Банк ПСБ: Банк — не только заказчик, но и разработчик, безопасное ПО в банке
Шведов Сергей, заместитель руководителя блока информационной безопасности, ПАО «Банк ПСБ».
Конференция ЦИПР 2026. Организатор компания ООО «ОМГ».
Банк — не только заказчик, но и разработчик, поэтому процессы безопасной разработки выстраивались давно и проходили путь от ручной экспертной проверки к более зрелой модели.
Эволюция процесса шла поэтапно: сначала была неавтоматизированная обработка заявок и анализ архитектуры, затем появились статические и динамические анализаторы, встраивание open source-решений и интеграция в DevOps/DevSecOps, а затем — движение к процессу РБПО.
Безопасность задаётся не “по желанию”, а регуляторно: требования формируются со стороны регулятора, СТЭК, ФСБ, Минцифры и Центробанка, причём требования ЦБ только усиливают общую планку.
В банке есть и бизнес-требования, и требования ИБ, которые применяются как к внутренней разработке, так и к закупаемым решениям; для рынка эти требования часто превращались в чек-листы для быстрой оценки поставщиков и тендеров.
Из-за сжатых сроков импортозамещения и отсутствия времени на полноценное предварительное тестирование многие решения приходилось оценивать уже на этапе приёмки.
ПО в банк попадает только через контрольный конвейер: проверки идут по методикам СТЭК и по методике проверки безопасности обновлений ПО, вышедшей в 2022 году.
Основная проблема со стороны вендоров — отсутствие зрелого процесса РБПО: при интеграции решений выявляются уязвимости, закладки и старый “дырявый” open source; даже базовый пентест у некоторых не проводится.
Если у вендора “безопасник” есть только формально и без полномочий, безопасность проигрывает бизнес-фичам — это отдельный риск, который в выступлении подчёркивается как типовая проблема.
Но есть и положительный пример: если у подрядчика процесс выстроен, проблем с внедрением почти нет, и такое решение может спокойно проходить дальнейшую аттестацию.
Безопасность ПО зависит не только от регуляторных требований, но и от зрелости процессов у вендора и заказчика; у банка она выстраивается через регламенты, чек-листы, контрольный конвейер и требования к разработке.
