Информационная безопасность страховых компаний

Страховой бизнес опирается на непрерывную работу клиентских и агентских сервисов, а также на сохранность персональных данных. В отличие от многих других отраслей, значительная часть операций выполняется через удаленные рабочие места, филиалы и агентские порталы, что существенно расширяет поверхность атаки.

Ключевыми объектами защиты в страховой компании являются:

• клиентские базы и персональные данные — информация о клиентах, договорах страхования, выплатах и обращениях;
• CRM и фронт-офисные системы — инструменты продаж, сопровождения клиентов и урегулирования убытков;
• агентские порталы и интеграции — внешние точки доступа, через которые работают агенты и партнеры;
• филиальные сети и удаленные рабочие места — распределенная инфраструктура с повышенными рисками утечек и компрометации.

Нарушения безопасности в любой из этих зон напрямую отражаются на бизнес-процессах и качестве обслуживания клиентов.

Практика показывает, что основные инциденты в страховой отрасли связаны не с высокотехнологичными атаками, а с комбинированием технических и организационных факторов. Наиболее характерные угрозы включают:

• утечки персональных данных через сотрудников и подрядчиков, в том числе при работе с CRM и клиентскими базами;
• компрометацию учетных записей агентов и сотрудников, что приводит к несанкционированному доступу к системам и данным;
• фишинг и социальную инженерию, особенно в распределенных агентских сетях;
• атаки на веб-порталы и личные кабинеты клиентов, влияющие на продажи и репутацию компании.

Последствия таких инцидентов выходят за рамки ИТ-проблем: они затрагивают выполнение требований регуляторов, приводят к финансовым потерям и подрывают доверие клиентов и партнеров.

Базовые законы

• Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»

Обязывает всех операторов персональных данных (включая страховщиков) принимать правовые, организационные и технические меры защиты ПДн от неправомерного доступа, утечки, уничтожения и иных незаконных действий.

• Закон РФ от 27.11.1992 № 4015‑1 «Об организации страхового дела в Российской Федерации»

Устанавливает, что страховщики обязаны обеспечивать сохранность, конфиденциальность и целостность информации, используемой в страховой деятельности, и подчиняться специальным требованиям Банка России к защите информации в страховании.


Нормативные акты Банка России по ИБ

• Положение Банка России от 20.04.2021 № 757‑П

Требует от страховщиков обеспечения стандартного или минимального уровня защиты информации при противодействии незаконным финансовым операциям с опорой на ГОСТ Р 57580.1‑2017 и периодической оценки соответствия с привлечением внешних проверяющих.

• ГОСТ Р 57580.1‑2017 «Безопасность финансовых (банковских) операций» (применяется через 757‑П)

Определяет базовый состав организационных и технических мер защиты для финансовых организаций, включая страховые компании с крупными активами, от которых требуется «стандартный» уровень защиты.

• Положение Банка России от 30.08.2023 № 822‑П «О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования»

Обязывает оператора АИС страхования обеспечивать защиту всей информации в системе на всех этапах (получение, обработка, хранение, предоставление), применять сертифицированные СКЗИ и регистрировать и раскрывать инциденты ИБ перед Банком России.

• Положение Банка России от 16.08.2021 № 768‑П

Требует от страховщиков организовать хранение данных в ИС так, чтобы обеспечить их защиту от утраты, порчи, вредоносного кода и НСД, вести журнал изменений не менее пяти лет и обеспечивать восстановление данных из резервных копий.

• Готовящиеся единые требования Банка России к стандартному уровню защиты информации для всех СК

Банк России заявляет о планах распространить стандартный уровень защиты информации (по 757‑П и ГОСТ Р 57580.1‑2017) на все страховые компании, что делает комплексные решения по ИБ обязательными даже для небольших игроков.

Требования к АИС страхования и инцидент‑менеджменту

• Подп. 5 п. 7 ст. 33.10 и ст. 33.11 Закона № 4015‑1 (через Положение № 822‑П)

Обязывают оператора АИС страхования выделять перечень защищаемой информации, обеспечивать контроль целостности электронных сообщений, регистрировать инциденты и информировать Банк России о нарушениях и принятых мерах.

• Проект и финальная редакция Положения Банка России о требованиях к АИС страхования (на базе проекта от 30.03.2023)

Закрепляют требования к технологиям обработки защищаемой информации, регистрации и расследованию инцидентов, а также к уведомлению регулятора о нарушениях, что делает системы мониторинга и реагирования на инциденты обязательным элементом инфраструктуры страховщика.

Риски для менеджмента и мотивация инвестировать в ИБ

• Законопроект о квалификационных требованиях и деловой репутации руководителей финансовых организаций (Указание Банка России от 17 сентября 2025 г. № 7169-У)

Предусматривает возможность признания деловой репутации заместителя руководителя по ИБ неудовлетворительной при утечке персональных данных, что напрямую связывает качество ИБ с личной ответственностью топ‑менеджмента.

• Административная и иная ответственность за нарушение 152‑ФЗ

Нарушение требований по защите ПДн влечет юридическую ответственность, включая значительные штрафы и риски при проверках Роскомнадзора и Банка России, что экономически оправдывает вложения в зрелые процессы и технологии защиты.

Архитектура информационной безопасности страховой компании должна учитывать распределенность инфраструктуры и большое количество внешних и внутренних пользователей.

Ключевые приоритеты защиты включают:

• Защиту персональных данных клиентов и сотрудников

Обеспечение конфиденциальности и целостности данных в CRM, фронт-офисных системах, хранилищах и отчетности.

• Контроль доступа к ключевым системам

Разграничение прав доступа для сотрудников, агентов и подрядчиков, защита учетных записей и привилегированных пользователей.

• Безопасность филиалов и удаленных рабочих мест

Централизованная защита распределенной инфраструктуры, защищенные каналы связи, контроль конечных устройств и удаленного доступа.

• Мониторинг и выявление инцидентов ИБ

Контроль действий пользователей, выявление аномалий, своевременное обнаружение утечек и компрометаций учетных записей.

Архитектурно защита выстраивается по принципу «защита по слоям», с учетом реальных бизнес-процессов страховой компании, без избыточных ограничений для продаж и обслуживания клиентов.

При построении системы информационной безопасности страховой компании применяется набор взаимосвязанных решений, обеспечивающих защиту данных, контроль доступа и оперативное выявление инцидентов в распределенной инфраструктуре.

Основные классы используемых решений:

• DLP и средства защиты персональных данных

Используются для предотвращения утечек клиентских и агентских данных из CRM, фронт-офисных систем и файловых хранилищ. Позволяют контролировать каналы передачи информации, выявлять нарушения политик безопасности и снижать риски, связанные с действиями сотрудников, агентов и подрядчиков.

• “ловушки” и системы “обманки”

Расширяют функционал систем контроля утечек тем, что отвлекают недобросовестных сотрудников, позволяя выявлять их действия по несанкционированному копированию конфиденциальных данных, а также хакеров при попытке реализации атак, связанных с кражей информации или в их попытках нанесения ущерба - за счет удлиннения цепочки атаки.

• SIEM и системы мониторинга событий безопасности

Обеспечивают централизованный сбор и анализ событий ИБ из ключевых систем и инфраструктурных компонентов. Позволяют выявлять подозрительные действия, попытки компрометации учетных записей и инциденты на ранней стадии, а также формировать отчетность для регуляторов и внутреннего контроля.

• Межсетевые экраны и защищенные каналы связи (VPN)

Используются для сегментации сети, защиты периметра и безопасного взаимодействия между головным офисом, филиалами и удаленными рабочими местами. Обеспечивают контроль сетевого трафика и защищенный доступ к корпоративным системам.

• EDR / XDR для рабочих станций и серверов

Применяются для защиты конечных устройств сотрудников и агентов от вредоносного ПО, фишинга и целевых атак. Позволяют выявлять аномальное поведение, реагировать на инциденты и централизованно управлять защитой в распределенной среде.

• Системы контроля привилегированных пользователей (PAM)

Используются для управления доступом администраторов и пользователей с расширенными правами. Обеспечивают контроль и аудит действий в критичных системах, снижая риски злоупотреблений и компрометации привилегированных учетных записей.

• Средства управления доступом и аутентификацией

Включают решения для централизованного управления учетными записями, многофакторной аутентификации и разграничения прав доступа. Особенно актуальны для агентских порталов и внешних пользователей.

В результате внедрения системы информационной безопасности страховая компания получает не набор разрозненных технических средств, а целостную и управляемую модель защиты.

Соответствие требованиям регуляторов

Система ИБ проектируется с учетом требований 152-ФЗ, нормативов Центрального банка РФ и приказов ФСТЭК России. Компания готова к проверкам, снижается риск предписаний и штрафов, упрощается взаимодействие с регуляторами за счет формализованных процессов и прозрачной архитектуры защиты.

Снижение рисков утечек и внутренних угроз

Реализуются механизмы контроля доступа, мониторинга действий пользователей и предотвращения утечек персональных данных. Это существенно снижает вероятность инцидентов, связанных с сотрудниками, агентами и подрядчиками — основным источником рисков в страховой отрасли.

Устойчивую работу распределенной инфраструктуры

Защита филиалов, агентских сетей и удаленных рабочих мест выстраивается централизованно и масштабируемо. Это обеспечивает стабильную работу систем продаж, урегулирования убытков и клиентского обслуживания при росте бизнеса.

Управляемую модель информационной безопасности

Информационная безопасность становится прозрачной для руководства: формируются понятные регламенты, метрики и зоны ответственности, появляется дорожная карта развития ИБ. Руководство получает инструмент управления рисками и поддержания устойчивости бизнеса, а не «черный ящик» из технических решений.

Мы помогаем страховым компаниям выстраивать информационную безопасность с учетом требований регуляторов, специфики распределенной инфраструктуры и реальных бизнес-процессов — от агентских сетей до цифровых каналов продаж.

Если вы:

• готовитесь к проверкам регуляторов;
• сталкиваетесь с ростом рисков утечек и инцидентов;
• планируете масштабирование, цифровизацию или модернизацию ИТ-инфраструктуры;
• хотите получить объективную оценку текущего уровня ИБ,

— мы готовы провести первичную консультацию, оценить риски и предложить практическую модель защиты, адаптированную под задачи вашей компании.

Свяжитесь с нами, чтобы обсудить, как повысить устойчивость и безопасность страхового бизнеса без избыточных затрат и формального подхода.