Пройдите обязательный аудит по ГОСТ 57580, чтобы исключить риск штрафов и угроз безопасности

  • 100% соответствие требованиям Банка России
  • Фиксация всех уязвимостей с рекомендациями по устранению
  • Подготовка отчётности для регуляторов «под ключ»
Записаться на консультациюКак проходит аудит
30+ летна рынке ИБ, с 1993 года
ФСТЭК + ФСБлицензии на деятельность по защите информации
ТОП-100ИБ-компаний РФ по версии TAdviser
0.92уровень соответствия клиента после нашего аудита

Аудиторы «КРЕДО-С» обладают необходимым уровнем компетенций, подтвержденным прохождением обучения по ГОСТ 57580

Помогаем банкам, МФО и страховым компаниям:

Избежать штрафов за несоответствие ГОСТ 57580 и Положений Банка России

Подготовиться к проверкам регуляторов (ЦБ, ФСТЭК, ФСБ)

Снизить риски кибератак на платежные системы и клиентские данные

Сэкономить до 40% бюджета за счет оптимизации мер защиты

Кому подходит наша услуга?

С 2025 года Банк России ужесточил контроль за МФО (Положение № 851-П). Несоответствие может привести к штрафам в размере до 1 миллиона рублей или приостановлению деятельности.

Банки и кредитные организации
Микрофинансовые организации (МФО, МКК)
Платежные системы и страховые компании
Консультация

Как мы нашли критичные уязвимости в банке NDA

Парольная политика

30% сотрудников использовали простые пароли (не соответствуют ГОСТ)

Сетевые настройки

Открытые порты для внешних атак

Журналы событий

Не велся мониторинг подозрительных входов

Результат

После нашего аудита клиент повысил уровень защищенности до 0.92 и успешно прошёл проверку ЦБ

Как проходит аудит?

Подготовка
  • Анализ документов и инфраструктуры
  • Определение зон проверки
Проверка
  • Тестирование мер защиты (пароли, сети, журналы событий)
  • Аудит настроек Active Directory, СУБД, политик безопасности
Отчётность
  • Расчёт уровня соответствия (например, 0.86 из 1.0)
  • Рекомендации по устранению нарушений
Поддержка
  • Помощь в доработке документов для ЦБ

Почему стоит доверить проект «КРЕДО-С»

ТОП-100

Входим в ТОП-100 компаний на рынке информационной безопасности по версии Tadviser

Гарантируем результат

Подходим к задаче комплексно, помогаем выбрать лучшее решение, доводим проект до конца и остаемся на связи даже после его завершения

Готовим экспертов для вас

Больше 50 экспертов ежегодно проходят обучения и повышают компетенции, чтобы предлагать вам актуальные решения в сфере информационной безопасности

«ГОСТ 57580 — это 400+ мер, и регулятор смотрит не на «есть ли документ», а на уровень реализации каждой: внедрена, формализована, контролируется. Разница между 0.68 и 0.72 — это пройденная или проваленная проверка ЦБ. Наш аудит даёт честную цифру и план, как добрать недостающие сотые.»

Демьянов Олег Валерьевич Демьянов Олег ВалерьевичРуководитель отдела информационной безопасности

Теоретическая база знаний

Банк России последовательно ужесточает требования к защищённости финансовых организаций. Положение № 683-П для кредитных организаций и № 757-П для некредитных финансовых организаций устанавливают обязательность проведения оценки соответствия по ГОСТ Р 57580.1 с определённой периодичностью. Для системно значимых банков это ежегодная процедура, для остальных участников рынка – раз в два года.

Организации, впервые проходящие эту процедуру, нередко недооценивают её техническую глубину. Аудит по ГОСТ 57580 – это структурированная проверка реализации более 400 мер защиты, разделённых на процессы и направления, с последующим расчётом итогового уровня соответствия (от 0 до 4).

Требования ГОСТ 57580: три уровня защиты

Состав обязательных мер по ГОСТ Р 57580.1-2017 зависит от уровня защиты информации, который организация определяет ежегодно по типу деятельности и значимости операций. Стандарт выделяет три уровня:

МинимальныйОрганизации с низкой значимостью операций
СтандартныйБольшинство финансовых организаций
УсиленныйСистемно значимые организации и операторы платёжной инфраструктуры

Чем выше уровень, тем шире набор требований базового состава и тем строже порог при оценке соответствия. Применимый уровень определяет сама организация, но Банк России проверяет обоснованность выбора. «Кредо-С» помогает определить уровень, проводит оценку соответствия по ГОСТ Р 57580 и готовит организацию к проверке регулятора.

Процедура оценки финансовой безопасности по ГОСТ 57580.1

Стандарт ГОСТ Р 57580 структурирован по восьми направлениям защиты: управление доступом, защита от вредоносного кода, управление уязвимостями, защита информационной инфраструктуры, управление инцидентами, защита среды виртуализации, защита каналов передачи данных, управление обновлениями. Для каждого направления определены конкретные меры, а ГОСТ 57580.1 задаёт методологию оценки их реализации.

Оценка проводится по четырём уровням реализации каждой меры:

УровеньОписаниеЗначение для расчёта
0Мера не реализована0
1Мера частично реализована0,25
2Мера реализована, но без формализации0,5
3Мера реализована и формализована в документах0,75
4Мера реализована, формализована и контролируется1,0

Итоговый результат по каждому процессу рассчитывается как средневзвешенное значение уровней реализации входящих в него мер. Соответствие ГОСТ 57580.1 считается достигнутым при итоговом показателе не ниже 0,7 (для организаций первого уровня защиты – 0,85).

Аудит банковской безопасности и комплаенс-контроль

Аудит банковской безопасности по методологии ГОСТ 57580 состоит из нескольких последовательных фаз, каждая из которых требует участия как технических специалистов оцениваемой организации, так и аудиторов.

  • Фаза 1: сбор свидетельств. Аудиторы запрашивают организационно-распорядительную документацию.
  • Фаза 2: техническое тестирование. Проверка фактической реализации мер: анализ настроек межсетевых экранов, проверка парольных политик в AD, тестирование процедур резервного копирования, проверка сегментации сети между процессинговыми системами и общей инфраструктурой.
  • Фаза 3: интервьюирование. Цель – верификация того, что задокументированные процессы реально выполняются персоналом.

Комплаенс ИБ в финансовых организациях предполагает одновременное соответствие нескольким нормативным документам: помимо ГОСТ 57580, это требования Положений ЦБ РФ 683-П (кредитные организации), 757-П (некредитные финансовые организации), 821-П, а также 152-ФЗ в части защиты персональных данных клиентов. Экспертная оценка при подготовке к проверке должна учитывать пересечение этих требований, чтобы не дублировать внедрение мер.

Проверка криптографической защиты данных

Криптографическая защита – отдельный блок, регулируемый одновременно требованиями ГОСТ Р 57580 и приказами ФСБ. Лицензия ФСБ на криптографию необходима организациям, которые оказывают услуги с использованием СКЗИ (средств криптографической защиты информации) третьим лицам или эксплуатируют СКЗИ в составе информационных систем, обрабатывающих сведения, составляющие государственную тайну.

Типичная уязвимость, выявляемая при аудите: использование несертифицированных алгоритмов шифрования в каналах между филиалами или с платёжными системами.

Безопасность финансовых организаций в части криптографии контролируется ФСБ через систему лицензирования и сертификации. Применение несертифицированных СКЗИ в регулируемых системах является грубым нарушением.

Подготовка к аттестации и проверка защищённости ЦБ РФ

Проверки со стороны ЦБ РФ в части информационной безопасности проводятся Службой текущего банковского надзора и Службой по защите прав потребителей. В ходе проверки регулятор запрашивает акты оценки по ГОСТ 57580, отчёты об инцидентах ИБ, направленных в FinCERT, документацию по организации процессов ИБ.

Подготовка к проверке требований ЦБ РФ включает предварительный внутренний аудит с моделированием действий проверяющих. Это позволяет выявить несоответствия до визита регулятора и устранить их.

Аудит систем безопасности перед проверкой ЦБ должен охватывать не только техническую инфраструктуру, но и процессы: фактическое соблюдение процедур управления доступом, реальное функционирование процесса управления уязвимостями, наличие и актуальность инцидентных записей.

Оформление акта оценки и аттестация систем

По завершении аудита формируется акт оценки соответствия – документ, содержащий итоговый показатель по каждому процессу, перечень выявленных несоответствий и рекомендации по их устранению.

Аттестация информационных систем финансовых организаций – процедура, формально отличная от оценки по ГОСТ 57580, но тесно с ней связанная. Аттестация проводится по требованиям ФСТЭК в соответствии с приказом № 117 (для государственных ИС) или приказом № 21 (для ИСПДн). Для коммерческих банков аттестация становится обязательной при обработке сведений ограниченного доступа или при включении системы в реестр объектов КИИ.

Последовательность подготовки к аттестации:

  • Классификация информационной системы и определение уровня защищённости
  • Разработка или актуализация модели угроз
  • Проектирование системы защиты с выбором сертифицированных СЗИ из реестра СЗИ ФСТЭК
  • Внедрение технических и организационных мер защиты
  • Предаттестационные испытания
  • Аттестационные испытания и оформление аттестата соответствия

Аттестат соответствия действует три года.

Кредо-С проводит аудит соответствия требованиям ГОСТ Р 57580 и готовит финансовые организации к проверкам со стороны ЦБ РФ. Компания располагает лицензиями ФСТЭК и ФСБ, необходимыми для проведения работ в регулируемых секторах. Опыт охватывает банки, страховые компании, профессиональных участников рынка ценных бумаг.

Гарантируйте легитимность работы на финансовом рынке, опираясь на наш глубокий опыт внедрения ИБ-стандартов в банковской системе.

Часто задаваемые вопросы

Чем оценка соответствия по ГОСТ Р 57580.1 принципиально отличается от обычного ИБ-аудита?
Обычный ИБ-аудит, как правило, фиксирует технические уязвимости в произвольном формате. Оценка по ГОСТ Р 57580.1 — это строго стандартизированная процедура, предусматривающая проверку более 400 конкретных мер защиты, сгруппированных по восьми направлениям (управление доступом, защита от вредоносного кода, управление уязвимостями и др.). Каждая мера оценивается по пятиуровневой шкале (0–4), а итоговый показатель рассчитывается как средневзвешенное значение. Результат — числовой уровень соответствия, который организация обязана предъявить регулятору. Субъективные выводы аудитора здесь не играют роли: итог должен быть воспроизводимым и верифицируемым.
Каков минимальный уровень соответствия, при котором организация не получит предписания от Банка России?
Порог зависит от категории организации. Для кредитных организаций первого уровня защиты (системно значимые банки) минимально допустимый итоговый показатель составляет 0,85 из 1,0. Для остальных финансовых организаций — 0,7. Показатель ниже порогового означает формальное несоответствие требованиям Положений ЦБ РФ № 683-П и № 757-П, что может повлечь предписание об устранении нарушений, штраф или, в случае МФО (Положение № 851-П), приостановление деятельности.
Можно ли пройти оценку по ГОСТ 57580 силами собственного ИБ-подразделения, или обязательно привлечение внешнего аудитора?
Банк России требует проведения оценки соответствия сторонней организацией, имеющей соответствующие лицензии ФСТЭК и ФСБ. Внутренний аудит возможен как подготовительный инструмент (предаудит), но его результаты не принимаются регулятором в качестве официальной отчётности. Это принципиальное отличие от многих западных стандартов, где самооценка допускается на определённых уровнях зрелости. Привлечение лицензированного внешнего аудитора — обязательное условие для получения акта оценки соответствия, который предъявляется при проверке ЦБ.
Какие технические объекты проверяются в первую очередь и где чаще всего выявляются критичные несоответствия?
На практике наибольшее количество нарушений концентрируется в трёх зонах. Первая — управление доступом: слабые парольные политики в Active Directory, избыточные привилегии учётных записей, отсутствие многофакторной аутентификации для привилегированных пользователей. Вторая — сетевая сегментация: открытые порты между процессинговой инфраструктурой и общей корпоративной сетью, отсутствие контроля трафика на уровне межсетевых экранов. Третья — мониторинг и реагирование: журналы событий либо не ведутся, либо не анализируются, отсутствует процесс регистрации и расследования инцидентов ИБ, который требуется для отчётности в FinCERT.
Как соотносятся аудит по ГОСТ 57580 и аттестация информационной системы — это одна процедура или разные?
Это две самостоятельные, но взаимосвязанные процедуры. Оценка по ГОСТ 57580.1 — требование Банка России для финансовых организаций, она подтверждает уровень реализации мер защиты в операционной деятельности. Аттестация информационной системы — требование ФСТЭК (Приказ № 117 (ГИС) или № 21 (ИСПДн)), она подтверждает соответствие системы защиты информации установленным требованиям и обязательна при обработке сведений ограниченного доступа или при включении системы в реестр объектов КИИ. Аттестат соответствия действует три года. На практике подготовка к одной процедуре существенно облегчает прохождение второй, поскольку обе требуют актуальной модели угроз, документированных политик безопасности и применения сертифицированных средств защиты информации.

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва