В конце февраля 2026 года Банк России официально заявил о новом приоритетном направлении надзорной деятельности — контроле за соблюдением требований информационной безопасности в аудиторских организациях, работающих с общественно значимыми организациями финансового рынка (ОЗО ФР). В настоящий момент в реестр таких аудиторов входит 41 компания, совокупная выручка которых по итогам 2024 года составила порядка 11 млрд рублей. Они обслуживают около 1000 организаций: банки, страховые компании, негосударственные пенсионные фонды, профессиональных участников рынка ценных бумаг.
По оценкам экспертов, только 6 из 41 аудитора в полной мере соответствуют требованиям ЦБ к защите информации. За 2025 год регулятор уже вынес 32 предписания в отношении 22 организаций, возбудил 7 административных делопроизводств и исключил из реестра две компании («Группа Финансы» и «ПрофИнвестАудит»).
Аудиторам предстоит:
-
внедрить системы предотвращения утечек информации (DLP);
-
установить сертифицированные межсетевые экраны;
-
обеспечить защиту каналов связи при передаче данных;
-
организовать непрерывный мониторинг инцидентов.
Стоимость приведения ИБ в соответствие с требованиями оценивается в 10–13 млн рублей на одну организацию. По прогнозам, около трети аудиторов могут покинуть этот сегмент рынка.
Мнение эксперта ИЦРС:
«Решение ЦБ — абсолютно логичный шаг. Аудиторы имеют практически неограниченный доступ к учетным системам банков и пенсионных фондов, становясь "золотым ключиком" к самой чувствительной информации. За годы работы с банковским сектором, включая проведение пентестов для АКБ "Держава" ПАО, мы убедились: защищенность самих финансовых организаций выросла, а уровень безопасности их подрядчиков часто остается "серой зоной". Теперь этот пробел будут закрывать. Мы уже ведем переговоры с рядом аудиторских компаний и готовы предложить комплексные решения под ключ — от поставки сертифицированного оборудования до внедрения и аттестации, чтобы помочь им пройти проверку ЦБ без потери бизнеса».
Защита ПДН, Аудит ИБ — построение систем защиты персональных данных и конфиденциальной информации.