ГОСТ Р 57580.1 в 2026 году. Почему стандарт снова в фокусе регулятора?

ГОСТ Р 57580.1 с этого года напрямую касается поставщиков финансового сектора, МФО, страховых компаний и НПФ. Рассказываем, как пройти путь к соответствию без избыточных затрат.

О стандарте 

ГОСТ Р 57580.1 – это методология построения защиты информации в финансовых организациях. В его основе – цикл PDCA (Plan-Do-Check-Act). Сначала планируем, что и как защищать, затем внедряем меры, регулярно проверяем их эффективность и на основе проверок улучшаем систему. 

Стандарт содержит более 400 организационных и технических мер защиты информации для финансовых организаций. Меры разделены на три уровня: минимальный (третий), стандартный (второй) и усиленный (первый). Банк России определяет, кому какой уровень применять и, начиная со второго уровня, требует проходить периодическую внешнюю оценку соответствия.

Что будет за несоответствие

Банк России относится к ГОСТу как к обязательному требованию. Последствия несоблюдения – предписания, штрафы, ограничения в лицензировании новых продуктов. 

Второе дыхание ГОСТ 57580.1

ГОСТ Р 57580.1 вышел еще в 2017 году. Банки уже реализовали требования, прошли аудиты. Так почему же он вдруг снова в тренде? Есть три причины.

Во-первых, требования распространяются на поставщиков. В ноябре 2025 года регулятор разослал финансовым организациям письма: вы должны требовать от своих подрядчиков соответствия ГОСТ. А уже в феврале 2026 года начались проверки у крупнейших банков. Речь о хостингах, дата-центрах, облачных провайдерах, вендорах, интеграторах, внешних SOC – всех, кто обслуживает финансовый сектор.

Во-вторых, меняется Положение № 757-П. Микрофинансовые организации впервые попадают под требования третьего уровня. А регистраторы, страховые компании и НПФ переводятся со второго уровня на первый. Это значит, что им предстоит не просто внедрить меры, но и подтвердить соответствие перед регулятором.

В-третьих, завершен пересмотр самого стандарта – ГОСТ 57580.1, .2 и .5. 

Кого это касается

• Поставщиков ИТ- и ИБ-услуг для финансового сектора
• МФО, регистраторов, СК и НПФ, которых коснулись изменения 757-П
• Новых участников рынка, которым только предстоит выстроить систему защиты
• Всех, кто работает или планирует работать в комплаенсе финансовой отрасли

Как устроено управление безопасностью по ГОСТ

ГОСТ регулирует не только текущую эксплуатацию, но и весь жизненный цикл автоматизированных систем – от проектирования до вывода из эксплуатации. Включая запрет на использование боевых данных в тестовых средах и обязательное стирание информации при утилизации.

Все начинается не с антивирусов и фаерволов, а с процессов. Управление разбито на четыре блока:

1. Управление требованиями.
2. Управление средствами защиты.
3. Управление знаниями.
4. Управление непрерывностью.

Это фундамент, поверх которого – восемь процессов обеспечения безопасности:

1. Управление доступом.
2. Защита сетей.
3. Контроль целостности.
4. Защита от вредоносного кода.
5. Предотвращение утечек.
6. Управление инцидентами.
7. Защита виртуализации и контейнеризации.
8. Безопасность удаленного доступа.

Как внедрять стандарт на практике

Первый шаг – определение области применения. Что именно мы защищаем? Для банка или страховой компании это автоматизированные системы, которые обрабатывают финансовую информацию и вся инфраструктура, которая их поддерживает: серверы, СУБД, виртуализация, сетевые сервисы. Для поставщиков – облачных провайдеров, хостингов, интеграторов – логика та же: берем всю инфраструктуру, через которую ваши клиенты из финансового сектора получают доступ к своим системам или размещают их у вас. Важный нюанс: если у вас несколько контуров – например, разные системы под разные Положения Банка России – на практике их полная изоляция часто невозможна. Поэтому рекомендуется объединить все в единый контур защиты. Так проще и для вас, и для аудитора.

Второй шаг – выбор мер. В ГОСТе более 400 требований, но не все они к вам относятся. Например, если у вас один контур – не нужны меры по изоляции контуров между собой. Пройдитесь по списку, уберите неприменимое, отметьте то, что уже реализовано, и спланируйте оставшееся. И обязательно для каждой меры проставьте статус: реализована, запланирована, не применима или компенсируется иным способом. 

Третий шаг – регламентация. Вместо десятка отдельных регламентов создайте один универсальный документ, в который войдут: описание контура защиты, таблица со всеми мерами (их статус, как реализованы, кто отвечает), описание компенсирующих мер и правила пересмотра документа. Такой подход пришел из ISO 27001 – это так называемая ведомость применимости. При аудите не придется выяснять, как у вас что устроено – аудитор просто проверит, что написано в этом документе. Более того, его наличие может снизить стоимость аудита.

Техническое обеспечение

Для минимального, третьего уровня – базовый набор: межсетевой экран для сегментации, средство резервного копирования, криптошлюз для защиты внешних каналов, почтовый антивирус с AntiSPAM и два антивируса разных производителей – для АРМ и для серверов.

Для второго уровня добавляем серьезную аналитику: NGFW с защитой на седьмом уровне, WAF и AntiDDoS для внешних ресурсов, сканер уязвимостей с проверкой соответствия стандартам конфигурации, DLP для контроля утечек, двухфакторную аутентификацию для администраторов, SIEM для сбора и анализа логов, а также системы учета активов.

Для первого, усиленного уровня – все вышеперечисленное в отказоустойчивой архитектуре, плюс 2FA уже для всех сотрудников, средства доверенной загрузки, контроль целостности резервных копий и специализированные решения для защиты виртуализации.

Для второго и первого уровней достаточно соответствовать ГОСТ на 86% – это минимальный порог для успешного аудита. Наша задача – набрать этот уровень минимальными усилиями. Поэтому на старте фокусируемся на мерах, которые закрывают максимум требований, а дорогостоящие решения временно относим к тем 14%, которые можно реализовать позже.

Подготовка к внешнему аудиту

Для организаций второго и первого уровней внешний аудит обязателен. От вас потребуется выделить человека, который будет сопровождать аудит, подготовить документы, назначить интервью администраторам, собрать скриншоты и логи, подтверждающие выполнение мер.

От отчета аудитора важно получить четкое указание области оценки, ссылки на Положения Банка России, методику по ГОСТ Р 57580.2, объективные выводы и качественные рекомендации по устранению недостатков.

Как упростить себе жизнь

Во-первых, минимизируйте область применения. Выделите изолированный контур: отдельные VDI, терминальные серверы. Чем меньше контур – тем меньше требований. Во-вторых, собирайте подтверждающие документы заранее – в рамках внутренних аудитов. На внешней проверке времени на это не будет. И в-третьих, не заказывайте липовые отчеты. Банк России видит их невооруженным взглядом – например, по подозрительно низкой стоимости аудита. В итоге все равно придется переделывать, но уже с репутационными потерями.

Да, в стандарте более 400 мер. Но не все они применяются к каждой организации – уровень защиты определяется индивидуально. Многие меры уже реализованы в типовых ИТ- и ИБ-процессах: антивирусы, резервное копирование, контроль доступа. Ваша задача – не строить все с нуля, а систематизировать существующее и закрыть пробелы.

Мы помогли пройти этот путь десяткам клиентов без стресса и лишних затрат. И готовы стать вашим партнером по внедрению ГОСТ Р 57580.1 от планирования до успешного прохождения аудита.