Дата публикации: 05.07.2026

ГОСТ Р 57580 – главный стандарт защиты информации для финансовых организаций России. Для банков выполнение его требований и регулярная оценка соответствия – не добровольная практика, а обязанность, установленная нормативными актами Банка России. При этом провести оценку своими силами нельзя: регулятор требует привлекать стороннюю проверяющую организацию с лицензией ФСТЭК.

Разбираем, из чего состоит семейство ГОСТ Р 57580, кто и на каком основании обязан его выполнять, как считается уровень соответствия и как проходит оценка на практике.

Что такое ГОСТ Р 57580: два стандарта, а не один

Под «ГОСТ 57580» обычно имеют в виду семейство из двух связанных документов:

СтандартЧто содержитЗачем нужен
ГОСТ Р 57580.1-2017 (утверждён приказом Росстандарта от 08.08.2017 № 822-ст)Базовый состав организационных и технических мер защиты информации финансовых организацийОпределяет, ЧТО нужно внедрить: меры по восьми процессам защиты, от управления доступом до реагирования на инциденты
ГОСТ Р 57580.2-2018Методика оценки соответствияОпределяет, КАК проверить внедрённое: порядок оценки и шкалу итоговых уровней соответствия

Стандарт задаёт три уровня защиты информации (п. 6.7 ГОСТ Р 57580.1): уровень 3 – минимальный, уровень 2 – стандартный, уровень 1 – усиленный. Какой уровень обязан обеспечивать конкретный участник рынка, определяет не сам стандарт, а нормативные акты Банка России.

Кому ГОСТ 57580 обязателен

Сам по себе национальный стандарт добровольный. Обязательным его делают положения Банка России, которые прямо ссылаются на ГОСТ Р 57580.1 и 57580.2:

  • Кредитные организации и филиалы иностранных банков – Положение Банка России от 30.01.2025 № 851-П. Важная деталь: 851-П пришло на смену известному 683-П, которое признано утратившим силу (п. 16 Положения № 851-П). Если ваши внутренние документы всё ещё ссылаются на 683-П – они устарели.
  • Некредитные финансовые организации (страховые, брокеры, НПФ, МФО и другие) – Положение Банка России № 757-П со своей шкалой требований по категориям организаций.
  • Участники платёжных систем и операторы услуг платёжной инфраструктуры – профильные акты Банка России о защите информации в национальной платёжной системе.

Если организация совмещает виды деятельности (например, банк выступает и оператором услуг платёжной инфраструктуры) и формирует один контур безопасности, применяется наиболее высокий из требуемых уровней защиты (п. 3.1 Положения № 851-П).

Уровень соответствия: какая оценка считается проходной

Оценка по методике ГОСТ Р 57580.2-2018 завершается присвоением уровня соответствия по шкале из шести уровней – от нулевого до пятого (п. 6.9 стандарта). Для кредитных организаций Банк России установил жёсткую планку:

  • кредитные организации должны обеспечивать уровень соответствия не ниже четвёртого (п. 13.3 Положения № 851-П);
  • оценка проводится не реже одного раза в два года (п. 13.4 Положения № 851-П);
  • отчёт об оценке хранится не менее пяти лет и должен быть готов к предъявлению регулятору (п. 13.2).

Четвёртый уровень – это высокая планка: он означает, что меры не просто формально внедрены, а организационно закреплены, контролируются и совершенствуются. На практике организации, которые готовились «по документам» без реального внедрения технических мер, при первой независимой оценке получают второй-третий уровень и план устранения на месяцы вперёд.

Кто вправе проводить оценку

Ключевое требование, которое отличает ГОСТ 57580 от многих других проверок: самооценка для кредитных организаций не допускается. Оценку соответствия проводит только проверяющая организация (п. 13.2 Положения № 851-П) – сторонняя компания с лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации с нужными видами работ (п. 4.2 Положения № 851-П).

Это значит, что вопрос «делать ли оценку» для банка не стоит – стоит вопрос, кого привлечь и как подготовиться, чтобы не получить уровень ниже проходного.

Как проходит оценка соответствия на практике

  1. Определение области оценки. Контуры безопасности, объекты информационной инфраструктуры, применимый уровень защиты по п. 6.7 ГОСТ Р 57580.1.
  2. Анализ документов. Политики, регламенты, приказы: организационные меры должны быть закреплены документально, устные договорённости методикой не засчитываются.
  3. Проверка технической реализации. Как меры работают фактически: настройки СЗИ, журналы, права доступа, сегментация сети. Слабые места здесь заранее выявляет анализ защищённости.
  4. Расчёт оценок по методике ГОСТ Р 57580.2. По каждому процессу защиты и направлению выводятся числовые оценки, из них – итоговый уровень соответствия.
  5. Отчёт и план устранения. Проверяющая организация выдаёт отчёт (он и хранится пять лет), а организация получает конкретный список несоответствий с приоритетами.

Типовая длительность – от нескольких недель до двух-трёх месяцев в зависимости от масштаба инфраструктуры и числа контуров. Самая частая ошибка при подготовке – заниматься только документами: методика 57580.2 оценивает и организационную, и техническую сторону каждой меры.

Что выгоднее: разовая оценка или подготовка плюс оценка

Если организация проходит оценку впервые, разумная последовательность – сначала предварительный аудит (gap-анализ) по тем же требованиям, устранение критичных разрывов и только затем официальная оценка. Это дешевле, чем получить низкий уровень в официальном отчёте, который увидит регулятор, и проходить всё заново.

Кредо-С проводит аудит и оценку соответствия по ГОСТ Р 57580: gap-анализ перед официальной оценкой, саму оценку по методике 57580.2 и план устранения несоответствий. Лицензия ФСТЭК России на ТЗКИ, работаем с банками и некредитными финансовыми организациями. Оставьте заявку – оценим область работ и сроки по вашему контуру.

Частые вопросы

ГОСТ 57580 обязателен или добровольный?

Сам стандарт – добровольный, как любой национальный стандарт. Обязательным его делают нормативные акты Банка России: для кредитных организаций – Положение № 851-П, для некредитных финансовых организаций – Положение № 757-П. Они прямо требуют реализовать уровни защиты по ГОСТ Р 57580.1 и проходить оценку по ГОСТ Р 57580.2, поэтому для поднадзорных ЦБ организаций выбор фактически отсутствует.

Чем 851-П отличается от 683-П?

Положение № 851-П от 30.01.2025 заменило 683-П: старое положение признано утратившим силу (п. 16 Положения № 851-П). Требования к банкам при этом стали строже и детальнее, отдельные нормы вводятся поэтапно – часть положений действует с 1 октября 2025 года, часть вступает в силу с 1 января 2027 года. Внутренние документы, написанные под 683-П, нужно актуализировать.

Какой уровень соответствия нужен банку?

Не ниже четвёртого по шкале ГОСТ Р 57580.2-2018 (п. 13.3 Положения № 851-П). Шкала включает шесть уровней – от нулевого до пятого. Четвёртый уровень требует, чтобы меры защиты были не только внедрены технически, но и закреплены организационно, контролировались и поддерживались – формальное «бумажное» соответствие такой оценки не даёт.

Как часто проходить оценку соответствия?

Для кредитных организаций – не реже одного раза в два года (п. 13.4 Положения № 851-П). Отчёт проверяющей организации хранится не менее пяти лет. На практике к очередной оценке готовятся заранее: за два года инфраструктура и требования успевают измениться, и прошлый результат не гарантирует нового.

Можно ли провести оценку своими силами?

Для кредитных организаций – нет. Оценку проводит проверяющая организация с лицензией ФСТЭК России на техническую защиту конфиденциальной информации (п. 13.2 и 4.2 Положения № 851-П). Лицензия нужна на виды работ по пп. «б», «д» или «е» п. 4 положения о лицензировании ТЗКИ (ПП № 79). Внутренними силами имеет смысл делать предварительный gap-анализ, чтобы выйти на официальную оценку подготовленным.

Что будет при уровне соответствия ниже требуемого?

Организация хранит отчёт с фактическим уровнем и предъявляет его Банку России при надзоре. Несоответствие требованиям – основание для надзорных мер регулятора, поэтому низкий результат превращается в план устранения с жёсткими сроками. Дешевле выявить разрывы заранее предварительным аудитом: он проводится по тем же требованиям стандарта, но его результат остаётся внутренним документом организации.

Часто задаваемые вопросы

ГОСТ 57580 обязателен или добровольный?
Сам стандарт – добровольный, как любой национальный стандарт. Обязательным его делают нормативные акты Банка России: для кредитных организаций – Положение № 851-П, для некредитных финансовых организаций – Положение № 757-П. Они прямо требуют реализовать уровни защиты по ГОСТ Р 57580.1 и проходить оценку по ГОСТ Р 57580.2, поэтому для поднадзорных ЦБ организаций выбор фактически отсутствует.
Чем 851-П отличается от 683-П?
Положение № 851-П от 30.01.2025 заменило 683-П: старое положение признано утратившим силу (п. 16 Положения № 851-П). Требования к банкам при этом стали строже и детальнее, отдельные нормы вводятся поэтапно – часть положений действует с 1 октября 2025 года, часть вступает в силу с 1 января 2027 года. Внутренние документы, написанные под 683-П, нужно актуализировать.
Какой уровень соответствия нужен банку?
Не ниже четвёртого по шкале ГОСТ Р 57580.2-2018 (п. 13.3 Положения № 851-П). Шкала включает шесть уровней – от нулевого до пятого. Четвёртый уровень требует, чтобы меры защиты были не только внедрены технически, но и закреплены организационно, контролировались и поддерживались – формальное «бумажное» соответствие такой оценки не даёт.
Как часто проходить оценку соответствия?
Для кредитных организаций – не реже одного раза в два года (п. 13.4 Положения № 851-П). Отчёт проверяющей организации хранится не менее пяти лет. На практике к очередной оценке готовятся заранее: за два года инфраструктура и требования успевают измениться, и прошлый результат не гарантирует нового.
Можно ли провести оценку своими силами?
Для кредитных организаций – нет. Оценку проводит проверяющая организация с лицензией ФСТЭК России на техническую защиту конфиденциальной информации (п. 13.2 и 4.2 Положения № 851-П). Лицензия нужна на виды работ по пп. «б», «д» или «е» п. 4 положения о лицензировании ТЗКИ (ПП № 79). Внутренними силами имеет смысл делать предварительный gap-анализ, чтобы выйти на официальную оценку подготовленным.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных