Москва
Мероприятия
Блог
Войти
main-bg
Блог

Как эффективно внедрить стандарты ГОСТ в организацию: этапы и советы

О новых изменениях в законодательстве в сфере информационной безопасности и рекомендациях для бизнеса по их внедрению.

В первые десять месяцев 2024 года количество кибератак на финансовую сферу выросло в два раза по сравнению с общими показателями 2023-го. В ответ на растущие угрозы регулятор обновляет нормативные акты, чтобы оказать поддержку финтех-компаниям в защите от рисков реализации информационных угроз, уменьшении вероятности утечек данных и снижении репутационных потерь.

Юлия Задубровская, руководитель направления безопасности финансовых организаций в Infosecurity (ГК Softline), рассказала о новых изменениях в законодательстве, касающемся информационной безопасности (ИБ), и предложила рекомендации для бизнеса по их внедрению.

Растущие риски

С 2022 по 2024 год Россия удерживает печальный рекорд как самая атакуемая киберпреступниками страна. При этом ситуация постепенно ухудшается: если в начале 2022 года иностранные хакеры были нацелены на кражу данных, то теперь их стратегии направлены на разрушение критической инфраструктуры. 

Число успешно осуществленных атак в 2024 году осталось примерно на уровне 2022-го. Но количество высококвалифицированных целевых атак значительно увеличилось. 

Более того, только в третьем квартале 2024-го почти в каждой четвертой (23%) успешной атаке злоумышленники использовали существующие уязвимости приложений и сервисов. В этой связи становится очевидной необходимость для банков и финансовых учреждений, находящихся под прицелом хакеров, активно работать над снижением рисков. Однако реальность такова, что 20% этих организаций продолжают сталкиваться с проблемами управления доступом, а половина некредитных финансовых компаний, особенно небольших, имеет еще более серьезные проблемы — уязвимости в технических и эксплуатационных учетных записях, общие аккаунты, редкая смена паролей. Кроме того, существуют недостатки в контроле за действиями пользователей и администраторов, актуальностью прав доступа и структурой учетных записей. 

Сложившиеся обстоятельства лишь подчеркивают важность укрепления национальных стратегий проактивной защиты, чтобы дать бизнесу четкие ориентиры.

Ответ регулятора

Основы для создания ГОСТов были заложены еще в 2016-м. На Уральском форуме были представлены инициативы, направленные на гармонизацию и унификацию стандартов в области информационной безопасности. В результате 8 августа 2017 года был утвержден ГОСТ Р 57580.1-2017, вступивший в силу 1 января 2018-го.

Несмотря на то, что требования Центробанка действуют уже несколько лет, полное покрытие ключевых ресурсов системами управления информацией и событиями безопасности до сих пор реализовано не во всех финансовых организациях. На практике это означает, что многие компании, особенно небольшие, не успели или не смогли наладить контроль за ситуацией в этой области, что влечет за собой потенциальные риски.

В феврале 2023-го в серию ГОСТ Р 57580 были добавлены ГОСТ Р 57580.3-2022, содержащий дополнительные рекомендации по управлению риском реализации информационных угроз, и ГОСТ Р 57580.4-2022, сосредоточенный на повышении операционной надежности.

Кого это коснется

В марте 2024-го Центральный банк России опубликовал Методические рекомендации (7-МР) для небанковских кредитных организаций (НКО), некредитных финансовых организаций (НФО) и банков. В этом документе регулятор рекомендовал сроки для адаптации систем и процессов к новым стандартам. 

Актуальность внедрения стандартов со сроками выполнения

Регулятор рекомендует уже сейчас создавать стратегию реализации, несмотря на то что в настоящее время такие планы не являются обязательными — упоминания о них зафиксированы в 7-МР, но не в законодательных актах Банка России.

Однако заранее проведенная подготовка поможет не только уменьшить риски, но и оперативно приспособиться к требованиям, как только они станут обязательными.

Подготовка к реализации

Для мониторинга выполнения всех требований стандартов ГОСТ 57580.3-2022 и 57580.4-2022 на различных уровнях целесообразно применять метод чек-листа (GAP-анализа), содержащего следующие шаги:

  • Выявление применяемых стандартов с учетом специфики конкретной компании.
  • Определение уровней защиты для каждого применяемого стандарта.
  • Определение процессов и элементов критичной архитектуры, входящих в область действия стандартов.
  • Анализ состава мер базового набора для реализуемого уровня, при необходимости определение компенсирующих мер.
  • Разработка системы оценки, состоящей как минимум из трех уровней соответствия (например, «полное выполнение», «частичное выполнение», «не выполнено»), с учетом проверки не только реализации, но и документирования порядка выполнения мер. 
  • Определение подразделений и работников, которые могут предоставить нужные сведения для анализа, и их привлечение к участию в процессе в соответствии с внутренними документами.
  • Составление отчета с итогами оценки, обнаруженными несоответствиями и предложениями по их исправлению.

Если предполагается одновременное внедрение двух стандартов, более разумным будет осуществлять оценку соответствия одновременно.

Организация

По завершении тщательной оценки соблюдения стандартов стоит разработать план внедрения ГОСТ Р 57580.3-2022 и/или ГОСТ Р 57580.4-2022 и в дальнейшем придерживаться его. Рекомендуется:

  • Выделить меры, которые реализуются частично или не выполняются вовсе.
  • Объединить их, принимая во внимание взаимосвязи. К примеру, некоторые из элементов могут быть связаны общим документом или исполняться в контексте одного процесса или подпроцесса.
  • Определить ответственных работников для каждой меры или набора мер.
  • Установить связи, определить приоритет и сроки реализации всех поставленных требований, с учетом сроков, описанных в 7-МР для внедрения стандартов.
  • Определить, кто несет ответственность за контроль реализации мероприятий и соблюдение сроков.

Факторы, которые необходимо принимать во внимание при реализации изменений

Актуальные нормы преимущественно фокусируются на организационных аспектах, хотя включают и технические требования. Внедрение последних является наиболее трудоемким и требует значительных ресурсов.

Меры технического характера 

Технические меры, прописанные в ГОСТ Р 57580.3-2022, стандартизированы для всех уровней защиты. Среди них выделяется применение специализированного программного обеспечения для управления базой событий риска реализации информационных угроз. Это дает возможность не только отслеживать действия пользователей, но и контролировать изменения в данных. Основное различие — периоды хранения информации: для минимального уровня 3 года, в то время как для стандартного и усиленного — 5 лет.

Что касается технических мер ГОСТ Р 57580.4-2022, то они значительно варьируются в зависимости от уровня защиты.

Минимальный

  • Создание резервных копий программного обеспечения и баз данных для возврата к предыдущим версиям после обновлений и восстановления информации.
  • Системы хранения стандартов конфигурирования с учетом различных версий.
  • Защита от вредоносного программного обеспечения, в том числе для мобильных устройств.
  • Средства работы с индикаторами компрометации (IoC) от Центрального банка и партнеров (EDR/XDR).
  • Обеспечение защиты от несанкционированного доступа как логического, так и физического, а также удаленного подключения.

Стандартный

  • Применение технических средств минимального уровня.
  • Автоматизация учета объектов критичной инфраструктуры прикладного и инфраструктурного уровня и пользователей.
  • Контроль состава объектов инфраструктуры прикладного и инфраструктурного уровня, а также пользователей.
  • Регистрация изменений в критичной архитектуре и информирование подразделений.
  • Деление на среды для разработки, тестирования и эксплуатации с контролем передачи данных.
  • Хранение и управление стандартами конфигурирования с ограничением доступа.
  • Мониторинг модификаций конфигураций объектов и контроль их соответствия стандартам конфигурирования.
  • Проведение анализа уязвимостей с созданием реестра выявленных уязвимостей.
  • Регистрация мероприятий, связанных с управлением инцидентами, с возможностью их отслеживания.
  • Резервные системы и структуры для предоставления финансовых и информационных услуг.
  • IPS как минимум для мониторинга коммуникационных каналов с поставщиками.
  • Многофакторная аутентификация при управлении инфраструктурой и удаленном доступе.

Усиленный

  • Применение технических средств минимального и стандартного уровней.
  • Автоматизация учета всех элементов критичной архитектуры.
  • Контроль состава учтенных элементов инфраструктуры, пользователей и каналов передачи защищаемой информации.
  • Классификация участков технологических процессов, объектов инфраструктуры, прикладного программного обеспечения и пользователей.
  • Классификация услуг, предоставляемых провайдерами, в зависимости от модели предоставления сервиса.
  • Учет обновлений критичной инфраструктуры.
  • Централизованное размещение и управление стандартами конфигурирования.
  • Система для отслеживания событий и выявления инцидентов.

Меры организационного характера

ГОСТ Р 57580.3-2022 подчеркивает значимость разработки и документирования внутренней политики, а также систематического контроля риска реализации информационных угроз. В документе изложены четкие этапы и механизмы для обнаружения и классификации событий риска реализации информационных угроз, а также принципы формирования базы таких событий. 

Документ предлагает более глубокую классификацию событий риска реализации информационных угроз и расширяет перечень основных показателей уровня управляемого риска, включая их распределение и установление нормативных значений. Это закладывает фундамент для более точной оценки и управления рисками.

ГОСТ Р 57580.3-2022 подчеркивает значимость привлечения руководства высшего звена к процессу управления рисками и необходимость улучшения отчетности для всех подразделений, участвующих в этом процессе. Особое внимание уделяется квалификации специалистов в области информационной безопасности.

ГОСТ Р 57580.4-2022 ориентирован на подробное отражение порядка обеспечения операционной надежности в документации. Среди приоритетных задач стандарта — выявление и учет элементов критичной архитектуры, управление изменениями, взаимодействие с поставщиками ИТ-услуг и повышение информированности о современных рисках. Он устанавливает новые требования, направленные на соблюдение значений ключевых показателей уровня рисков (КПУР) и обязательное информирование клиентов о реальных показателях.

Выводы

Новые ГОСТы вводят жесткие нормы по управлению риском реализации информационных угроз для финансовых учреждений для снижения шансов утечек данных и других инцидентов, способных привести к серьезным финансовым потерям и репутационному ущербу.

Однако соблюдение этих стандартов — не просто формальная мера для предотвращения штрафов. Это прекрасная возможность оптимизировать внутренние процедуры, укрепить безопасность активов и увеличить уровень доверия клиентов на фоне глобальных угроз.

Источники изображений:my.visme.co

Источник материала: https://companies.rbc.ru/

Новости, истории и события
Смотреть все
«Софтлайн Решения» (ГК Softline) запускает «Софтлайн Цифровой Актив» – экосистему для управления ИТ-закупками и поддержки в едином окне ПО и оборудования
Новости

«Софтлайн Решения» (ГК Softline) запускает «Софтлайн Цифровой Актив» – экосистему для управления ИТ-закупками и поддержки в едином окне ПО и оборудования

01.07.2026

MAINTEX fabricaONE.AI (акционер - ГК Softline) и «Квант Программ» объединяют компетенции в области предиктивной диагностики промышленного оборудования
Новости

MAINTEX fabricaONE.AI (акционер - ГК Softline) и «Квант Программ» объединяют компетенции в области предиктивной диагностики промышленного оборудования

30.06.2026

Visitech fabricaONE.AI (акционер - ГК Softline) добавила в ИСОБР новый модуль для автоматизации СОУТ и управления производственными рисками
Новости

Visitech fabricaONE.AI (акционер - ГК Softline) добавила в ИСОБР новый модуль для автоматизации СОУТ и управления производственными рисками

29.06.2026

Акционеры ПАО «Софтлайн» в ходе Годового общего собрания приняли решение впервые выплатить дивиденды
Новости

Акционеры ПАО «Софтлайн» в ходе Годового общего собрания приняли решение впервые выплатить дивиденды

26.06.2026

ГК Softline и НГТУ НЭТИ объединяют усилия в подготовке ИТ-кадров
Новости

ГК Softline и НГТУ НЭТИ объединяют усилия в подготовке ИТ-кадров

25.06.2026

Bell Integrator FabricaONE.AI (акционер – ГК Softline) обеспечил доступность 99,99% критичным сервисам ведущего банка
Новости

Bell Integrator FabricaONE.AI (акционер – ГК Softline) обеспечил доступность 99,99% критичным сервисам ведущего банка

25.06.2026

ENTERCHAIN fabricaONE.AI  (акционер – ГК Softline) помогла компании Greiner повысить компетенции в управлении цепочками поставок и развитии процессов планирования на российских производственных площадках
Новости

ENTERCHAIN fabricaONE.AI (акционер – ГК Softline) помогла компании Greiner повысить компетенции в управлении цепочками поставок и развитии процессов планирования на российских производственных площадках

24.06.2026

СберТех и fabricaOne.AI (акционер - ГК Softline) предложат рынку корпоративные решения для работы с данными
Новости

СберТех и fabricaOne.AI (акционер - ГК Softline) предложат рынку корпоративные решения для работы с данными

24.06.2026

Софтлайн Решения (ГК Softline) и компания «Перспективный мониторинг» открыли киберполигон Ampire в Краснодарском университете МВД России
Новости

Софтлайн Решения (ГК Softline) и компания «Перспективный мониторинг» открыли киберполигон Ampire в Краснодарском университете МВД России

23.06.2026

ГК Softline и ГК «Аквариус» объединяют усилия для обеспечения технологической независимости госсектора и предприятий
Новости

ГК Softline и ГК «Аквариус» объединяют усилия для обеспечения технологической независимости госсектора и предприятий

23.06.2026

ГК Softline представит архитектуру защищенного ИИ и АСУ ТП на РИБ-2026
Новости

ГК Softline представит архитектуру защищенного ИИ и АСУ ТП на РИБ-2026

23.06.2026

ПАО «Софтлайн» продолжит обратный выкуп акций Компании
Новости

ПАО «Софтлайн» продолжит обратный выкуп акций Компании

22.06.2026

Команда ПАО «Софтлайн» приняла участие в Smart-Lab Conf 2026
Новости

Команда ПАО «Софтлайн» приняла участие в Smart-Lab Conf 2026

22.06.2026

«Софтлайн Решения» (ГК Softline) оснастила московский колледж симуляторами БПЛА
Новости

«Софтлайн Решения» (ГК Softline) оснастила московский колледж симуляторами БПЛА

22.06.2026

SL Soft fabricaONE.AI (акционер — ГК Softline) развивает семантический поиск и интеллектуального помощника в платформе Citeck
Новости

SL Soft fabricaONE.AI (акционер — ГК Softline) развивает семантический поиск и интеллектуального помощника в платформе Citeck

22.06.2026

ГК Softline представила инновационные решения на Всероссийском форуме-выставке «ГОСЗАКАЗ»
Новости

ГК Softline представила инновационные решения на Всероссийском форуме-выставке «ГОСЗАКАЗ»

19.06.2026

«Инферит» (кластер «СФ Тех» ГК Softline) и АО «Информатика» создадут комплексное решение для управления ИТ-инфраструктурой
Новости

«Инферит» (кластер «СФ Тех» ГК Softline) и АО «Информатика» создадут комплексное решение для управления ИТ-инфраструктурой

19.06.2026

ГК Softline и Deeray расширяют стратегическое партнерство в сфере ИИ-аналитики клиентских коммуникаций
Новости

ГК Softline и Deeray расширяют стратегическое партнерство в сфере ИИ-аналитики клиентских коммуникаций

19.06.2026

Аутсорсинг ИТ. 10 задач, которые выгоднее передать внешнему партнеру
Блог

Аутсорсинг ИТ. 10 задач, которые выгоднее передать внешнему партнеру

26.06.2026

Как быстро купить лицензионное ПО: пошаговая инструкция
Блог

Как быстро купить лицензионное ПО: пошаговая инструкция

25.06.2026

Почему промышленный ИИ остается локальным инструментом — и что с этим делать
Блог

Почему промышленный ИИ остается локальным инструментом — и что с этим делать

18.06.2026

Новые ИТ-льготы и запреты, ИИ в судах, дроны в медицине, контроль чипов и возвращение Roblox
Блог

Новые ИТ-льготы и запреты, ИИ в судах, дроны в медицине, контроль чипов и возвращение Roblox

11.06.2026

Облако на OpenStack: готовая замена VMware для бизнеса и госсектора
Блог

Облако на OpenStack: готовая замена VMware для бизнеса и госсектора

09.06.2026

ТОП-5 российских систем видеоконференцсвязи в 2026 году: сравнение особенностей и преимуществ
Блог

ТОП-5 российских систем видеоконференцсвязи в 2026 году: сравнение особенностей и преимуществ

04.06.2026

Как выбрать систему инвентаризации, учета и контроля ИТ-инфраструктуры: обзор 5 российских решений
Блог

Как выбрать систему инвентаризации, учета и контроля ИТ-инфраструктуры: обзор 5 российских решений

01.06.2026

Главные ИТ-новости недели 29.05.2026
Блог

Главные ИТ-новости недели 29.05.2026

29.05.2026

ИИ в образовании 2026: практика, инфраструктура, регулирование
Блог

ИИ в образовании 2026: практика, инфраструктура, регулирование

22.05.2026

Управление программными активами (SAM) — как эффективно распоряжаться ИТ-активами, избежать штрафов и выполнить требования регуляторов
Блог

Управление программными активами (SAM) — как эффективно распоряжаться ИТ-активами, избежать штрафов и выполнить требования регуляторов

19.05.2026

Как меняется инфраструктура образования: опыт российских школ
Блог

Как меняется инфраструктура образования: опыт российских школ

13.05.2026

Главные ИТ-новости недели 08.05.2026
Блог

Главные ИТ-новости недели 08.05.2026

08.05.2026

Электронные подписи в 2026: получить по биометрии, обновить «КриптоПро» и избежать штрафов
Блог

Электронные подписи в 2026: получить по биометрии, обновить «КриптоПро» и избежать штрафов

06.05.2026

Как сократить расходы на облачную инфраструктуру: распределение нагрузок на практике
Блог

Как сократить расходы на облачную инфраструктуру: распределение нагрузок на практике

29.04.2026

ИТ-инфраструктура: как бизнес решает задачи отказоустойчивости и импортозамещения
Блог

ИТ-инфраструктура: как бизнес решает задачи отказоустойчивости и импортозамещения

22.04.2026

Лицензионный хаос: как избежать штрафов и навести порядок в ПО
Блог

Лицензионный хаос: как избежать штрафов и навести порядок в ПО

21.04.2026

Информационная безопасность в проектах «Софтлайн Решений»
Блог

Информационная безопасность в проектах «Софтлайн Решений»

17.04.2026

Главные ИТ-новости недели 10.04.2026
Блог

Главные ИТ-новости недели 10.04.2026

10.04.2026