Лицензия ФСБ для банков и финансовых организаций 2026

📅 👁 835 просмотров 13 мин чтения

Лицензия ФСБ для банков: требования ЦБ РФ и ФСБ, СКЗИ в банковской сфере, ГОСТ Р 57580, пересечение с ФСТЭК. Консультация для финансового сектора.

Лицензия ФСБ для банков и финансовых организаций

Банковский сектор работает в условиях двойного регуляторного давления в сфере информационной безопасности. С одной стороны — Банк России, который через Положение № 683-П, ГОСТ Р 57580 и иные нормативные акты устанавливает требования к защите информации в кредитных организациях. С другой — ФСБ России, которая лицензирует деятельность, связанную с шифровальными средствами и технической защитой информации.

Эти два регуляторных контура пересекаются. Требования ЦБ к применению СКЗИ при проведении платёжных операций де-факто обязывают банки использовать сертифицированные средства — а значит, ставят вопрос о лицензии ФСБ для тех банков и финансовых организаций, которые не просто применяют СКЗИ, но и оказывают услуги с их использованием. Компания «Реестр Гарант» специализируется на лицензиях ФСБ, в том числе для организаций финансового сектора.

683-П Положение ЦБ РФ — обязывает банки применять сертифицированные СКЗИ при переводе средств
ПП № 313 Постановление Правительства — основа для лицензии ФСБ на криптографическую деятельность
ГОСТ Р 57580 стандарт защиты информации в финансовой сфере — применяется совместно с требованиями ФСБ
от 120 000 ₽ стоимость сопровождения лицензирования ФСБ для финансовой организации

Требования ЦБ РФ и ФСБ для банков

Требования к информационной безопасности в банковской сфере формируются несколькими регуляторами одновременно. Понять, где заканчивается зона ЦБ и начинается зона ФСБ, важно для того, чтобы корректно определить, нужна ли банку лицензия ФСБ и на какой именно вид деятельности.

Регулятор Ключевые нормативные акты Что регулируется Последствия нарушений
Банк России Положение № 683-П, Положение № 757-П, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018, Положение № 716-П Обязательные требования к защите информации при переводе денежных средств, управление операционным риском, управление ИБ, оценка соответствия Предписания ЦБ, ограничения и запреты на осуществление отдельных операций, отзыв лицензии ЦБ в крайних случаях
ФСБ России ПП РФ № 313, ПП РФ № 504, Приказ ФСБ № 66, ФЗ-99 Лицензирование деятельности с шифровальными средствами и ТЗКИ. Требования к СКЗИ, применяемым для защиты информации ограниченного доступа Административная ответственность (ст. 13.13 КоАП), уголовная (ст. 171 УК РФ при крупном доходе), аннулирование лицензии ФСБ
ФСТЭК России Приказ ФСТЭК № 17, № 21, № 31, № 239 Требования к защите ГИС, персональных данных, значимых объектов КИИ (для банков из перечня КИИ) Предписания, административная ответственность, ограничения при работе с государственными структурами
Роскомнадзор ФЗ-152 «О персональных данных» Требования к обработке персональных данных клиентов Штрафы по КоАП, запрет обработки ПДн, внесение в реестр нарушителей

Для большинства банков и НКО вопрос о лицензии ФСБ встаёт не потому, что они занимаются «криптографической деятельностью» в общепринятом смысле слова. Он встаёт потому, что Положение ЦБ № 683-П обязывает применять при переводе денежных средств средства защиты информации, соответствующие требованиям ФСБ — то есть сертифицированные СКЗИ. А установка, настройка и обслуживание этих СКЗИ для клиентов (например, при подключении юридических лиц к системам ДБО) при определённых условиях является лицензируемой деятельностью.

Когда банку нужна лицензия ФСБ, а когда — нет

Банк, который применяет сертифицированные СКЗИ исключительно для собственных нужд — для защиты платёжных операций, шифрования внутреннего трафика, аутентификации сотрудников — лицензию ФСБ на криптографическую деятельность не получает. Лицензирование возникает тогда, когда банк совершает действия с СКЗИ в пользу клиентов: устанавливает программное обеспечение ДБО с встроенными СКЗИ на рабочие места клиентов, обслуживает эти СКЗИ, предоставляет услуги электронной подписи как сервис. Именно здесь проходит практическая граница.

Пересечение требований ФСБ и ФСТЭК в банковской сфере

В банковской сфере требования ФСБ и ФСТЭК пересекаются значительно чаще, чем в других отраслях. Это связано с тем, что банки одновременно являются операторами персональных данных, субъектами КИИ (если включены в перечень), участниками государственных платёжных систем и организациями, работающими с нормативно значимыми сведениями.

ФСБ vs ФСТЭК: разные предметы регулирования

Лицензия ФСБ

  • Криптографические методы защиты: СКЗИ, шифрование, ЭП
  • Разработка, производство, продажа, установка, обслуживание СКЗИ для клиентов
  • Предоставление услуг шифрования для третьих лиц
  • Обязательна при работе с СКЗИ в пользу клиентов
  • Регулятор: 8-й Центр ФСБ России

Лицензия ФСТЭК

  • Некриптографические методы защиты: разграничение доступа, защита от НСД, DLP
  • Проектирование и внедрение СЗИ без криптографии
  • Аттестация объектов информатизации по требованиям ФСТЭК
  • Обязательна при работе с ГИС, ПДн, КИИ для клиентов
  • Регулятор: ФСТЭК России

Банк, который самостоятельно оказывает услуги по информационной безопасности своим корпоративным клиентам — внедряет СЗИ, проводит аудит, устанавливает и обслуживает СКЗИ — с высокой вероятностью нуждается в обеих лицензиях. На практике крупные банки, развивающие направление ИБ-услуг для клиентов, получают и ту, и другую лицензию одновременно. Это экономически целесообразно: совокупная стоимость сопровождения при параллельном оформлении ниже, чем при последовательном.

Вид деятельности банка Нужна лицензия ФСБ? Нужна лицензия ФСТЭК?
Применение СКЗИ в собственной платёжной инфраструктуре Нет Нет
Установка ДБО с СКЗИ на рабочие места клиентов-юрлиц Да — ПП № 313, установка СКЗИ Возможно — в зависимости от состава СЗИ
Техническое обслуживание СКЗИ у клиентов Да — ПП № 313, техобслуживание СКЗИ Нет (если СКЗИ — единственное средство)
Предоставление облачной ЭП как сервиса для клиентов Да — ПП № 313, предоставление услуг шифрования Нет
Внедрение СЗИ (без шифрования) у корпоративных клиентов Нет Да — лицензия ТЗКИ ФСТЭК
Комплексный ИБ-аутсорсинг для клиентов (СКЗИ + СЗИ) Да — ПП № 313 Да — лицензия ТЗКИ ФСТЭК
Участие в системе СПФС, СБП, SWIFT с использованием СКЗИ ЦБ Нет — использование готовых СКЗИ в собственной инфраструктуре Нет

Особенности лицензирования СКЗИ в банках

Банковская отрасль имеет специфику в части применения СКЗИ, которая отличает её от большинства других секторов. Эта специфика влияет на то, какие именно виды деятельности подлежат лицензированию и какие требования к персоналу и документации будут предъявлены при проверке.

Классы СКЗИ в банковской инфраструктуре

Положение ЦБ № 683-П разделяет требования к СКЗИ в зависимости от уровня защиты: для банков с базовым стандартом — СКЗИ класса не ниже КС2 при доступе клиентов через интернет, класса КС3 — при ряде операций. Это означает, что банки не вправе применять СКЗИ произвольного происхождения — только сертифицированные ФСБ с нужным классом.

🔐
СКЗИ для защиты платёжных операций

ТLS-соединения с клиентами в системах ДБО, защита API-взаимодействия с контрагентами, шифрование данных карт — всё это требует применения сертифицированных СКЗИ с действующим сертификатом ФСБ. Использование банком этих СКЗИ для себя — не лицензируемая деятельность. Установка или обслуживание у клиентов — лицензируемая.

✍️
СКЗИ для электронной подписи

Банки активно используют ЭП в документообороте с клиентами и Банком России. Применение КЭП на базе сертифицированных СКЗИ (КриптоПро CSP, ViPNet CSP) для собственных нужд лицензии не требует. Предоставление сервиса ЭП клиентам, где СКЗИ работает на стороне банка, — требует лицензии ФСБ.

🏦
СКЗИ в системах СПФС и ЦБ

Взаимодействие с Банком России через СПФС (система передачи финансовых сообщений) требует применения СКЗИ, предоставленных или одобренных ЦБ. Банк использует эти средства в собственной инфраструктуре — лицензия ФСБ на криптографическую деятельность при этом не нужна.

📱
Мобильный банк и СКЗИ

Мобильное приложение банка, использующее сертифицированное СКЗИ для защиты соединения или ЭП — это продукт, который банк распространяет клиентам. Здесь возникает вопрос: является ли это реализацией или распространением шифровального средства? Ответ зависит от архитектурного решения и требует анализа.

⚠️

Кейс: банк развил ИБ-направление без лицензии

Региональный банк запустил услугу «ИБ под ключ» для корпоративных клиентов МСП: установка и настройка СКЗИ, подключение к системам ЭДО, сервисное обслуживание. Направление работало два года. При подготовке к проверке ЦБ юристы выявили, что банк осуществляет лицензируемую деятельность без лицензии ФСБ. Срочная подача заявки, объяснительные для регулятора — в сумме нервов и денег это обошлось значительно дороже, чем своевременно оформленная лицензия.

Кейс: финтех запланировал лицензирование до запуска

Финтех-компания, разрабатывающая платформу для корпоративных платёжных решений с встроенной ЭП, обратилась к нам на этапе проектирования продукта. Провели анализ архитектуры и определили: платформа будет управлять СКЗИ на стороне сервера — это предоставление услуг в области шифрования. Лицензию оформили параллельно с разработкой, к моменту запуска продукта она уже была готова.

Документы и порядок для банковской лицензии ФСБ

Перечень документов для банка или финансовой организации не отличается от стандартного пакета для лицензии ФСБ — те же требования Постановления № 313, тот же Приказ ФСБ № 66. Специфика возникает на уровне применения этих требований к реальной структуре крупной кредитной организации.

Блок требований Стандартное требование Специфика для банков
Персонал Специалист с профильным дипломом (направление ЗИ или криптография) и стажем 3+ лет в штате по основному месту работы В крупных банках таких специалистов, как правило, несколько — важно правильно идентифицировать, кто из них выступает квалифицированным специалистом для целей лицензирования, и корректно оформить соответствующую должностную инструкцию
Помещения Закрывающееся помещение, металлический шкаф или сейф, возможность опечатывания У банков, как правило, требования к физической безопасности выполнены с избытком — но важно, чтобы адрес помещения в заявке совпадал с адресом в ЕГРЮЛ и договоре аренды
Организационно-распорядительная документация Инструкция по СКЗИ, приказы, журналы учёта У банков, как правило, уже существует внутренняя нормативная база по СКЗИ в рамках требований ЦБ. Задача — дополнить её документами, соответствующими требованиям ФСБ для лицензирования, без дублирования и противоречий с банковскими внутренними регламентами
Перечень СКЗИ Список применяемых средств с реквизитами сертификатов ФСБ У банков СКЗИ применяется широко — важно включить в заявку только те средства, которые будут использоваться при оказании услуг клиентам, не весь внутренний арсенал
Учредительные документы Устав, ОГРН, ИНН, выписка ЕГРЮЛ не старше 30 дней Для банков в форме АО — дополнительно может потребоваться выписка из реестра акционеров или аналогичный документ о структуре собственности

Разграничение в документации: ЦБ-требования vs ФСБ-требования

Одна из характерных сложностей при лицензировании банков — наличие в организации объёмной внутренней нормативной базы по ИБ, разработанной под требования ЦБ. Инструкции по СКЗИ для целей Положения № 683-П могут не совпадать по структуре и содержанию с тем, что требует Приказ ФСБ № 66. Задача при подготовке к лицензированию — либо гармонизировать документы, либо создать отдельный комплект ОРД для целей ФСБ, не вступающий в противоречие с банковскими регламентами.

Взаимодействие с ЦБ при получении лицензии ФСБ

Получение лицензии ФСБ — это процедура, которая проходит полностью вне Банка России. ФСБ и ЦБ — разные ведомства, и лицензия ФСБ не согласовывается с регулятором банковского рынка. Тем не менее пересечение двух регуляторных контуров создаёт ряд практических моментов, которые стоит учитывать.

📋
Наличие лицензии ФСБ при проверках ЦБ

Банк России при проверках и при анализе деятельности кредитных организаций обращает внимание на наличие лицензий ФСБ в тех случаях, когда банк декларирует деятельность, связанную с СКЗИ, для клиентов. Отсутствие лицензии при фактическом осуществлении лицензируемой деятельности — нарушение, которое может быть зафиксировано в ходе инспекционной проверки.

🏛️
Лицензия ФСБ в тендерах и партнёрских соглашениях

Партнёры и контрагенты банков — прежде всего из госсектора — при заключении договоров на ИТ и ИБ-услуги запрашивают пакет лицензий. Наличие лицензии ФСБ в числе документов банка расширяет его возможности при работе с государственными структурами и предприятиями ОПК.

🔗
Соответствие ГОСТ Р 57580 и требования ФСБ

ГОСТ Р 57580 устанавливает требования к применению СКЗИ в финансовых организациях, перекликающиеся с требованиями ФСБ. Организационно-распорядительная документация, разработанная для целей ГОСТ Р 57580, при правильной структуре может быть адаптирована и для требований лицензирования ФСБ — это сокращает объём работы по подготовке к подаче заявки.

📊
Оценка соответствия ГОСТ Р 57580.2

ГОСТ Р 57580.2-2018 устанавливает методику оценки соответствия требованиям стандарта — в том числе в части применения СКЗИ. Результаты оценки соответствия могут использоваться при подготовке к лицензированию ФСБ как независимое подтверждение наличия процессов работы с СКЗИ в организации.

Что важно понимать о разграничении компетенций

ЦБ не выдаёт разрешений на применение СКЗИ — это компетенция ФСБ. ФСБ не регулирует банковскую деятельность — это компетенция ЦБ. Вопросы из серии «нужно ли согласовывать лицензию ФСБ с Банком России» возникают из-за смешения двух регуляторных контуров, которые пересекаются в банковской сфере, но не подменяют друг друга. Банк получает лицензию ФСБ самостоятельно, без уведомления ЦБ. ЦБ узнаёт о её наличии из реестра лицензий ФСБ или из документации банка при проверке.

Наш опыт работы с финансовым сектором

Финансовые организации — особая категория клиентов в лицензировании ФСБ. Банк или НКО, как правило, уже имеет развитую систему внутренних регламентов, квалифицированный персонал ИБ и современную инфраструктуру. При этом именно это создаёт специфические сложности: нужно не создать новую систему с нуля, а правильно вписать требования ФСБ в уже существующую. Это требует понимания и банковского регулирования, и требований ФСБ.

1

Анализ пересечения требований

На старте анализируем, какие из действующих внутренних документов банка соответствуют требованиям Приказа ФСБ № 66, а какие нужно дополнить или разработать с нуля. Это позволяет не переписывать всю систему управления СКЗИ, а точечно закрыть пробелы.

2

Определение точного перечня видов деятельности

Вместе с банком разбираем, какие именно услуги оказываются клиентам с использованием СКЗИ. Формулируем точный перечень видов деятельности — дословно по Постановлению № 313 — под реальные бизнес-процессы банка.

3

Гармонизация ОРД

Разрабатываем организационно-распорядительную документацию для целей ФСБ таким образом, чтобы она не вступала в противоречие с действующими внутренними нормативными документами банка по ИБ и с требованиями ЦБ. При необходимости — корректируем имеющиеся документы.

4

Сопровождение подачи и рассмотрения

Подготавливаем и подаём пакет документов, отслеживаем статус рассмотрения, оперативно реагируем на запросы 8-го Центра ФСБ. Для крупных банков — с оформлением нотариальных доверенностей на представителей и координацией с юридическим департаментом.

Тип финансовой организации Типичный запрос Какая лицензия Ориентировочный срок
Коммерческий банк с ИБ-сервисами для клиентов Нужна лицензия для оказания услуг по установке и обслуживанию СКЗИ клиентам — юрлицам Криптографическая деятельность (ПП № 313) 3–5 месяцев при готовом персонале
НКО, МФО, страховщик Требование о лицензии ФСБ в тендерной документации или от корпоративного заказчика Криптографическая и/или ТЗКИ 3–6 месяцев
Финтех / платёжный сервис Платформа управляет СКЗИ на стороне сервера для клиентов Криптографическая деятельность: предоставление услуг в области шифрования 3–5 месяцев
Удостоверяющий центр при банке УЦ выдаёт сертификаты ЭП, управляет инфраструктурой открытых ключей Криптографическая деятельность (несколько видов одновременно) 4–6 месяцев, расширенный перечень видов

Проконсультироваться по лицензии для финансовой организации

Финансовый сектор — особая специфика на стыке требований ЦБ и ФСБ. Расскажите о деятельности вашей организации: что именно делается с СКЗИ и для кого. На первичной консультации однозначно скажем, нужна ли лицензия ФСБ, какая именно и как вписать её получение в уже существующую систему внутренних регламентов по ИБ.

Связаться с нами

Телефон: +7 920-898-17-18 — с 9:00 до 18:00 по московскому времени

WhatsApp / Telegram: +7 920-898-17-18

Email: reestrgarant@mail.ru — опишите, какие услуги с применением СКЗИ оказывает ваша организация. Проанализируем необходимость лицензирования и ответим в течение рабочего дня.

Нужна сертификация по этой теме?

Получите бесплатную оценку сроков и стоимости за 15 минут. Расскажите о продукции — подберём оптимальную схему сертификации.

1500+ сертификатов оформлено В работе с 2015 года Ответ за 15 мин

Читайте также

📰
Новости сертификации

РТК-ЦОД: сертификат ГОСТ 57580 и право на системы Банка России

РТК-ЦОД подтвердил соответствие «Облака КИИ» ГОСТ 57580. Теперь платформа размещает информационные системы организаций, деятельность которых регулирует Банк России. Безопасность подтверждена независимым аудитом и аттестатами ФСТЭК.

📅 22.06.2026