Question 1

У нас уже есть Excel и внутренние чеклисты для ФСТЭК — зачем ещё платформа?

Accepted Answer

Excel и бумажные чеклисты не дают трассируемости: кто, когда и что сделал. КиберОснова автоматически фиксирует свидетельства выполнения мер, раздаёт задачи на устранение gap-ов и формирует отчёт для ФСТЭК в несколько кликов. Команда тратит дни вместо недель.

Question 2

Как КиберОснова работает совместно с внешними аудиторами?

Accepted Answer

КиберОснова не заменяет аудиторов — она даёт им актуальную доказательную базу. Стоимость подготовки к аудиту снижается, а качество свидетельств повышается. Аудиторы получают готовый реестр, а не пачку Excel.

Question 3

Как узнать, является ли банк субъектом КИИ?

Accepted Answer

Большинство банков с АБС, процессингом или ДБО — субъекты КИИ. «Думаем, что нет» без официального заключения — это риск предписания ФСТЭК. КиберОснова помогает провести категорирование и получить официальный статус.

Question 4

Можно ли развернуть КиберОснова на серверах банка?

Accepted Answer

КиберОснова устанавливается на серверы банка. Данные не покидают периметр. Есть версия для работы в закрытом контуре без выхода в интернет.

Question 5

У нас уже есть R-Vision / Security Vision — зачем ещё одна платформа?

Accepted Answer

R-Vision и Security Vision сильны в управлении инцидентами и процессами ИБ. КиберОснова закрывает другую задачу: единый security asset layer — достоверный реестр активов (АБС, процессинг, АТМ), СЗИ по каждому, факт/норма по ФСТЭК №239, учёт СКЗИ. Это разные домены — мы работаем поверх существующего стека, не вместо него.

Question 6

У нас уже есть CMDB — что добавляет КиберОснова?

Accepted Answer

CMDB хранит ИТ-конфигурации. КиберОснова добавляет ИБ-семантику: какое СЗИ установлено на каждом объекте, выполнены ли меры Приказа №239, в каком статусе СКЗИ, где разрыв между фактом и нормой. Именно этих данных обычно нет в CMDB — и именно это требует аудитор ФСТЭК при проверке.

Question 7

У нас есть сканер уязвимостей — что даёт КиберОснова поверх него?

Accepted Answer

Сканер находит CVE. КиберОснова даёт asset-context для приоритизации: к какому банковскому процессу относится уязвимый актив, какова его КИИ-категория, есть ли на нём компенсирующие меры. Без этого контекста backlog уязвимостей превращается в неуправляемый список. Мы усиливаем VM, а не дублируем его.

Question 8

Это ещё одна система, которую нужно поддерживать — стоит ли игра свеч?

Accepted Answer

КиберОснова заменяет 2–3 инструмента, которые сейчас ведутся параллельно: Excel-чеклисты по ФСТЭК №239, бумажный журнал СКЗИ, реестр активов. Команда ИБ тратит на цикл подготовки к проверке дни вместо недель. ROI считается просто: стоимость платформы vs стоимость времени команды и внешних консультантов.

Question 9

Обязательны ли требования ГОСТ Р 57580 для всех банков?

Accepted Answer

Да. ГОСТ Р 57580 обязателен для участников финансового рынка по требованиям Банка России (Положение 683-П, 684-П). Периодичность: для кредитных организаций (банков) — не реже одного раза в 2 года, для некредитных финансовых организаций — раз в 3 года. Результаты предоставляются регулятору. Нет, КиберОснова не является специализированным инструментом для оценки по ГОСТ Р 57580 — это стандарт ЦБ РФ, для которого используются специализированные аудиторские методики. КиберОснова помогает банкам с КИИ, ФСТЭК и 152-ФЗ.

Question 10

Какие системы банка являются объектами КИИ и подлежат категорированию?

Accepted Answer

К объектам КИИ в банковской сфере относятся системы, нарушение работы которых может привести к значительным экономическим потерям или социальным последствиям. Типичные объекты: АБС, процессинг платёжных карт, системы межбанковских расчётов (СБП, БЭСП), дистанционное банковское обслуживание, АТМ-сети.

Question 11

Как КиберОснова помогает с Положением ЦБ №779-П?

Accepted Answer

Положение 779-П обязывает банки управлять операционным риском и обеспечивать операционную надёжность. КиберОснова ведёт реестр рисков ИБ, связывает риски с активами и инцидентами, рассчитывает KRI-метрики, формирует отчётность для ИБ-комитета и надзорного органа в автоматическом режиме.

Question 12

Нужно ли банку подключаться к ГосСОПКА?

Accepted Answer

Да, если банк признан субъектом КИИ (большинство крупных и средних банков им являются). Обязательно информирование НКЦКИ об инцидентах в значимых объектах КИИ в течение 3 часов. КиберОснова ведёт учёт инцидентов и формирует уведомления в требуемом формате ГосСОПКА.

Question 13

Включена ли КиберОснова в реестр отечественного ПО?

Accepted Answer

Да. КиберОснова включена в Реестр российского ПО Министерства цифрового развития. Финансовые организации с госучастием и организации, на которые распространяются требования об импортозамещении, могут закупать платформу без ограничений.

Question 14

Как защитить ПДн клиентов банка по 152-ФЗ?

Accepted Answer

Банки обрабатывают большой объём персональных данных клиентов. КиберОснова определяет уровень защищённости ИСПДн, формирует требования по Приказу ФСТЭК №21, автоматически генерирует документацию (акт классификации, план мероприятий, технический паспорт) и контролирует выполнение мер защиты.

Question 15

Распространяются ли требования ГОСТ Р 57580 на страховые компании и МФО?

Accepted Answer

Да. ГОСТ Р 57580 обязателен для всех участников финансового рынка. Для некредитных финансовых организаций (страховые компании, МФО, НПФ, брокеры) периодичность оценки — раз в 3 года. Оценка по ГОСТ Р 57580 требует специализированных аудиторских инструментов. КиберОснова специализируется на требованиях ФСТЭК и 187-ФЗ для финансовых организаций, являющихся субъектами КИИ.

Question 16

Что изменилось для финансовых организаций после 420-ФЗ?

Accepted Answer

420-ФЗ (2024) ввёл оборотные штрафы за утечку ПДн: до 3% от выручки за первичное нарушение и до 500 млн ₽ за повторное. Для банков и страховщиков, обрабатывающих данные миллионов клиентов, это критичный финансовый риск. КиберОснова помогает контролировать технические меры защиты ИСПДн и вести доказательную базу выполненных мер для Роскомнадзора.

SGRC для финансовых организаций

Типичная ситуация в финансовой организации

КиберОснова решает это

ЦБ, ФСТЭК, ФСБ, 152-ФЗ — каждый регулятор требует своего

Контроль мер ФСТЭК №239 — это недели ручной сборки свидетельств

ИТ-отдел ведёт свой инвентарь, ИБ-отдел свой — и ни один не полный

СКЗИ в банковских системах числятся «на ответственных сотрудниках»

683-П, 779-П, №239, ФСБ — по каждому регулятору своя таблица и свой статус

Считаем, что не субъекты КИИ — но официального заключения нет

CISO тратит 3–4 недели на подготовку к проверке ФСТЭК — или платит консультантам

Нормативные требования для финансовых организаций

ГОСТ Р 57580

187-ФЗ

Приказ ФСТЭК №239

152-ФЗ

Положения ЦБ 683-П / 757-П / 779-П

Ваша задача — модуль КиберОснова

Результаты для финансовой организации

Автоматизированный контроль мер защиты значимых объектов КИИ с доказательной базой

Как КиберОснова помогает банкам и финансовым организациям

Меры защиты КИИ по ФСТЭК №239

Категорирование КИИ в банке

Управление операционными рисками ИБ

Учёт СКЗИ в финансовой организации

Инвентаризация ИТ-активов и уязвимости

Генерация документов ИБ

Риски при несоответствии требованиям

ЦБ: предписание и ограничения

420-ФЗ: оборотные штрафы

ФСТЭК: предписания по КИИ

Репутационные потери

Вопросы и ответы

Связанные разделы

Запросите демо для банка или финансовой организации