS (Payment Card Industry Data Security Standard) — стандарт, разработанный Visa, Mastercard и другими карточными системами для защиты данных держателей карт. Для банков Центральной Азии соответствие PCI DSS требуется в следующих случаях:

  • Эмиссия карт. Банки, выпускающие карты Visa или Mastercard, обязаны выполнять требования PCI DSS
  • Эквайринг. Банки, принимающие карточные платежи торгово-сервисных предприятий
  • Хранение и обработка карточных данных. Все организации, обрабатывающие PAN, CVV и другие данные карт
  • Процессинговые центры. Компании процессинга платежей в Кыргызстане и Казахстане

PCI DSS v4.0 вступил в полную силу с марта 2025 года. В новой версии содержатся следующие важные изменения:

  • Целевой подход (customized approach) — банки могут использовать контроли, адаптированные к своей ситуации
  • Многофакторная аутентификация (MFA) — обязательна для всех пользователей, имеющих доступ к данным карт
  • Безопасность скриптов — контроль скриптов на страницах электронной коммерции и онлайн-платежей
  • Постоянная оценка рисков — переход от статических проверок к динамическому управлению рисками

SWIFT CSP — безопасность трансграничных переводов

SWIFT (Society for Worldwide Interbank Financial Telecommunication) является основной сетью межбанковских переводов в мире. Все банки Центральной Азии используют сеть SWIFT и обязаны выполнять требования SWIFT Customer Security Programme (CSP):

  • Защита среды. Изоляция инфраструктуры SWIFT от общей ИТ-среды
  • Управление доступом. Строгий контроль доступа к системам SWIFT — принцип минимальных привилегий
  • Обнаружение атак. Системы обнаружения аномалий и реагирования в среде SWIFT
  • Обмен информацией. Обмен информацией о киберинцидентах со SWIFT и другими банками

SWIFT CSP требует ежегодной независимой оценки. Сертификат ISO 27001 помогает покрыть большинство требований SWIFT CSP, однако дополнительные SWIFT-специфические контроли также необходимы.

Карточный процессинг и стандарты безопасности

Банки Центральной Азии работают с национальными карточными системами, такими как «Элкарт» (Кыргызстан), «Алтын Асыр» (Туркменистан), а также с международными — Visa, Mastercard, UnionPay. Каждая система предъявляет свои требования безопасности:

  • Visa — VTIP (Visa Third-Party Information Security). Дополнительная оценка безопасности для компаний, предоставляющих услуги процессинга Visa
  • Mastercard — SDP (Site Data Protection). Программа подтверждения соответствия PCI DSS для организаций, хранящих и обрабатывающих данные карт
  • UnionPay — CUPSS. С укреплением торгово-экономических связей с Китаем присутствие UnionPay в Центральной Азии растёт
  • «Элкарт». Национальная платёжная система Кыргызстана — НБКР уделяет особое внимание безопасности процессинга «Элкарт»

Комплексная система безопасности для банков Центральной Азии

Полноценная система кибербезопасности банка требует объединения нескольких стандартов и фреймворков:

  1. ISO 27001 — основной фреймворк управления информационной безопасностью. Включает оценку рисков, политики, процедуры и контроли.
  2. PCI DSS — безопасность карточных данных. Дополняет ISO 27001 контролями, специфичными для карт.
  3. SWIFT CSP — безопасность трансграничных переводов. Направлен на защиту инфраструктуры SWIFT.
  4. ISO 22301 — управление непрерывностью бизнеса. Обеспечивает бесперебойную работу при кибератаках и технических сбоях.
  5. ISO 27701 — защита персональных данных. Поддерживает соответствие закону Кыргызстана «О персональных данных».

Совместное внедрение этих стандартов позволяет избежать дублирования контролей и экономит ресурсы.

BALTUM — опыт сертификации в банковском секторе

BALTUM обладает обширным опытом оказания услуг сертификации банковскому и финансовому сектору Центральной Азии. Наша команда работала в следующих направлениях:

  • Коммерческие банки. Содействие банкам Кыргызстана и Казахстана в сертификации по ISO 27001 и PCI DSS — от GAP-анализа до получения сертификата.
  • Микрофинансовые организации. Создание систем информационной безопасности для МФО — в соответствии с требованиями НБКР.
  • Платёжные системы. Обеспечение соответствия PCI DSS для процессинговых центров и организаций электронных денег.
  • Финтех-компании. Сертификация по ISO 27001 и SOC 2 для компаний, предоставляющих услуги мобильных платежей и электронных кошельков.

BALTUM работает с аккредитованными партнёрами в рамках IAF MLA — это обеспечивает признание сертификатов как в Центральной Азии, так и на международном уровне.

Процесс сертификации — какие этапы?

  1. Предварительная оценка (GAP-анализ). Консультант BALTUM сравнивает текущую систему информационной безопасности банка с требованиями ISO 27001 и PCI DSS. Выявляются недостатки и составляется план мероприятий.
  2. Построение и совершенствование системы. Политики, процедуры, оценка рисков, внедрение контролей — BALTUM обеспечивает полную поддержку.
  3. Внутренний аудит. Проведение внутреннего аудита перед сертификационным — проверка эффективности работы системы.
  4. Сертификационный аудит. Аккредитованный орган проводит аудиты Stage 1 (проверка документации) и Stage 2 (проверка внедрения).
  5. Получение сертификата. После успешного аудита выдаётся сертификат сроком на 3 года с ежегодными надзорными аудитами.

Сертификация по ISO 27001 в банковском секторе занимает в среднем 4-6 месяцев. Соответствие PCI DSS может занять от 3 до 12 месяцев в зависимости от уровня банка (Level 1-4).

Следующие шаги

Если ваш банк или финансовая организация стремится к соответствию стандартам кибербезопасности — BALTUM готов помочь. Мы проведём оценку, адаптированную к вашей ситуации, и предложим оптимальную дорожную карту сертификации. Свяжитесь с нами — получите бесплатную предварительную консультацию.