Банк России намерен проверить информационную безопасность аудиторских компаний, обслуживающих общественно значимые организации финансового рынка

Банк России планирует контролировать соблюдение требований по информационной безопасности аудиторскими организациями, которые обслуживают общественно значимые организации финансового рынка (ОЗО ФР). Сегмент оценивается в годовую выручку около 11 млрд рублей.

Полное соответствие нормативным требованиям зафиксировано преимущественно у крупнейших участников рынка, тогда как остальным компаниям потребуется значительное финансирование для приведения процессов в соответствие. В результате часть аудиторских фирм может покинуть реестр, а их клиенты перераспределятся между оставшимися организациями.

В конце января 2026 года регулятор провёл совещание с аудиторскими организациями, оказывающими услуги ОЗО ФР, и обозначил информационную безопасность как приоритетное направление проверок в 2026 году. Планируется оценка соответствия аудиторских компаний нормативным актам в сфере ИБ.

Нормативные акты предъявляют к аудиторским организациям требования по обеспечению восьми ключевых процессов. Среди них — защита от вредоносных программ, обеспечение безопасности при управлении доступом и предотвращение утечек информации.

В процессе работы аудиторские компании подключаются к учётным системам клиентов, принимают и обрабатывают данные, а также хранят рабочие документы, что создаёт дополнительные риски для безопасности информации.

По оценке руководителей ряда аудиторских компаний, лишь шесть крупнейших организаций из реестра полностью соответствуют действующим требованиям по ИБ.

За 2025 год Центральный банк выписал 32 предписания в отношении 22 организаций и возбудил семь административных делопроизводств.

Во втором полугодии 2025 года регулятор исключил из реестра компании Группа Финансы и ПрофИнвестАудит. Ранее проводился опрос участников рынка о мерах по снижению рисков утечек данных; по итогам оценки уровень защищённости организаций с доступом к чувствительным данным ОЗО ФР был признан недостаточным или чрезмерно низким.

Внедрение комплексных мер по информационной безопасности и цифровизации требует инвестиций, которые для большинства аудиторских компаний могут оказаться значительными. Ожидаемые расходы оцениваются суммарно в десятки миллионов рублей.

В числе примеров оборудования и сервисов называются системы предотвращения утечек данных (DLP) с первоначальной стоимостью около 10 млн рублей, годовое обслуживание таких систем — порядка 2 млн рублей, а межсетевые экраны — примерно 1 млн рублей, без учёта регулярного техобслуживания.