Перейти к содержимому
ГОСТ 57580финтехбанкиcompliance

ГОСТ 57580 для финтеха: чеклист соответствия

13 минVAHREST Team

Что такое ГОСТ 57580 и кого он касается

ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» -- национальный стандарт, который устанавливает требования к обеспечению безопасности информации в финансовых организациях.

Кто обязан соответствовать

Стандарт обязателен для:

  • Банки -- все кредитные организации, лицензируемые ЦБ РФ
  • НФО -- некредитные финансовые организации (МФО, страховые, брокеры, управляющие компании)
  • Операторы платёжных систем -- включая платёжных агентов
  • Операторы информационного обмена -- в рамках платёжной системы Банка России

С 2024 года ЦБ РФ активизировал проверки финтех-компаний, особенно тех, кто работает через API с банковскими данными.

Связь с другими нормативами

ГОСТ 57580 не существует в вакууме:

  • Положение 683-П -- требует соответствия ГОСТ 57580 для банков
  • Положение 719-П -- для участников платёжной системы
  • Положение 757-П -- для НФО
  • 382-П -- требования к защите информации при переводах
  • 152-ФЗ -- пересекается в части защиты ПДн клиентов

Уровни защиты информации

ГОСТ 57580.1 определяет три уровня защиты информации:

Усиленный уровень (УУ)

Для системно значимых кредитных организаций, банков с широкой филиальной сетью, операторов платёжных систем. Требует максимального набора мер защиты.

Стандартный уровень (СУ)

Для большинства банков и крупных НФО. Оптимальное соотношение защиты и затрат. Это тот уровень, который релевантен для большинства финтех-компаний.

Минимальный уровень (МУ)

Для небольших НФО с ограниченным объёмом финансовых операций. Минимальный набор обязательных мер.

Уровень определяется ЦБ РФ для конкретной организации на основе объёма операций, количества клиентов и системной значимости.

Основные направления защиты

ГОСТ 57580.1 структурирует требования по восьми направлениям:

1. Обеспечение защиты информации при управлении доступом (УД)

Требования к идентификации, аутентификации и авторизации. Для API это означает:

  • Многофакторная аутентификация при доступе к финансовым данным
  • Ролевая модель с разграничением на уровне эндпоинтов и объектов
  • Регулярный пересмотр прав доступа (не реже раза в квартал)
  • Немедленная деактивация учётных записей уволенных сотрудников
  • Ограничение сессий по времени и количеству одновременных подключений

Что проверяет VAHREST:

  • Тестирование BOLA/BFLA -- горизонтальная и вертикальная эскалация привилегий
  • Проверка механизмов аутентификации (JWT, OAuth, сессии)
  • Тестирование rate-limiting на критичных эндпоинтах
  • Проверка корректности завершения сессий

2. Обеспечение защиты вычислительных сетей (ЗВС)

Сегментация сети, фильтрация трафика, защита периметра. Для API:

  • Сегментация API-шлюзов от внутренних сервисов
  • Web Application Firewall (WAF) перед API
  • Фильтрация входящего трафика по GeoIP при необходимости
  • Защита от DDoS на уровне API-gateway

Что проверяет VAHREST:

  • Обнаружение WAF и тестирование правил обхода
  • Проверка сетевой конфигурации API (открытые порты, лишние сервисы)
  • Тестирование SSRF -- доступ к внутренним сервисам через API

3. Контроль целостности и защищённости информационной инфраструктуры (ЦЗИ)

Мониторинг изменений, контроль конфигураций, управление уязвимостями. Для API:

  • Регулярное сканирование на уязвимости (не реже раза в квартал для СУ)
  • Контроль изменений API-спецификаций
  • Управление версионированием API
  • Мониторинг Shadow API

Что проверяет VAHREST:

  • Полное сканирование OWASP API Top 10
  • Обнаружение Shadow API и недокументированных эндпоинтов
  • Анализ версионирования API
  • SCA -- проверка зависимостей на известные уязвимости

4. Защита от вредоносного кода (ЗВК)

Для API менее релевантно в классическом смысле, но включает:

  • Валидация загружаемых файлов
  • Защита от injection-атак (SQL, NoSQL, OS command, LDAP)
  • Проверка содержимого webhook-payload

Что проверяет VAHREST:

  • Тестирование всех типов injection
  • Fuzzing параметров API
  • Проверка обработки файлов

5. Предотвращение утечек информации (ПУИ)

Контроль каналов утечки данных. Для API:

  • Маскирование чувствительных данных в ответах API (карточные номера, ПДн)
  • Контроль объёма данных в ответах (не возвращать лишние поля)
  • Шифрование данных в transit и at rest
  • Watermarking и DLP для API-трафика

Что проверяет VAHREST:

  • Обнаружение чувствительных данных в ответах API (PAN, CVV, ПДн)
  • Проверка маскирования данных
  • Анализ TLS-конфигурации
  • Тестирование mass assignment -- возврат скрытых полей

6. Управление инцидентами защиты информации (ИНЦ)

Процессы обнаружения, реагирования и расследования инцидентов:

  • Мониторинг API-трафика в реальном времени
  • Автоматическое обнаружение аномалий (всплески 4xx/5xx, необычные паттерны доступа)
  • Playbook реагирования на API-инциденты
  • Уведомление ЦБ РФ через ФинЦЕРТ

7. Защита среды виртуализации (ЗСВ)

Если API развёрнуты в контейнерах или виртуальных машинах:

  • Изоляция контейнеров
  • Сканирование образов на уязвимости
  • Runtime-защита контейнеров
  • Сегментация сетей виртуализации

Что проверяет VAHREST:

  • Сканирование Docker-образов (Trivy)
  • Проверка конфигурации Kubernetes (Checkov)
  • Анализ сетевых политик

8. Защита информации при осуществлении удалённого доступа (ЗУД)

VPN, удалённые рабочие места, мобильный доступ:

  • Защита мобильных API-клиентов
  • Certificate pinning
  • Защита от перехвата на мобильных устройствах

Процесс оценки соответствия ГОСТ 57580.2

Оценка соответствия проводится по ГОСТ Р 57580.2-2018 и включает:

Этапы аудита

  1. 1Определение области оценки -- какие ИС, процессы и API входят в scope
  2. 2Сбор свидетельств -- документация, конфигурации, результаты тестирования
  3. 3Оценка реализации мер -- по каждой мере из ГОСТ 57580.1
  4. 4Расчёт итоговой оценки -- по формуле из ГОСТ 57580.2
  5. 5Формирование отчёта -- с рекомендациями по устранению несоответствий

Формула оценки

Для каждого направления защиты рассчитывается показатель:

R = (сумма оценок реализованных мер) / (сумма максимальных оценок по всем мерам) * 100%

Итоговая оценка -- средневзвешенное по всем направлениям.

Требуемый минимум:

  • Четвёртый уровень соответствия (0.7 <= R < 0.85) -- допустимо
  • Пятый уровень (R >= 0.85) -- целевое состояние

Чеклист соответствия для финтех-компании

Организационные меры

  • Назначен ответственный за информационную безопасность
  • Утверждена политика ИБ
  • Определён уровень защиты информации (УУ/СУ/МУ)
  • Проведена классификация информационных активов
  • Разработана модель угроз
  • Утверждены регламенты управления доступом
  • Определены процедуры реагирования на инциденты
  • Настроено взаимодействие с ФинЦЕРТ
  • Проводится обучение сотрудников по ИБ
  • Ведётся реестр рисков ИБ

Технические меры для API

  • Внедрена многофакторная аутентификация
  • Реализована ролевая модель доступа на уровне API
  • Защита от BOLA/BFLA на каждом эндпоинте
  • TLS 1.2+ на всех API-соединениях
  • WAF перед API-gateway
  • Rate-limiting на всех эндпоинтах
  • Логирование всех API-запросов (кто, когда, что, откуда)
  • Маскирование PAN, CVV, ПДн в ответах API
  • Валидация входных данных (защита от injection)
  • Контроль версионирования API
  • Инвентаризация всех API-эндпоинтов
  • Регулярное сканирование на уязвимости (DAST + SAST)
  • Сканирование зависимостей (SCA)
  • Мониторинг аномалий API-трафика
  • Шифрование данных at rest
  • Резервное копирование с проверкой восстановления

Периодические процессы

  • Ежеквартальное сканирование на уязвимости
  • Ежегодный аудит по ГОСТ 57580.2
  • Ежемесячный пересмотр прав доступа
  • Полугодовое тестирование плана реагирования на инциденты
  • Ежегодное обучение сотрудников

Стоимость несоответствия

Несоответствие ГОСТ 57580 -- это не только риск предписания ЦБ. Последствия:

  • Предписание ЦБ РФ -- требование устранить нарушения в установленный срок
  • Ограничение операций -- ЦБ может ограничить отдельные виды деятельности
  • Отзыв лицензии -- в крайних случаях для банков
  • Репутационный ущерб -- публикация информации о нарушениях
  • Ответственность руководства -- персональная ответственность за несоблюдение требований

Как VAHREST помогает с ГОСТ 57580

VAHREST закрывает технические требования стандарта в части безопасности API:

Автоматизированная оценка. Сканирование по всем 10 категориям OWASP API Top 10, которые покрывают требования направлений УД, ЦЗИ, ПУИ, ЗВС.

Маппинг на стандарт. Каждая обнаруженная уязвимость автоматически маппируется на конкретные требования ГОСТ 57580.1, что упрощает подготовку к аудиту.

Отчёт для аудитора. Генерация compliance-отчёта в формате, ожидаемом аудиторами по ГОСТ 57580.2. Включает свидетельства выполнения технических мер.

Регулярное сканирование. Настройка расписания для ежеквартального сканирования -- демонстрация непрерывного контроля, как требует стандарт.

Инвентаризация API. Автоматическое обнаружение эндпоинтов для выполнения требований по управлению активами.

Итоги

ГОСТ 57580 -- не формальность, а реальный фреймворк защиты финансовой информации. Для финтех-компаний, работающих через API, стандарт задаёт чёткие требования к безопасности интерфейсов.

Ключевое: автоматизация технических проверок экономит месяцы подготовки к аудиту. Один запуск VAHREST покрывает десятки требований стандарта и генерирует документацию, которую можно предъявить аудитору.

Попробуйте VAHREST бесплатно

Запустите compliance-сканирование вашего API и получите отчёт с маппингом на требования ГОСТ 57580. Оцените текущий уровень соответствия за часы, а не за недели.

Попробуйте VAHREST бесплатно

Зарегистрируйтесь и запустите первый пентест вашего API за 5 минут.

Начать бесплатно
Все статьи