Эксперты группы компаний «ИнфоТеКС» посетили мобильную студию Национального банковского журнала (NBJ), которая работала на площадке Большого Московского ТехноФеста. Они рассказали о специфике работы с финансовой отраслью, продуктах и решениях вендора, которые сейчас наиболее востребованы банками, и поделились впечатлениями от мероприятия.

9 октября состоялось одно из самых ожидаемых событий в мире информационной безопасности – Большой Московский ТехноФест, организованный компанией «ИнфоТеКС».   Это масштабное мероприятие одного из ведущих российских вендоров в области ИБ собрало ведущих специалистов по кибербезопасности, разработчиков и экспертов отрасли. Насыщенная программа прошла в четыре параллельных потока, 45 спикеров представили практические доклады и материалы о продуктах для защиты информации. Были продемонстрированы возможности продуктов ViPNet для клиентских платформ, обнаружения вторжений и реагирования на атаки на хостах и в сети, команда показала инициализацию и ввод в эксплуатацию крипточипа ViPNet SIES Core Nanо, миграцию сетей с ViPNet Administrator на новую систему управления продуктами и решениями ViPNet – ViPNet Prime, и многое другое. Эксперты отдела развития продуктов ИнфоТеКС представили новые версии ViPNet Удостоверяющий центр 5, корпоративного защищённого мессенджера ViPNet CSS Connect 3, многофункциональных межсетевых экранов следующего поколения ViPNet xFirewall 5, ViPNet Coordinator HW 5, продемонстрировали решения для защиты инфраструктуры цифрового рубля и другие актуальные релизы продуктов экосистемы ViPNet.  

Эксперты ГК «ИнфоТеКС» пришли в мобильную студию NBJ, чтобы рассказать о своей работе и продуктах для финансовой сферы.

Обзорное видео от Журнала NBJ

ТехноФест сделан по концепции максимально открытого пространства

ТехноФест – крупнейшее моновендорное мероприятие, и оно имеет свои особенности, о которых нашему изданию рассказал директор по продуктам ИнфоТеКС Николай Смирнов.

«У ИнфоТеКС богатый опыт проведения различных маркетинговых мероприятий, которые ранее, как правило, строились по одной модели – несколько залов, поток людей, сквозь который очень сложно пробраться, чтобы послушать интересующие выступления в параллельных секциях. В итоге у нас родилась концепция максимально открытого пространства и мероприятия, ориентированного на технических специалистов, которые интересуются нашими продуктами или уже эксплуатируют их. Мы пришли к формату, согласно которому трансляция производится в одном помещении одновременно в несколько потоков, спикеры говорят в радиомикрофоны, гости слушают через радиоприемники, что позволяет им переключаться на доклады разных спикеров, находясь в любой точке пространства ТехноФеста. С учётом того, что в программе нет перерывов, информация для участников поступает в режиме нон-стоп. Помимо докладов, на одном из потоков Большого Московского ТехноФеста мы выделяем специальную зону для мастер-классов, где проводим живую демонстрацию сложных сценариев. Это требует большого количества оборудования и обслуживающих его специалистов, однако добавляет интерактива и вызывает большой интерес, что в совокупности делает мастер-классы одним из самых зрелищных потоков мероприятия», – отметил Николай Смирнов.

Полная версия интервью Николая Смирнова

Из финансовой отрасли к нам приходят самые интересные проекты

«Перспективный мониторинг» – это дочерняя компания ИнфоТеКС, являющаяся одним из лидеров российского рынка анализа защищённости и коммерческих SOC. О том, насколько активно банки обращаются за услугами компании, и как в целом выстроена работа с финтехом, NBJ рассказал директор по развитию бизнеса компании «Перспективный мониторинг» Сергей Нейгер.

«В финансовой отрасли больше всего востребованы наши услуги по проведению различных исследований защищенности информационных систем. Здесь стоит отдельно отметить, что именно из финтеха к нам приходят самые интересные проекты», – отметил эксперт.

Сергей Нейгер рассказал также о некоторых интересных кейсах с банками:

«В последнее время довольно часто к нам поступают запросы на исследования защищённости банкоматов. Мы сделали несколько таких проектов и столкнулись с очень интересными требованиями, которые касаются физической безопасности устройств. Были формулировки «допускается физическое уничтожение POS-терминалов». То есть заказчик был готов предоставить оборудование, чтобы мы его разломали. Отрадно, что финансовые организации и о таком векторе атак тоже задумываются».

«Есть ещё одна интересная особенность работы с банками, – делится мыслями директор по развитию бизнеса «Перспективный мониторинг». – В рамках исследования защищённости нам часто приходится проверять защищённость клиентских приложений – web, ДБО физлиц, юрлиц, в том числе и мобильных приложений. То есть делая работу для банков, мы делаем работу для миллионов пользователей, которые являются клиентами финансовых организаций, в том числе и для себя тоже».

Примечательно, что, обращаясь в компанию за услугами с целью выполнения требований Банка России, затем заказчики приходят уже за более глубокими интересными исследованиями, то есть проекты «для галочки» перерастают в проекты «для души», отметил Сергей Нейгер.

Полная версия интервью Сергея Нейгера

В вопросе о стоимости проекта по цифровому рублю много мифов

Компания «ИнфоТеКС» разработала решение для защиты инфраструктуры цифрового рубля коммерческих банков. Вице-президент ИнфоТеКС Сергей Дурягин рассказал об участии вендора в проекте цифрового рубля, о том, что уже сейчас компания готова предложить банкам. Проект цифрового рубля дал огромный толчок развитию инфраструктуры, связанной с защитой информации – инфраструктуры открытых ключей, всего, что имеет отношение к удостоверяющим центрам, касается функционала ЭП и защиты каналов связи.

«Мы в этом проекте с самого начала, когда только обсуждались требования, планы и концепции создания инфраструктуры цифрового рубля, консультировали партнёров по вопросам защиты информации, общались с регуляторами. ИнфоТеКС – одна из трёх компаний – разработчиков программного модуля Банка России. Это как раз тот элемент, который внутри мобильного приложения каждого пользователя обеспечивает защиту транзакций с цифровым рублём. Также у нас есть вся линейка СЗИ для обеспечения защиты инфраструктуры, в том числе и на стороне коммерческих банков. То есть мы предлагаем комплексное решение», – отметил Сергей Дурягин.

Одним из самых острых и болезненных для банков вопросов является вопрос стоимости построения защищённой инфраструктуры. По мнению эксперта, здесь есть много недосказанности и мифов.

При подсчёте стоимости таких проектов нужно отталкиваться от того объёма транзакций, который в том или ином банке предполагается, объясняет он.

«Иногда коллеги, говоря о стоимости проекта, называют цифры от 100 до 300 млн рублей. Но следует понимать, что такие значения актуальны только для банков уровня ТОП-10, проводящих тысячи транзакций в секунду. Для небольших банков это гораздо меньшие цифры. У них есть минимальный порог входа, потому что требуются средства УЦ, средства работы с ЭП, приобретение лицензий на программный модуль Банка России. Речь может идти о десятках миллионов рублей. Есть прецеденты, когда банки просчитывали с нашей помощью такие проекты и выходили на цифру 15–20 млн рублей. У нас открытый прайс, где приводится стоимость разных компонентов в зависимости от необходимого количества и производительности», – рассказал Сергей Дурягин.

Полная версия интервью Сергея Дурягина

Проект цифрового рубля является одним из драйверов развития для финтеха в части внедрения отечественных СКЗИ

Руководитель продуктового направления ИнфоТеКС Римма Бадмаева в своём интервью подробно рассказала о линейке продуктов ViPNet PKI, а также остановилась на решениях, которые сегодня наиболее востребованы банками, объяснив, с чем этом связано.

В последние годы проект цифрового рубля является для финтеха драйвером развития в части внедрения СКЗИ. Разработка этого проекта ведётся уже несколько лет. Массовое внедрение было перенесено с лета этого года на осень 2026 года. Однако уже сейчас системно значимые банки встраивают в инфраструктуру цифрового рубля СКЗИ, сертифицированные по линии ФСБ России, отметила она.

«Если говорить о продуктах направления PKI, то в цифровом рубле
используется практически вся линейка наших продуктов данного направления, в частности, криптографическая библиотека в составе мобильного приложения (программного модуля Банка России). Также наши СКЗИ используются на стороне банков. Все операции, связанные с цифровым рублём, должны быть защищены с использованием сертифицированных средств. Именно в цифровом рубле используются все пользовательские сценарии применения PKI – это подпись, шифрование, организация ГОСТ TLS соединений», – объяснила эксперт.

Помимо этого, ЦБ РФ установил, что банки должны использовать удостоверяющие центры, которые будут обеспечивать всех участников информационного взаимодействия необходимыми сертификатами.

«У нас с вами как у будущих пользователей цифрового рубля появятся свои сертификаты и на стороне банка также применяются эти сертификаты, выпускаемые собственными удостоверяющими центрами. Цифровой рубль дал толчок применению отечественной криптографии во всем финтехе», – подчеркнула Римма Бадмаева.

Полная версия интервью Риммы Бадмаевой

Пользователям удобно, что у нас как у вендора есть и решение построения платформы цифрового рубля, и свой собственный сервис автоматизации выпуска сертификатов

Компания «ИнфоТеКС» разработала ViPNet САВС – решение по автоматизации выдачи сертификатов для пользователей платформы цифрового рубля. Чем оно отличается от аналогов и какие вопросы помогает решать банкам, рассказала руководитель продуктового направления ИнфоТеКС Елена Новикова. Пользователи платформы цифрового рубля должны иметь возможность безопасно и удобно взаимодействовать с коммерческими банками через мобильные и веб-приложения, обеспечивая защиту своих цифровых активов и транзакций. Для этого потребовался сервис, который будет автоматизировать процесс выпуска сертификатов, обеспечивать их проверку и актуальность, а также интегрироваться с ЕСИА. Таким сервисом и стал ViPNet САВС – комплекс технических и программных средств, предназначенный для выпуска сертификатов пользователей платформы цифрового рубля. ViPNet САВС обеспечивает процесс автоматизированного выпуска сертификатов безопасности и сертификатов ключей проверки ЭП, отметила эксперт.

«Аналогов у ViPNet САВС пока немного и нет какого-то конкретного решения по автоматизации выпуска сертификатов в части авторизации в ЕСИА. При соблюдении всех требований Банка России, в отличие от других вендоров, мы сделали немного другую архитектуру своего сервиса, используя уже имеющиеся у нас решения. Имея новое готовое решение для работы с ЕСИА, мы провели все проверки по оценке влияния на ViPNet Удостоверяющий центр 5 и УЦ «КриптоПро УЦ», с которыми оно может работать. С его помощью банки смогут строить TLS до самой ЕСИА. Пользователям очень удобно, что у нас как у вендора есть и решение построения платформы цифрового рубля, и свой собственный сервис автоматизации выпуска сертификатов. Кроме того, наше решение является мультивендорным, то есть его можно встроить в цифровую платформу любого вендора, что тоже удобно нашим заказчикам», – объяснила Елена Новикова.

Полная версия интервью Елены Новиковой

Концепция цифрового рубля имеет высокую социальную значимость, и её безопасность должна быть подтверждена

Участвуя в проекте по цифровому рублю, банки должны не только построить защищённую инфраструктуру, отвечающую требованиям регулятора, но и пройти оценку влияния на СКЗИ. Как проводится эта процедура и какие компании могут это делать, рассказал руководитель направления аналитического отдела ИнфоТеКС Александр Бодров.

Когда речь идёт об оценке влияния СКЗИ, существует четыре основных игрока: разработчик-производитель СКЗИ; организация, которая непосредственно осуществляет встраивание СКЗИ в ПО; испытательная лаборатория; орган по сертификации – ФСБ России.

СКЗИ имеет список так называемых «белых» функций, используя которые, организации, их встраивающие, могут не проходить полную стадию сертификации нового СКЗИ. В этом случае будет достаточно упрощённой процедуры оценки влияния. Конечно, при этом изначально СКЗИ должно быть сертифицировано, отметил эксперт.

Процедурой встраивания СКЗИ в ПО могут заниматься только лицензиаты. А непосредственно процедуру оценки влияния, оценку корректности проведения этой процедуры проводит испытательная лаборатория, которая должна быть аккредитована и более того, само техническое задание на эту процедуру согласуется с регулятором – ФСБ России, объяснил Александр Бодров.

«Если не соблюдать эту процедуру, мы нарушаем требования в области защиты информации. За такие нарушения предусмотрена административная ответственность. Если мы говорим о нарушении этих документов в области КИИ, то ответственность может быть вплоть до уголовной. Но в части цифрового рубля я бы делал упор не на грядущую ответственность, но акцентировал внимание, что сама концепция имеет высокую социальную значимость. Зачем мы вообще проводим эту процедуру? Чтобы убедиться, что СКЗИ встроено верно, что его функции верно вызываются. То есть та безопасность, которую мы заявили, имеет место быть. Без этой процедуры мы подтвердить этого не можем», – резюмировал руководитель направления аналитического отдела ИнфоТеКС.

Полная версия интервью Александра Бодрова

На каждом этапе оценки соответствия наше участие – это не просто формальность, а постоянное взаимодействие с заказчиком

В соответствии с Положением Банка России 851-П кредитные организации должны проводить оценку соответствия защиты информации требованиям ГОСТ Р 57580.1-2017. Как эта задача решается, и как проводится оценка соответствия для кредитных организаций, рассказал ведущий аналитик компании «Перспективный мониторинг» Сергей Петров.

Данная оценка – это обязательство, которое установил Банк России, и проводить её нужно раз в два года для кредитных организаций. Поскольку банки – это коммерческие организации, всё это происходит на договорной основе, то есть любая оценка начинается с заключения договора. Сейчас есть два основных формата – закупка и прямое обращение. При этом в любом случае – что на этапе закупки, что на этапе прямого обращения – компания подключается и оказывает помощь. Задача – грамотно сформулировать требования в техническом задании, определить область оценки. Возможно также оказание дополнительных услуг, объяснил эксперт.

«Наша компания давно на рынке, мы – аудиторы со стажем и действуем по классическим стандартам проведения аудита, начиная от вступительного совещания, этапа документальной проверки, работы на объекте, и заканчивая формированием отчётных материалов и рекомендаций. Непосредственно сама работа выглядит как запрос-ответ. Действительно, приходится писать много запросов, на заказчика тоже ложится немалый объём работы по сбору свидетельств. Подчеркну, на каждом этапе наше участие – это не просто формальность, а постоянное взаимодействие с заказчиком», – отметил Сергей Петров. 

Полная версия интервью Сергея Петрова   

Текст: Оксана Дяченко

Фото: Станислав Кравченко и компания «ИнфоТеКС»

Материал также опубликован  в печатной версии Национального банковского журнала (октябрь 2025)