ГОСТ Р 57580 – главный стандарт защиты информации для финансовых организаций России. Для банков выполнение его требований и регулярная оценка соответствия – не добровольная практика, а обязанность, установленная нормативными актами Банка России. При этом провести оценку своими силами нельзя: регулятор требует привлекать стороннюю проверяющую организацию с лицензией ФСТЭК.
Разбираем, из чего состоит семейство ГОСТ Р 57580, кто и на каком основании обязан его выполнять, как считается уровень соответствия и как проходит оценка на практике.
Под «ГОСТ 57580» обычно имеют в виду семейство из двух связанных документов:
| Стандарт | Что содержит | Зачем нужен |
|---|---|---|
| ГОСТ Р 57580.1-2017 (утверждён приказом Росстандарта от 08.08.2017 № 822-ст) | Базовый состав организационных и технических мер защиты информации финансовых организаций | Определяет, ЧТО нужно внедрить: меры по восьми процессам защиты, от управления доступом до реагирования на инциденты |
| ГОСТ Р 57580.2-2018 | Методика оценки соответствия | Определяет, КАК проверить внедрённое: порядок оценки и шкалу итоговых уровней соответствия |
Стандарт задаёт три уровня защиты информации (п. 6.7 ГОСТ Р 57580.1): уровень 3 – минимальный, уровень 2 – стандартный, уровень 1 – усиленный. Какой уровень обязан обеспечивать конкретный участник рынка, определяет не сам стандарт, а нормативные акты Банка России.
Сам по себе национальный стандарт добровольный. Обязательным его делают положения Банка России, которые прямо ссылаются на ГОСТ Р 57580.1 и 57580.2:
Если организация совмещает виды деятельности (например, банк выступает и оператором услуг платёжной инфраструктуры) и формирует один контур безопасности, применяется наиболее высокий из требуемых уровней защиты (п. 3.1 Положения № 851-П).
Оценка по методике ГОСТ Р 57580.2-2018 завершается присвоением уровня соответствия по шкале из шести уровней – от нулевого до пятого (п. 6.9 стандарта). Для кредитных организаций Банк России установил жёсткую планку:
Четвёртый уровень – это высокая планка: он означает, что меры не просто формально внедрены, а организационно закреплены, контролируются и совершенствуются. На практике организации, которые готовились «по документам» без реального внедрения технических мер, при первой независимой оценке получают второй-третий уровень и план устранения на месяцы вперёд.
Ключевое требование, которое отличает ГОСТ 57580 от многих других проверок: самооценка для кредитных организаций не допускается. Оценку соответствия проводит только проверяющая организация (п. 13.2 Положения № 851-П) – сторонняя компания с лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации с нужными видами работ (п. 4.2 Положения № 851-П).
Это значит, что вопрос «делать ли оценку» для банка не стоит – стоит вопрос, кого привлечь и как подготовиться, чтобы не получить уровень ниже проходного.
Типовая длительность – от нескольких недель до двух-трёх месяцев в зависимости от масштаба инфраструктуры и числа контуров. Самая частая ошибка при подготовке – заниматься только документами: методика 57580.2 оценивает и организационную, и техническую сторону каждой меры.
Если организация проходит оценку впервые, разумная последовательность – сначала предварительный аудит (gap-анализ) по тем же требованиям, устранение критичных разрывов и только затем официальная оценка. Это дешевле, чем получить низкий уровень в официальном отчёте, который увидит регулятор, и проходить всё заново.
Кредо-С проводит аудит и оценку соответствия по ГОСТ Р 57580: gap-анализ перед официальной оценкой, саму оценку по методике 57580.2 и план устранения несоответствий. Лицензия ФСТЭК России на ТЗКИ, работаем с банками и некредитными финансовыми организациями. Оставьте заявку – оценим область работ и сроки по вашему контуру.
Сам стандарт – добровольный, как любой национальный стандарт. Обязательным его делают нормативные акты Банка России: для кредитных организаций – Положение № 851-П, для некредитных финансовых организаций – Положение № 757-П. Они прямо требуют реализовать уровни защиты по ГОСТ Р 57580.1 и проходить оценку по ГОСТ Р 57580.2, поэтому для поднадзорных ЦБ организаций выбор фактически отсутствует.
Положение № 851-П от 30.01.2025 заменило 683-П: старое положение признано утратившим силу (п. 16 Положения № 851-П). Требования к банкам при этом стали строже и детальнее, отдельные нормы вводятся поэтапно – часть положений действует с 1 октября 2025 года, часть вступает в силу с 1 января 2027 года. Внутренние документы, написанные под 683-П, нужно актуализировать.
Не ниже четвёртого по шкале ГОСТ Р 57580.2-2018 (п. 13.3 Положения № 851-П). Шкала включает шесть уровней – от нулевого до пятого. Четвёртый уровень требует, чтобы меры защиты были не только внедрены технически, но и закреплены организационно, контролировались и поддерживались – формальное «бумажное» соответствие такой оценки не даёт.
Для кредитных организаций – не реже одного раза в два года (п. 13.4 Положения № 851-П). Отчёт проверяющей организации хранится не менее пяти лет. На практике к очередной оценке готовятся заранее: за два года инфраструктура и требования успевают измениться, и прошлый результат не гарантирует нового.
Для кредитных организаций – нет. Оценку проводит проверяющая организация с лицензией ФСТЭК России на техническую защиту конфиденциальной информации (п. 13.2 и 4.2 Положения № 851-П). Лицензия нужна на виды работ по пп. «б», «д» или «е» п. 4 положения о лицензировании ТЗКИ (ПП № 79). Внутренними силами имеет смысл делать предварительный gap-анализ, чтобы выйти на официальную оценку подготовленным.
Организация хранит отчёт с фактическим уровнем и предъявляет его Банку России при надзоре. Несоответствие требованиям – основание для надзорных мер регулятора, поэтому низкий результат превращается в план устранения с жёсткими сроками. Дешевле выявить разрывы заранее предварительным аудитом: он проводится по тем же требованиям стандарта, но его результат остаётся внутренним документом организации.
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года