Компания «Информзащита»
Ведущий системный интегратор
в области информационной безопасности
+7 (495) 980-23-45
Подать заявку
О компании
  • Группа компаний
  • История компании
  • Лицензии и сертификаты
  • Партнеры
  • Реквизиты
Услуги
  • Защита инфраструктуры
    • Подключение к платформе Цифрового рубля
    • Анализ и управление конфигурациями сетевых устройств
    • Безопасность баз данных и приложений
    • Безопасность беспроводных сетей
    • Безопасность мобильных устройств
    • Защита WEB приложений
    • Защита каналов связи
    • Защита от APT и 0-day атак
    • Защита сетевой инфраструктуры
    • Защищенное подключение к Интернет
    • Контроль действий пользователей и администраторов
    • Контроль доступа к сети
    • Мониторинг событий и управление инцидентами (SIEM)
    • Нагрузочное тестирование
  • Проектирование и внедрение
    • Заказная разработка программного обеспечения
    • Информационная безопасность для ЦОД
    • Инфраструктура открытых ключей (PKI)
  • Аудит ИБ и безопасность бизнес-процессов
    • Аудит защищенности информационной инфраструктуры
    • Комплексное обследование ИБ и разработка программы развития ИБ
    • Обеспечение непрерывности бизнеса
    • Повышение осведомленности по вопросам ИБ (Security Awareness)
    • Разработка нормативной документации
    • Управление рисками ИБ
  • Управление безопасностью
    • Внедрение системы управления информационной безопасностью (ISO 27001)
    • Защита от утечек и контроль действий пользователей (DLP)
    • Управление уязвимостями
  • Защита информации
    • Контроль доступа к неструктурированным данным (DAG)
  • Анализ защищенности
    • Безопасная разработка: анализ кода
    • Киберучения (Adversary Emulation)
    • Непрерывный мониторинг (Continuous Monitoring)
    • Расследование инцидентов ИБ и компьютерная экспертиза (Форензика)
    • Тестирование на проникновение
    • Тестирование на проникновение в режиме Red Team (Red Team Assessment)
  • Соответствие требованиям
    • PCI ASV-сканирование
    • Аудит SWIFT CSP (CSCF)
    • Аудит по Положениям ЦБ № 851-П, 757-П, 821-П, 802-П
    • Безопасность ГИС
    • Защита информации, составляющей коммерческую тайну
    • Защита КИИ (187-ФЗ)
    • Оценка / Аудит ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022
    • Оценка ГОСТ Р 57580.1-2017 / Аудит ГОСТ Р 57580.1-2017
    • Оценка ОУД4
    • Подключение к ГосСОПКА
    • Сертификация PCI DSS / Аудит PCI DSS
    • Сертификация PCI PIN Security / Аудит PCI PIN Security
    • Сертификация PCI SSF (замена PA-DSS)
    • Соответствие требованиям GDPR
    • Соответствие требованиям PCI 3DS
    • Соответствие ФЗ «О персональных данных» (152-ФЗ)
  • Промышленная безопасность
  • Защита от мошенничества
    • Противодействие мошенничеству (Anti-fraud)
  • Сопровождение и поддержка решений по ИБ
    • Услуги сервисного центра компании «Информзащита»
SOC
  • Разработка концепции SOC
  • Технические решения SOC заказчиков
    • Построение или модернизация SOC в инфраструктуре Заказчика
    • Внедрение системы мониторинга событий (SIEM)
    • Внедрение системы управления инцидентами (IRP/SOAR)
    • Внедрение системы учета угроз безопасности (TIP)
    • Внедрение системы симуляции кибератак (BAS)
    • Внедрение системы расширенного обнаружения и реагирования (EDR)
  • Разработка ИТ-инфраструктуры SOC
    • Мониторинг и анализ событий ИБ (SIEM)
    • Incident Response Platform (IRP)
  • Создание и реинжиниринг процессов
  • Разработка сценариев и контента SOC
  • Киберучения - симуляция кибератак
  • Осуществление консультаций
Проекты
  • Государственные структуры
  • Нефтегазовая индустрия и энергетика
  • Промышленность и транспорт
  • Телекоммуникации
  • Торговля
  • Финансы и страхование
  • Прочие
В фокусе
  • Значимость стандартов серии 57580 в цифровой трансформации
  • Цифровой рубль: что нужно о нем знать?
  • Ответственность за нарушение требований по обработке ПДн
  • Как стандарт ISO 27001 помогает бизнесу?
  • Интеллект искусственный, а влияние настоящее: что кибербезу делать с ИИ?
  • Киберпреступники обходят многофакторную аутентификацию
  • Анонимность в сети — это утопия или антиутопия?
  • Как атакуют наши мобильные устройства?
  • Экспресс-аудит рисков использования иностранных продуктов
Пресс-центр
  • Новости
  • Публикации в СМИ
  • Мероприятия
  • Медиа-кит
Карьера
  • Вакансии
Контакты
ru
en
ru
  • Сервис IZ:SOC
  • Сервисный центр
  • Импортозамещение
  • Реестр сертификатов
  • ...
    +7 (495) 980-23-45
    ru
    en
    ru
    Компания «Информзащита»
    Ведущий системный интегратор
    в области информационной безопасности
    О компании
    • Группа компаний
    • История компании
    • Лицензии и сертификаты
    • Партнеры
    • Реквизиты
    Услуги
    • Защита инфраструктуры
    • Проектирование и внедрение
    • Аудит ИБ и безопасность бизнес-процессов
    • Управление безопасностью
    • Защита информации
    • Анализ защищенности
    • Соответствие требованиям
    • Промышленная безопасность
    • Защита от мошенничества
    • Сопровождение и поддержка решений по ИБ
    SOC
    • Разработка концепции SOC
    • Технические решения SOC заказчиков
      • Построение или модернизация SOC в инфраструктуре Заказчика
      • Внедрение системы мониторинга событий (SIEM)
      • Внедрение системы управления инцидентами (IRP/SOAR)
      • Внедрение системы учета угроз безопасности (TIP)
      • Внедрение системы симуляции кибератак (BAS)
      • Внедрение системы расширенного обнаружения и реагирования (EDR)
    • Разработка ИТ-инфраструктуры SOC
      • Мониторинг и анализ событий ИБ (SIEM)
      • Incident Response Platform (IRP)
    • Создание и реинжиниринг процессов
    • Разработка сценариев и контента SOC
    • Киберучения - симуляция кибератак
    • Осуществление консультаций
    Проекты
    • Государственные структуры
    • Нефтегазовая индустрия и энергетика
    • Промышленность и транспорт
    • Телекоммуникации
    • Торговля
    • Финансы и страхование
    • Прочие
    В фокусе
    Пресс-центр
    • Новости
    • Публикации в СМИ
    • Мероприятия
    • Медиа-кит
    Карьера
    • Вакансии
    Контакты
      Подать заявку
      Компания «Информзащита»
      Телефоны
      +7 (495) 980-23-45
      Заказать звонок
      Компания «Информзащита»
      • О компании
        • О компании
        • Группа компаний
        • История компании
        • Лицензии и сертификаты
        • Партнеры
        • Реквизиты
      • Услуги
        • Услуги
        • Защита инфраструктуры
          • Защита инфраструктуры
          • Подключение к платформе Цифрового рубля
          • Анализ и управление конфигурациями сетевых устройств
          • Безопасность баз данных и приложений
          • Безопасность беспроводных сетей
          • Безопасность мобильных устройств
          • Защита WEB приложений
          • Защита каналов связи
          • Защита от APT и 0-day атак
          • Защита сетевой инфраструктуры
          • Защищенное подключение к Интернет
          • Контроль действий пользователей и администраторов
          • Контроль доступа к сети
          • Мониторинг событий и управление инцидентами (SIEM)
          • Нагрузочное тестирование
        • Проектирование и внедрение
          • Проектирование и внедрение
          • Заказная разработка программного обеспечения
          • Информационная безопасность для ЦОД
          • Инфраструктура открытых ключей (PKI)
          • Мониторинг событий и управление инцидентами (SIEM)
        • Аудит ИБ и безопасность бизнес-процессов
          • Аудит ИБ и безопасность бизнес-процессов
          • Аудит защищенности информационной инфраструктуры
          • Комплексное обследование ИБ и разработка программы развития ИБ
          • Обеспечение непрерывности бизнеса
          • Повышение осведомленности по вопросам ИБ (Security Awareness)
          • Разработка нормативной документации
          • Управление рисками ИБ
        • Управление безопасностью
          • Управление безопасностью
          • Внедрение системы управления информационной безопасностью (ISO 27001)
          • Защита от утечек и контроль действий пользователей (DLP)
          • Контроль действий пользователей и администраторов
          • Управление уязвимостями
        • Защита информации
          • Защита информации
          • Защита от утечек и контроль действий пользователей (DLP)
          • Инфраструктура открытых ключей (PKI)
          • Контроль доступа к неструктурированным данным (DAG)
        • Анализ защищенности
          • Анализ защищенности
          • Безопасная разработка: анализ кода
          • Киберучения (Adversary Emulation)
          • Нагрузочное тестирование
          • Непрерывный мониторинг (Continuous Monitoring)
          • Расследование инцидентов ИБ и компьютерная экспертиза (Форензика)
          • Тестирование на проникновение
          • Тестирование на проникновение в режиме Red Team (Red Team Assessment)
        • Соответствие требованиям
          • Соответствие требованиям
          • PCI ASV-сканирование
          • Аудит SWIFT CSP (CSCF)
          • Аудит по Положениям ЦБ № 851-П, 757-П, 821-П, 802-П
          • Безопасность ГИС
          • Внедрение системы управления информационной безопасностью (ISO 27001)
          • Защита информации, составляющей коммерческую тайну
          • Защита КИИ (187-ФЗ)
          • Оценка / Аудит ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022
          • Оценка ГОСТ Р 57580.1-2017 / Аудит ГОСТ Р 57580.1-2017
          • Оценка ОУД4
          • Подключение к ГосСОПКА
          • Сертификация PCI DSS / Аудит PCI DSS
          • Сертификация PCI PIN Security / Аудит PCI PIN Security
          • Сертификация PCI SSF (замена PA-DSS)
          • Соответствие требованиям GDPR
          • Соответствие требованиям PCI 3DS
          • Соответствие ФЗ «О персональных данных» (152-ФЗ)
        • Промышленная безопасность
          • Промышленная безопасность
          • Защита КИИ (187-ФЗ)
          • Подключение к ГосСОПКА
          • Тестирование на проникновение
        • Защита от мошенничества
          • Защита от мошенничества
          • Противодействие мошенничеству (Anti-fraud)
        • Сопровождение и поддержка решений по ИБ
          • Сопровождение и поддержка решений по ИБ
          • Услуги сервисного центра компании «Информзащита»
      • SOC
        • SOC
        • Разработка концепции SOC
        • Технические решения SOC заказчиков
          • Технические решения SOC заказчиков
          • Построение или модернизация SOC в инфраструктуре Заказчика
          • Внедрение системы мониторинга событий (SIEM)
          • Внедрение системы управления инцидентами (IRP/SOAR)
          • Внедрение системы учета угроз безопасности (TIP)
          • Внедрение системы симуляции кибератак (BAS)
          • Внедрение системы расширенного обнаружения и реагирования (EDR)
        • Разработка ИТ-инфраструктуры SOC
          • Разработка ИТ-инфраструктуры SOC
          • Мониторинг и анализ событий ИБ (SIEM)
          • Incident Response Platform (IRP)
        • Создание и реинжиниринг процессов
        • Разработка сценариев и контента SOC
        • Киберучения - симуляция кибератак
        • Осуществление консультаций
      • Проекты
        • Проекты
        • Государственные структуры
        • Нефтегазовая индустрия и энергетика
        • Промышленность и транспорт
        • Телекоммуникации
        • Торговля
        • Финансы и страхование
        • Прочие
      • В фокусе
      • Пресс-центр
        • Пресс-центр
        • Новости
        • Публикации в СМИ
        • Мероприятия
        • Медиа-кит
      • Карьера
        • Карьера
        • Вакансии
      • Контакты
      Подать заявку
      • ru
        • Язык
        • ru
        • en
      • +7 (495) 980-23-45
        • Телефоны
        • +7 (495) 980-23-45
        • Заказать звонок
      • 125167 г. Москва, Театральная аллея, д. 3, стр. 1
      • market@infosec.ru
      • Пн. – Пт.: с 9:00 до 18:00
      Главная
      —
      В фокусе
      —Значимость стандартов серии 57580 в цифровой трансформации

      Значимость стандартов серии 57580 в цифровой трансформации

      Значимость стандартов серии 57580 в цифровой трансформации

      Финансовый сектор России активно переходит на цифровые технологии: растёт доля дистанционного обслуживания, появляются новые финтех-сервисы, шире используется облачная инфраструктура. Вместе с этим растут и риски в сфере информационной безопасности, что ставит перед организациями задачу обеспечения устойчивости и непрерывности бизнес-процессов.

      Для решения этих вызовов разработан комплекс национальных стандартов ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Он охватывает ключевые требования к защите информации, управлению рисками и операционной надёжности. Стандарт создает единую экосистему, где каждый элемент дополняет другой, обеспечивая последовательный подход от оценки рисков до внедрения мер защиты и поддержания непрерывности бизнеса (рис. 1).

      Рисунок 1. Комплекс национальных стандартов «Безопасность финансовых (банковских) операций»
      Рисунок 1. Комплекс национальных стандартов «Безопасность финансовых (банковских) операций»
      Рисунок 2. Сроки и уровни внедрения стандартов
      Рисунок 2. Сроки и уровни внедрения стандартов

      ГОСТ Р 57580.3–2022 «Управление риском реализации информационных угроз и обеспечение операционной надёжности. Общие положения» описывает систему управления рисками реализации информационных угроз (СУР РИУ), а ГОСТ Р 57580.4–2022 «Обеспечение операционной надёжности. Базовый состав организационных и технических мер» определяет системы организации, управления и обеспечения операционной надёжности, регламентируя практические аспекты, обеспечивающие устойчивость, надёжность и быстрое восстановление при сбоях или атаках. 

      Эти стандарты также способствуют внедрению действующих положений Банка России в области управления операционным риском и надёжностью (716-П, 779-П, 787-П и другие), обеспечивая практическую поддержку бизнес-процессов.

      Реализация информационных угроз в финансовом секторе является объективной реальностью. Организации должны своевременно выявлять угрозы, снижать их вероятность, минимизировать последствия и обеспечивать оперативное восстановление в соответствии с требованиями бизнеса и законодательства. Полностью исключить риск невозможно, однако его можно свести к приемлемому уровню. Для этого в стандартах предусмотрен риск-¬ориентированный подход к управлению ими.

      ГОСТ Р 57580.3–2022

      Является ключевой частью серии стандартов ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Стандарт охватывает управление рисками, рассматривая кибербезопасность как неотъемлемую составляющую операционной надёжности и устойчивости бизнеса, и устанавливает единые подходы к управлению рисками реализации информационных угроз. Его цель — организовать планирование, внедрение, контроль и совершенствование системы управления рисками, повысить устойчивость финансовых организаций к киберугрозам за счёт организационных и технических мер, а также стимулировать развитие процессов операционной надёжности и защиты информации.

      Стандарт предоставляет методический каркас для управления рисками, описывает назначение, структуру и принципы построения системы, а также её интеграцию с другими стандартами из комплекса ГОСТ Р 57580. Особое внимание уделено риск-ориентированному подходу к выбору мер управления информационными угрозами. В документе представлен перечень направлений, процессов и требований, необходимых для эффективного управления такими рисками.

      В восьмой главе стандарта сформулированы требования к СУР РИУ по четырём направлениям: планирование, реализация, контроль и совершенствование. По каждому направлению стандарт определяет рекомендуемые организационные (О), технические (Т) и необязательные (Н) меры. Приложения к стандарту (А–Г) содержат детализированную классификацию событий риска, а в приложениях Д–Е определены ключевые показатели управления рисками (КПУР), которые необходимо отслеживать, с указанием форматов для их представления.

      Исходная идея стандарта состоит в том, что полностью устранить ИБ-угрозы невозможно и любая организация должна быть готова постоянно противодействовать им. Главная задача — привести риск к уровню, приемлемому с точки зрения бизнес-стратегии и требований законодательства. Это предполагает регулярную оценку угроз, формирование политики управления рисками и использование компенсирующих мер, когда реализация «штатных» мер оказывается невозможной или слишком затратной.

      Стандарт подчёркивает, что СУР РИУ — неотъемлемая часть бизнес-стратегии. Управление рисками информационных угроз и обеспечение операционной надёжности выходит за рамки ответственности исключительно ИТ- или ИБ-подразделений. Важно участие руководства на самом высоком уровне, а также интеграция этой деятельности с общекорпоративной стратегией, целями и политикой управления рисками, которая должна четко определять приоритеты, уровень риск-аппетита к информационным угрозам (приемлемый уровень риска, учитывающий законодательные требования и цели компании), а также принципы распределения ответственности.

      ГОСТ Р 57580.4–2022

      «Обеспечение операционной надёжности. Базовый состав организационных и технических мер» представляет собой практический инструмент для формирования системного подхода к обеспечению операционной надёжности. Стандарт позволяет учитывать и выполнять как внутренние требования организации к уровню отказоустойчивости и надёжности, так и требования регулятора, с учётом уровня риска, масштаба и специфики её деятельности.

      Основная задача стандарта — определить ориентиры по мерам, которые необходимы для защиты критичных активов (IT-систем, сетевой инфраструктуры, операционных процессов) и обеспечения непрерывности ключевых операций. Под «критичной архитектурой» в данном контексте понимается совокупность бизнес-процессов и технологических компонентов (серверы, каналы связи, приложения, базы данных), без которых финансовая организация не может выполнять основные функции и обязательства перед клиентами и партнёрами.

      Стандарт определяет требования к системе обеспечения операционной надёжности, включающей восемь ключевых процессов:

      1. Идентификация критичной архитектуры.
      2. Управление изменениями.
      3. Выявление, регистрация, реагирование на инциденты и восстановление.
      4. Взаимодействие с поставщиками услуг.
      5. Тестирование операционной надёжности бизнес- и технологических процессов.
      6. Защита критичной архитектуры при дистанционной работе.
      7. Управление риском внутреннего нарушителя.
      8. Обеспечение осведомлённости об актуальных информационных угрозах.

      В центре внимания стандарта — система организации и управления операционной надёжностью, основанная на четырёх направлениях:

      • Планирование: постановка целей, определение области применения и выделение ресурсов для защиты и обеспечения доступности критичных активов, бизнес-процессов и услуг.
      • Реализация: внедрение организационных и технических мер, обучение персонала и согласование процессов между подразделениями.
      • Контроль: мониторинг соблюдения правил, проведение аудитов и стресс-тестов, оценка устойчивости к новым угрозам.
      • Совершенствование: анализ инцидентов, корректировка политик и усовершенствование технических решений.

      Как и в ГОСТ Р 57580.3, в данном Стандарте подчёркивается, что полностью исключить ИБ риски невозможно, однако их можно уменьшить до уровня, приемлемого для организации и соответствующего её риск-аппетиту. Для этого рекомендуется применять риск-ориентированный подход:

      1. Выявлять и классифицировать активы (включая IT-системы, процессы, персонал, инфраструктуру).
      2. Оценивать вероятность и последствия возможных угроз.
      3. Определять меры безопасности, приоритеты и ресурсы исходя из критичности активов и допустимого уровня риска.

      Сроки и уровни внедрения стандартов

      В марте 2024 года Банк России выпустил Методические рекомендации (7-МР) [1], в которых освещаются сроки внедрения новых стандартов и уровни защиты. В документе регулятор рекомендует уже сейчас приступить к разработке плана реализации стандартов, несмотря на то, что такие планы пока не являются обязательными. Они отражены в 7-МР, но еще не закреплены в законодательных актах Банка России.

      Тем не менее, предварительная подготовка позволит не только снизить риски, но и адаптироваться к новым требованиям, пока они не стали обязательными (рис. 2).

      ГОСТ Р 57580 может применяться не только финансовыми организациями, но и финтех-компаниями, ИТ-аутсорсерами, а также представителями других отраслей, где требуется системный подход к управлению рисками информационных угроз и обеспечению операционной надёжности. Стандарт предусматривает три уровня защиты, позволяя адаптировать требования под конкретные условия. Минимальный уровень подходит для организаций с некритичными операциями и ограниченным объёмом деятельности. Стандартный уровень предназначен для компаний среднего и крупного масштаба с повышенными требованиями к безопасности и обеспечению непрерывности. Усиленный уровень рассчитан на системно значимых участников, сбои в деятельности которых могут привести к масштабным последствиям.

      Таким образом, стандарты ГОСТ Р 57580 задают системный подход к управлению рисками информационной безопасности и операционной надёжности — как известно, банковская сфера является пионером в создании и совершенствовании систем информационной безопасности в стране и мире. Данный опыт формирования стандартов, безусловно, будет полезен и для построения регуляторики в области безопасности промышленных систем.

      [1] Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности» (утв. Банком России 21.03.2024 N 7-МР).

      Услуги
      Оценка / Аудит ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022

      Банк России в 7-МР определил рекомендуемые сроки внедрения стандартов ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, а также целевой уровень защиты. В установленные сроки организациям необходимо:

      • Провести оценку текущего уровня соответствия требованиям стандарта
      • Разработать план поэтапного внедрения
      • Обеспечить реализацию требований в соответствии с утверждённым планом и целевым уровнем защиты
      Свяжитесь с экспертами «Информзащиты».
      Наши специалисты ответят на любой интересующий вопрос по услуге.
      Задать вопрос
      Назад к списку
      • Значимость стандартов серии 57580 в цифровой трансформации
      • Цифровой рубль: что нужно о нем знать?
      • Ответственность за нарушение требований по обработке ПДн
      • Как стандарт ISO 27001 помогает бизнесу?
      • Интеллект искусственный, а влияние настоящее: что кибербезу делать с ИИ?
      • Киберпреступники обходят многофакторную аутентификацию
      • Анонимность в сети — это утопия или антиутопия?
      • Как атакуют наши мобильные устройства?
      • Экспресс-аудит рисков использования иностранных продуктов
      О компании
      Группа компаний
      История компании
      Лицензии и сертификаты
      Партнеры
      Реквизиты
      Услуги
      Защита инфраструктуры
      Проектирование и внедрение
      Аудит ИБ и безопасность бизнес-процессов
      Управление безопасностью
      Защита информации
      Анализ защищенности
      Соответствие требованиям
      Промышленная безопасность
      Защита от мошенничества
      Сопровождение и поддержка решений по ИБ
      SOC
      Разработка концепции SOC
      Технические решения SOC заказчиков
      Разработка ИТ-инфраструктуры SOC
      Создание и реинжиниринг процессов
      Разработка сценариев и контента SOC
      Киберучения - симуляция кибератак
      Осуществление консультаций
      Проекты
      Государственные структуры
      Нефтегазовая индустрия и энергетика
      Промышленность и транспорт
      Телекоммуникации
      Торговля
      Финансы и страхование
      Прочие
      В фокусе
      Пресс-центр
      Новости
      Публикации в СМИ
      Мероприятия
      Медиа-кит
      Карьера
      Вакансии
      +7 (495) 980-23-45
      market@infosec.ru
      125167 г. Москва, Театральная аллея, д. 3, стр. 1
      © 1995 - 2025 Компания «Информзащита»
      Политика конфиденциальности | Политика обработки файлов cookie