Определим применимые требования, проверим организационные и технические меры, зафиксируем несоответствия и разработаем план доработок под специфику вашей деятельности.
Оценка соответствия 757‑П для НФО

Для каких НФО применимо?
Снимаем с НФО неопределённость по 757-П. Определяем применимые именно к вам требования и показываем, как они связаны с вашими бизнес-процессами, ИТ-системами, защищаемой информацией и уже внедрёнными мерами ИБ.
Работаем без шаблонов: страховая, МФО, брокер, УК, НПФ и депозитарий слишком разные, чтобы применять к ним одинаковый подход. Начинаем с анализа вашей реальной деятельности — операций, систем, участников процессов, использования электронных сообщений, ЭП, СКЗИ, подрядчиков и внешних интеграций. Только так оценка даёт практический результат, а не формальную отписку.
Страховые организации
Главный вызов — распределённые каналы продаж и обслуживания: клиентские и агентские кабинеты, партнёрские интеграции, урегулирование убытков, обмен данными с медицинскими организациями, автосервисами, оценщиками и другими контрагентами. Разбираемся, кто имеет доступ к страховым делам, какие формируются выгрузки, как фиксируются действия агентов и сотрудников, как контролируется передача защищаемой информации третьим лицам.
МФО
В центре внимания — быстрый дистанционный цикл выдачи займа: заявка, идентификация, скоринг, запросы в БКИ, антифрод, подписание договора, выдача средств и приём платежей. Смотрим, насколько контролируются API, внешние сервисы, ручные корректировки решений, действия сотрудников с заявками, платёжные статусы и логи клиентского пути.
НПФ
Главное — надёжность долгосрочного учёта и хранения пенсионной информации. Проверяем, где хранятся пенсионные данные, кто имеет к ним доступ, как фиксируются изменения, как контролируются архивы, исторические системы, ручные выгрузки, миграции данных, резервное копирование и восстановление.
Депозитарии
В приоритете — операционная дисциплина, целостность учётных данных и доказуемость операций с ценными бумагами. Смотрим приём и исполнение поручений, проверку полномочий, учёт прав, сверки, взаимодействие с НРД и участниками рынка, использование ЭП/СКЗИ, контроль изменений и привилегированного доступа.
Брокеры и профучастники рынка ценных бумаг
Ключевое — доказуемость клиентских поручений и финансово значимых действий. Для 757-П восстанавливаем всю цепочку: клиент вошёл в ЛК, мобильное приложение, терминал или API, сформировал поручение, подтвердил действие, система проверила ограничения, операция исполнена, результат отражён в учёте, а ключевые события сохранены в журналах.
Управляющие компании
Здесь фокус не на массовых онлайн-каналах, а на процессном контроле инвестиционных решений. Проверяем согласование операций, разделение полномочий, контроль инвестиционных ограничений, направление поручений брокерам, депозитариям и спецдепозитариям, хранение подтверждающих материалов и журналирование действий ответственных лиц.

Иные НФО
Подход всегда подбираем под конкретную модель деятельности. Определяем, какие финансовые операции выполняются, какие технологические участки и ИС задействованы, где возникает защищаемая информация, какие электронные сообщения формируются, где используются ЭП и СКЗИ, какие подрядчики подключены и какие доказательства выполнения требований уже есть.

Что проверяем?
Не ограничиваемся формальной проверкой наличия документов.
Наша задача — определить, какие требования 757-П действительно применимы к вашей НФО и как они связаны с реальными бизнес-процессами, информационными системами, технологическими участками и уже реализованными мерами защиты информации.
Применимость требований
Определяем, какие требования 757-П применимы именно к вашей организации с учётом статуса, вида деятельности, уровня защиты информации, наличия дистанционных каналов, финансовых операций, электронных сообщений, СКЗИ, ЭП, ЕСИА/ЕБС, СБП, СПФС, SWIFT и внешних интеграций.
Документы и регламенты
Проверяем наличие и актуальность документов, описывающих систему защиты информации: политики, положения, модель угроз, регламенты управления доступом, инцидентами, уязвимостями, изменениями, СКЗИ, электронной подписью, журналированием и взаимодействием с третьими лицами.
Организационные меры
Разбираемся, как в компании распределены роли и ответственность: кто владеет процессами, кто отвечает за ИБ, ИТ, технологические участки, инциденты, доступы, электронные сообщения, взаимодействие с Банком России и внешними участниками.
Технические меры
Смотрим, как реализованы меры защиты на уровне систем и инфраструктуры: управление доступом, MFA, сегментация сети, защита API и внешнего периметра, СЗИ, СКЗИ, ЭП, логирование, мониторинг, резервное копирование, защита от вредоносного кода, DLP, защита виртуализации и удалённого доступа.
Доказательства выполнения и контроля
Проверяем не только документы, но и реальные свидетельства: выгрузки прав доступа, журналы событий, скриншоты настроек, отчёты пентестов и сканирований, карточки инцидентов, заявки на доступ, результаты пересмотра прав, схемы архитектуры, сертификаты СКЗИ, договоры с подрядчиками.
Распределение ролей
Выясняем, понятно ли в компании, кто отвечает за выполнение требований 757-П: владелец процесса, владелец системы, ИБ, ИТ, эксплуатация, разработка, администраторы, подразделение рисков, ответственные за инциденты и взаимодействие с Банком России.
Подрядчики и третьи лица
Анализируем, какие внешние организации участвуют в оказании финансовой услуги и обработке защищаемой информации: ЦОД, облачные провайдеры, разработчики, интеграторы, банки, РФТ, платёжные сервисы, провайдеры идентификации, СМС/email/push-сервисы, подрядчики по ИБ и ИТ.
Что происходит после оценки?
Сопровождение внедрения мер
Помогаем перевести рекомендации из отчёта в реальные изменения: внедряем организационные и технические меры защиты информации, дорабатываем процессы, регламенты и контрольные процедуры под требования 757-П и специфику вашей НФО.
Устранение критичных несоответствий
Закрываем в первую очередь те пробелы, которые несут наибольшие риски для организации и могут стать предметом замечаний регулятора: настраиваем процессы управления доступом, инцидентами, СКЗИ и ЭП, готовим недостающие документы и свидетельства выполнения требований.
Сопровождение внедрения мер
Помогаем перевести рекомендации из отчёта в реальные изменения: внедряем организационные и технические меры защиты информации, дорабатываем процессы, регламенты и контрольные процедуры под требования 757-П и специфику вашей НФО.
Устранение критичных несоответствий
Закрываем в первую очередь те пробелы, которые несут наибольшие риски для организации и могут стать предметом замечаний регулятора: настраиваем процессы управления доступом, инцидентами, СКЗИ и ЭП, готовим недостающие документы и свидетельства выполнения требований.
Особенности нашей работы
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.

Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Не ограничиваемся отчетом
Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям 757-П и ГОСТ Р 57580
Работаем очно и дистанционно
При необходимости выезжаем на площадку, чтобы глубже понять бизнес и выявить реальные риски.

Долгосрочное партнёрство
Становимся доверенным партнером по ИБ, а не разовым подрядчиком.
Смежная экспертиза
Объединяем опыт различных ИБ направлений и ИТ: пентесты, мониторинг инцидентов, внедрение любых СЗИ
Не ограничиваемся отчетом
Помогаем внедрить изменения до результата и перепроверить на соответствие требованиям 757-П и ГОСТ Р 57580
ITG Security - это
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений

Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений

Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Лицензии
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 15, 20, 21, 22, 23, 24.

Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;

Нам доверяют
Часто задаваемые вопросы
Как понять свой контур и уровень защиты?
Контур определяется через реальные процессы и системы, участвующие в оказании финансовых услуг: клиентские каналы, личный кабинет, API, учётные системы, платёжные процессы, электронные сообщения, внешние интеграции, подрядчики и средства защиты.
Уровень защиты зависит от вида НФО, показателей деятельности, масштаба операций, наличия дистанционных каналов и требований 757-П. Помогаем определить, какие процессы и системы попадают в область применения требований, какой уровень защиты применим и что именно должна выполнять ваша организация.
Что входит в оценку 757-П?
В оценку входит анализ применимости требований 757-П, бизнес- и технологических процессов, ИТ-инфраструктуры, документов, организационных и технических мер защиты информации.
Проверяем не только наличие регламентов, но и реальные подтверждения выполнения требований: схемы, выгрузки, журналы событий, настройки систем, отчёты пентестов, карточки инцидентов, заявки на доступ, сертификаты СКЗИ, договоры с подрядчиками и другие свидетельства.
Что будет в отчёте 757-П?
В отчёте фиксируем применимые требования, область оценки, текущий статус выполнения, выявленные несоответствия, риски и рекомендации.
Обычно отчёт включает:
- карту применимости требований 757-П;
- описание области проверки;
- реестр несоответствий;
- рекомендации по устранению;
- приоритизированный план доработок;
- перечень недостающих документов и свидетельств;
- материалы для внутреннего принятия решений.
Помогаете ли вы устранять несоответствия?
Да. После оценки помогаем с доработкой документов, описанием процессов, подготовкой свидетельств, настройкой контрольных процедур и формированием плана устранения несоответствий.
Формат работы зависит от состояния организации: для более зрелых НФО обычно достаточно точечной актуализации документов и доказательств, для менее зрелых — помогаем выстроить базовые процессы ИБ, управление доступом, инцидентами, уязвимостями, подрядчиками и технологическими участками.












