Помогаем банкам, МФО и страховым компаниям:

Избежать штрафов за несоответствие ГОСТ 57580 и Положений Банка России

Подготовиться к проверкам регуляторов (ЦБ, ФСТЭК, ФСБ)

Снизить риски кибератак на платежные системы и клиентские данные

Сэкономить до 40% бюджета за счет оптимизации мер защиты
С 2025 года Банк России ужесточил контроль за МФО (Положение № 851-П). Несоответствие может привести к штрафам в размере до 1 миллиона рублей или приостановлению деятельности.

30% сотрудников использовали простые пароли (не соответствуют ГОСТ)

Открытые порты для внешних атак

Не велся мониторинг подозрительных входов

После нашего аудита клиент повысил уровень защищенности до 0.92 и успешно прошёл проверку ЦБ

Входим в ТОП-100 компаний на рынке информационной безопасности по версии Tadviser

Подходим к задаче комплексно, помогаем выбрать лучшее решение, доводим проект до конца и остаемся на связи даже после его завершения

Больше 50 экспертов ежегодно проходят обучения и повышают компетенции, чтобы предлагать вам актуальные решения в сфере информационной безопасности
«ГОСТ 57580 — это 400+ мер, и регулятор смотрит не на «есть ли документ», а на уровень реализации каждой: внедрена, формализована, контролируется. Разница между 0.68 и 0.72 — это пройденная или проваленная проверка ЦБ. Наш аудит даёт честную цифру и план, как добрать недостающие сотые.»
Банк России последовательно ужесточает требования к защищённости финансовых организаций. Положение № 683-П для кредитных организаций и № 757-П для некредитных финансовых организаций устанавливают обязательность проведения оценки соответствия по ГОСТ Р 57580.1 с определённой периодичностью. Для системно значимых банков это ежегодная процедура, для остальных участников рынка – раз в два года.
Организации, впервые проходящие эту процедуру, нередко недооценивают её техническую глубину. Аудит по ГОСТ 57580 – это структурированная проверка реализации более 400 мер защиты, разделённых на процессы и направления, с последующим расчётом итогового уровня соответствия (от 0 до 4).
Состав обязательных мер по ГОСТ Р 57580.1-2017 зависит от уровня защиты информации, который организация определяет ежегодно по типу деятельности и значимости операций. Стандарт выделяет три уровня:
Чем выше уровень, тем шире набор требований базового состава и тем строже порог при оценке соответствия. Применимый уровень определяет сама организация, но Банк России проверяет обоснованность выбора. «Кредо-С» помогает определить уровень, проводит оценку соответствия по ГОСТ Р 57580 и готовит организацию к проверке регулятора.
Стандарт ГОСТ Р 57580 структурирован по восьми направлениям защиты: управление доступом, защита от вредоносного кода, управление уязвимостями, защита информационной инфраструктуры, управление инцидентами, защита среды виртуализации, защита каналов передачи данных, управление обновлениями. Для каждого направления определены конкретные меры, а ГОСТ 57580.1 задаёт методологию оценки их реализации.
Оценка проводится по четырём уровням реализации каждой меры:
| Уровень | Описание | Значение для расчёта |
|---|---|---|
| 0 | Мера не реализована | 0 |
| 1 | Мера частично реализована | 0,25 |
| 2 | Мера реализована, но без формализации | 0,5 |
| 3 | Мера реализована и формализована в документах | 0,75 |
| 4 | Мера реализована, формализована и контролируется | 1,0 |
Итоговый результат по каждому процессу рассчитывается как средневзвешенное значение уровней реализации входящих в него мер. Соответствие ГОСТ 57580.1 считается достигнутым при итоговом показателе не ниже 0,7 (для организаций первого уровня защиты – 0,85).
Аудит банковской безопасности по методологии ГОСТ 57580 состоит из нескольких последовательных фаз, каждая из которых требует участия как технических специалистов оцениваемой организации, так и аудиторов.
Комплаенс ИБ в финансовых организациях предполагает одновременное соответствие нескольким нормативным документам: помимо ГОСТ 57580, это требования Положений ЦБ РФ 683-П (кредитные организации), 757-П (некредитные финансовые организации), 821-П, а также 152-ФЗ в части защиты персональных данных клиентов. Экспертная оценка при подготовке к проверке должна учитывать пересечение этих требований, чтобы не дублировать внедрение мер.
Криптографическая защита – отдельный блок, регулируемый одновременно требованиями ГОСТ Р 57580 и приказами ФСБ. Лицензия ФСБ на криптографию необходима организациям, которые оказывают услуги с использованием СКЗИ (средств криптографической защиты информации) третьим лицам или эксплуатируют СКЗИ в составе информационных систем, обрабатывающих сведения, составляющие государственную тайну.
Типичная уязвимость, выявляемая при аудите: использование несертифицированных алгоритмов шифрования в каналах между филиалами или с платёжными системами.
Безопасность финансовых организаций в части криптографии контролируется ФСБ через систему лицензирования и сертификации. Применение несертифицированных СКЗИ в регулируемых системах является грубым нарушением.
Проверки со стороны ЦБ РФ в части информационной безопасности проводятся Службой текущего банковского надзора и Службой по защите прав потребителей. В ходе проверки регулятор запрашивает акты оценки по ГОСТ 57580, отчёты об инцидентах ИБ, направленных в FinCERT, документацию по организации процессов ИБ.
Подготовка к проверке требований ЦБ РФ включает предварительный внутренний аудит с моделированием действий проверяющих. Это позволяет выявить несоответствия до визита регулятора и устранить их.
Аудит систем безопасности перед проверкой ЦБ должен охватывать не только техническую инфраструктуру, но и процессы: фактическое соблюдение процедур управления доступом, реальное функционирование процесса управления уязвимостями, наличие и актуальность инцидентных записей.
По завершении аудита формируется акт оценки соответствия – документ, содержащий итоговый показатель по каждому процессу, перечень выявленных несоответствий и рекомендации по их устранению.
Аттестация информационных систем финансовых организаций – процедура, формально отличная от оценки по ГОСТ 57580, но тесно с ней связанная. Аттестация проводится по требованиям ФСТЭК в соответствии с приказом № 117 (для государственных ИС) или приказом № 21 (для ИСПДн). Для коммерческих банков аттестация становится обязательной при обработке сведений ограниченного доступа или при включении системы в реестр объектов КИИ.
Последовательность подготовки к аттестации:
Аттестат соответствия действует три года.
Кредо-С проводит аудит соответствия требованиям ГОСТ Р 57580 и готовит финансовые организации к проверкам со стороны ЦБ РФ. Компания располагает лицензиями ФСТЭК и ФСБ, необходимыми для проведения работ в регулируемых секторах. Опыт охватывает банки, страховые компании, профессиональных участников рынка ценных бумаг.
Гарантируйте легитимность работы на финансовом рынке, опираясь на наш глубокий опыт внедрения ИБ-стандартов в банковской системе.
Отправить заявку на сотрудничество
Я соглашаюсь на обработку персональных данных
Хочу получать новости и полезные материалы на email — необязательно
ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года