Оценка / Аудит ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022

Аудит соответствия ГОСТ Р 57580.3-2022 (риски ИБ) и 57580.4-2022 (опернадежность)

Финансовым организациям уже сегодня стоит приступить к внедрению ГОСТ Р 57580.3-2022, поскольку Банк России в 7-МР установил рекомендованные сроки внедрения стандартов:

Для банков c активами ≥ 500 млрд руб. – 31.12.2025
Остальные банки, НКО и НФО (часть) – 31.12.2026
Остальные финансовые организации – 31.12.2027

Рекомендованные Банком России уровни и сроки внедрения стандартов ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 согласно 7-МР, приведены в таблице.

Тип организации		Уровень и срок внедрения
Тип организации		ГОСТ Р 57580.3 (Риски)	ГОСТ Р 57580.4 (Надежность)
Банки	c активами ≥ 500 млрд руб.	до 31.12.25
	с универсальной лицензией и активами ≤ 500 млрд руб.	до 31.12.26	до 31.12.26
	с базовой лицензией и активами ≤ 500 млрд руб.	до 31.12.26
Небанковские кредитные организации (НКО)		до 31.12.26
Некредитные финансовые организации (НФО)	Центральные контрагенты; Центральный депозитарий; Регистраторы финансовых транзакций; и др. указанные в п.1.4.2 757-П.	Не применимо	до 31.12.26
	Специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; Клиринговые организации; Организаторы торговли; Страховые организации; НПФ; Репозитарии; Брокеры, дилеры, управляющие, депозитарии и регистраторы; Операторы инвестиционной платформы; Операторы финансовой платформы; Операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов; Операторы обмена цифровых финансовых активов; и др. указанные в п.1.4.3 757-П.		до 31.12.26
	Управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; Форекс-дилеры; Общества взаимного страхования; Страховые брокеры; Следующие организации не указанные в п.п. 1.4.3 757-П: специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; брокеры, дилеры, управляющие, депозитарии и регистраторы; операторы финансовой платформы; операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов; операторы обмена цифровых финансовых активов; страховые организации; и др. указанные в п.1.4.4 757-П.		до 31.12.27

Уровни защиты определенные в ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022:	Минимальный уровень (3)	Стандартный уровень (2)	Усиленный уровень (1)

В указанные сроки Банк России рекомендует организациям:

1. Разработать план внедрения стандартов ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

Для этого финансовым организациям в рекомендованные сроки необходимо успеть:

Провести аудит для определения разрыва (GAP) между текущим и целевым уровнем соответствия требованиям стандарта
Детально проработанные инициативы по устранению несоответствий требованиям
Провести оценку ресурсов и сроков, определить ответственных за реализацию

2. Внедрить недостающие требования стандартов

Для выполнения данной рекомендации 7-МР организациям потребуется:

Согласовать бюджет для реализации мер. В случае привлечения подрядчиков или закупки ПО и оборудования необходимо успеть провести тендерные процедуры, чтобы выполнить требования в рекомендованные Банком России сроки.
Реализовать организационные и технические меры, а также внедрить их в бизнес-деятельность

Мы предлагаем комплексный подход к анализу и приведению деятельности вашей организации в соответствие с требованиями стандартов ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022. Наш опыт и глубокое понимание нормативной базы, включая обязательные требования Банка России (716-П, 787-П, 779-П, ГОСТ Р 57580.1-2017 и другие), позволяют обеспечить надежное управление рисками, операционную устойчивость и защиту информации в финансовом секторе.

По результатам наших работ Вы получаете:

исчерпывающее представление о фактическом выполнении требований стандартов ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022 с учетом уже внедрённых вами действующих обязательных требований Банка России в области управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации финансовых организаций (716-П, 787-П, 779-П, ГОСТ Р 57580.1 и др.)
рекомендации по устранению или доработке выявленных несоответствий
план внедрения стандартов в соответствии с рекомендациями Банка России 7-МР

По вопросам стоимости и состава работ можете обращаться на почту audit@infosec.ru.

Варианты оказания услуг

В рамках нашего комплексного подхода к управлению рисками ИБ и обеспечению операционной надежности, мы предлагаем различные форматы взаимодействия — от консультирования до полного сопровождения реализации мероприятий, направленных на приведение деятельности вашей организации в соответствие с требованиями нормативных актов и стандартов: ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022, положений Банка России № 716-П, № 787-П и № 779-П. Ниже представлены возможные форматы реализации данных услуг в зависимости от уровня зрелости процессов, потребностей и приоритетов вашей организации.

		Услуга №1		Услуга №2		Услуга №3
Нормативные требования	Вид работ	Анализ по ГОСТ Р 57580.3-2022 (Риски ИБ)		Анализ по ГОСТ Р 57580.4-2022 (Опернадежность)		Анализ по ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 (Комплекс)
Нормативные требования	Вид работ	Вариант реализации 1	Вариант реализации 2	Вариант реализации 1	Вариант реализации 2	Вариант реализации 1	Вариант реализации 2
ГОСТ Р 57580.3-2022	Анализ	+	+			+	+
ГОСТ Р 57580.3-2022	Приведение в соответствие		+				+
716-П (риски ИС и ИБ)	Анализ	+	+			+	+
716-П (риски ИС и ИБ)	Приведение в соответствие		+				+
ГОСТ Р 57580.4-2022	Анализ			+	+	+	+
ГОСТ Р 57580.4-2022	Приведение в соответствие				+		+
787-П/779-П	Анализ			+	+	+	+
787-П/779-П	Приведение в соответствие				+		+

Варианты реализации услуги №1 по ГОСТ Р 57580.3-2022

Вариант реализации 1

Услуга предназначена для организаций, заинтересованных в анализе соответствия своей системы управления рисками информационных угроз (ИБ) требованиям ГОСТ Р 57580.3-2022 с учётом ранее реализованных мер по 716-П, и включает в себя два этапа:

Этап-1: Проведение анализа соответствия требованиям ГОСТ Р 57580.3-2022, 716-П (в части рисков ИС и ИБ), 7-МР
Этап-2: Разработка рекомендаций и плана внедрения стандарта ГОСТ Р 57580.3-2022

Результаты услуги

Проанализированы:

Существующее состояние системы управление риском реализации информационных угроз

Определены:

Целевой уровень реализации требований для процессов управление риском реализации информационных угроз (по требованиям Банка России)
Текущий уровень зрелости процессов управление риском реализации информационных угроз
Несоответствия требованиям ГОСТ Р 57580.3-2022, 716-П (в части рисков ИС и ИБ)

Разработаны:

Общие рекомендации по повышению уровня соответствия требованиям
План внедрения ГОСТ Р 57580.3-2022 (в соответствии с рекомендациями Банка России 7-МР)

Вариант реализации 2

Услуга предназначена для организаций, заинтересованных в анализе и повышении уровня соответствия своей системы управления рисками информационных угроз (ИБ) требованиям ГОСТ Р 57580.3-2022 с учётом ранее реализованных мер по 716-П, и включает в себя три этапа:

Этап-1: Проведение анализа соответствия требованиям ГОСТ Р 57580.3-2022, 716-П (в части рисков ИС и ИБ), 7-МР
Этап-2: Разработка рекомендаций и плана внедрения стандарта ГОСТ Р 57580.3-2022
Этап-3: Приведение в соответствие требованиям: определение и согласование технических и организационных мер, проработка инициатив по устранению несоответствий, определение сроков, ресурсов, ответственных, разработка дорожной карты, консалтинговые услуги по приведению в соответствие: реализация недостающих требований стандарта (опционально)

Результаты услуги

Проанализированы:

Существующее состояние системы управление риском реализации информационных угроз

Определены:

Целевой уровень реализации требований для процессов управление риском реализации информационных угроз (по требованиям Банка России)
Текущий уровень зрелости процессов управление риском реализации информационных угроз
Несоответствия требованиям ГОСТ Р 57580.3-2022, 716-П (в части рисков ИС и ИБ)

Разработаны:

Детальные рекомендации по повышению уровня соответствия требованиям
Перечень технических и организационных мер для устранения несоответствий требованиям
Детально проработанные инициативы по устранению несоответствий требованиям
Определены сроки, ответственные, ресурсы
Дорожная карта внедрения стандарта
Разработка и внедрение недостающих требований (опционально)
План внедрения ГОСТ Р 57580.3-2022 (в соответствии с рекомендациями Банка России 7-МР)

Варианты реализации услуги №2 по ГОСТ Р 57580.4-2022

Вариант реализации 1

Услуга предназначена для организаций, заинтересованных в анализе соответствия своей системы обеспечения операционной надежности требованиям ГОСТ Р 57580.4-2022 с учётом ранее реализованных мер по 787-П/779-П, и включает в себя два этапа:

Этап-1: Проведение анализа соответствия требованиям ГОСТ Р 57580.4-2022, 787-П/779-П, 7-МР

Этап-2: Разработка рекомендаций и плана внедрения стандарта ГОСТ Р 57580.4-2022

Результаты услуги

Проанализированы:

Существующие процессы и связанная критичная архитектура операционной надежности

Определены:

Целевой уровень операционной надежности (по требованиям Банка России)
Критически важные процессы
Текущее состояния операционной надежности
Несоответствия требованиям ГОСТ Р 57580.4-2022, 787-П/779-П

Разработаны:

Общие рекомендации по повышению уровня соответствия требованиям
План внедрения ГОСТ Р 57580.4-2022 (в соответствии с рекомендациями Банка России 7-МР)

Вариант реализации 2

Услуга предназначена для организаций, заинтересованных в анализе и повышении уровня соответствия своей системы обеспечения операционной надежности требованиям ГОСТ Р 57580.4-2022 с учётом ранее реализованных мер по 787-П/779-П, и включает в себя три этапа:

Этап-1: Проведение анализа соответствия требованиям ГОСТ Р 57580.4-2022, 787-П/779-П, 7-МР
Этап-2: Разработка рекомендаций и плана внедрения стандарта ГОСТ Р 57580.4-2022
Этап-3: Приведение в соответствие требованиям: определение и согласование технических и организационных мер, проработка инициатив по устранению несоответствий, определение сроков, ресурсов, ответственных, разработка дорожной карты, консалтинговые услуги по приведению в соответствие: реализация недостающих требований стандарта (опционально)

Результаты услуги

Проанализированы:

Существующие процессы и связанная критичная архитектура операционной надежности

Определены:

Целевой уровень операционной надежности (по требованиям Банка России)
Критически важные процессы
Текущее состояния операционной надежности
Несоответствия требованиям ГОСТ Р 57580.4-2022, 787-П/779-П

Разработаны:

Детальные рекомендации по повышению уровня соответствия требованиям
Перечень технических и организационных мер для устранения несоответствий требованиям
Детально проработанные инициативы по устранению несоответствий требованиям
Определены сроки, ответственные, ресурсы
Дорожная карта внедрения стандарта
План внедрения ГОСТ Р 57580.4-2022 (в соответствии с рекомендациями Банка России 7-МР)

Варианты реализации услуги №3 по ГОСТ Р 57580.3 и 4 - 2022

Вариант реализации 1

Услуга предназначена для организаций, заинтересованных в комплексном анализе соответствия своей системы управления рисками информационных угроз (ИБ) и системы обеспечения операционной надежности требованиям ГОСТ Р 57580.3 - 2022 и ГОСТ Р 57580.4 - 2022 с учётом ранее реализованных мер по 716-П, 787-П/779-П, и включает в себя два этапа:

Этап-1: Проведение анализа соответствия требованиям ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022, 716-П (в части рисков ИС и ИБ), 787-П/779-П, 7-МР
Этап-2: Разработка рекомендаций и плана внедрения стандарта ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

Результаты услуги

Проанализированы:

Существующее состояние системы управление риском реализации информационных угроз и обеспечения операционной надежности

Определены:

Целевой уровень реализации требований для процессов управление риском реализации информационных угроз (ИБ) и обеспечения операционной надежности (по требованиям Банка России)
Текущий уровень зрелости процессов управление риском реализации информационных угроз и обеспечения операционной надежности
Несоответствия требованиям ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, 716-П, 787-П/779-П, 7-МР

Разработаны:

Общие рекомендации по повышению уровня соответствия требованиям
План внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 (в соответствии с рекомендациями Банка России 7-МР)

Вариант реализации 2

Услуга предназначена для организаций, заинтересованных в комплексном анализе и повышении уровня соответствия своей системы управления рисками информационных угроз (ИБ) и системы обеспечения операционной надежности требованиям ГОСТ Р 57580.3 - 2022 и ГОСТ Р 57580.4 - 2022 с учётом ранее реализованных мер по 716-П, 787-П/779-П, и включает в себя три этапа:

Этап-1: Проведение анализа соответствия с требованиями ГОСТ Р 57580.3 и 4 - 2022, 716-П, 787-П/779-П, 7-МР
Этап-2: Разработка рекомендаций и плана внедрения стандарта ГОСТ Р 57580.3 и 4 - 2022
Этап-3: Приведение в соответствие требованиям: определение и согласование технических и организационных мер, проработка инициатив по устранению несоответствий, определение сроков, ресурсов, ответственных, разработка дорожной карты, консалтинговые услуги по приведению в соответствие: реализация недостающих требований стандарта (опционально)

Результаты услуги

Проанализированы:

Существующее состояние системы управление риском реализации информационных угроз (ИБ) и обеспечения операционной надежности

Определены:

Целевой уровень реализации требований для процессов управление риском реализации информационных угроз и обеспечения операционной надежности (по требованиям Банка России)
Текущий уровень зрелости процессов управление риском реализации информационных угроз и обеспечения операционной надежности
Несоответствия требованиям ГОСТ Р 57580.3 и 4 - 2022, 716-П, 787-П/779-П, 7-МР

Разработаны:

Детальные рекомендации по повышению уровня соответствия требованиям
Перечень технических и организационных мер для устранения несоответствий требованиям
Детально проработанные инициативы по устранению несоответствий требованиям
Определены сроки, ответственные, ресурсы
Дорожная карта внедрения стандарта
Разработка и внедрение недостающих требований (опционально)
План внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 (в соответствии с рекомендациями Банка России 7-МР)

В зависимости от обнаруженных несоответствий и ваших потребностей, мы можем предложить Вам следующие дополнительные решения:

разработку детальной дорожной карты внедрения стандарта с проработанными инициативами, определением сроков, ответственных и ресурсов;
разработку и регламентацию недостающих процессов;
выбор и внедрение недостающих средств защиты объектов критичной архитектуры;
разработку и внедрение планов ОНиВД, DRP/BCP;
тестирование способности восстановления из резервной копии;
тесты на проникновение согласно рекомендаций Банка России 2-МР;
идентификация и документирование критичной архитектуры;
классификацию защищаемой информации;
разработку модели угроз для критичной архитектуры (с учетом БРУ ФСТЭК, CAPEC, MITRE ATT&CK, OWASP, STIX, WASC, CWE, CVE);
анализ договоров с ИТ-поставщиками на предмет соответствия требованиям стандартов;
разработку и расчет целевого времени восстановления (ЦВВ) и целевой точки восстановления данных (ЦТВД);
разработку метрик (целевые, актуальные, пороговые значения) операционной надежности, предусмотренные стандартом, учитывая нормативные требования Банка России;
другие работы по устранению выявленных несоответствий.

В фокусе

в фокусе 11/04/2025

Значимость стандартов серии 57580 в цифровой трансформации

получить консультацию

Новости и материалы по теме

Новости

15 / 08 / 2025

Атаки на сетевое и охранное оборудование выросли почти на четверть в 2025 году

Специалисты «Информзащиты» зафиксировали рост количества кибератак, использующих уязвимости в сетевых и охранных устройствах — маршрутизаторах, системах контроля и управления доступом, камерах видеонаблюдения — на 24% за первые семь месяцев 2025 года по сравнению с аналогичным периодом 2024 года.

Новости

12 / 08 / 2025

Платформа «DатаРу Облако» аттестована для работы с государственными данными

Национальный аттестационный центр «Информзащиты» успешно завершил проверку информационной системы «Кластер IaaS» от компании «DатаРу Облако».

Новости

07 / 08 / 2025

Злоумышленники усиливают атаки на корпоративные LLM-модели

Внедрение больших языковых моделей (LLM) в корпоративные системы становится все более распространенным – более 90% российских компаний заявляют об их использовании.

Новости

05 / 08 / 2025

Кибератаки с перехватом доступа к системной памяти увеличились почти вдвое

Согласно последним данным «Информзащиты», число атак с перехватом доступа к системной памяти, преимущественно через уязвимости браузеров, увеличилось на 47% в первые шесть месяцев 2025 года по сравнению с аналогичным периодом прошлого года.

Новости

29 / 07 / 2025

Атаки на авиационную отрасль выросли более чем на 40%

Количество кибератак на организации, работающие в авиационной отрасли, увеличилось на 42% в первом полугодии 2025 года по сравнению с аналогичным периодом 2024-го.

Новости

28 / 07 / 2025

«Информзащита» отмечает свое 30-летие

27 июля ведущему российскому интегратору в области информационной безопасности компании «Информзащита» исполнилось 30 лет. Свои поздравления направили партнеры – «Лаборатория Касперского», Positive Technologies, «Код Безопасности», «Солар», UserGate и другие.

Мероприятия

07 / 07 / 2025

Ежегодная конференции «Росатом Информационная безопасность 2025»

Мероприятия

07 / 07 / 2025

«Информзащита» стала спонсором и приняла участие в XXV Всероссийской научно-практическая конференции МОРИНТЕХ-ПРАКТИК «Информационные технологии в судостроении-2025»

Мероприятия

07 / 07 / 2025