Обзор Положения 382-П
12 Май 2020
На замену Положению Банка России 382-П с 1 января 2022 года вступило в силу Положение 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
9 июня 2012 года Банком России было утверждено Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 382-П).
На кого распространяется?
Положение 382-П распространяется на:
- операторов платежных систем (ОПС);
- операторов услуг платежной инфраструктуры (ОУПИ);
- операторов по переводу денежных средств (ОПДС);
- банковских платежных агентов (субагентов) (БПА).
Что требует Положение 382-П?
В документе имеется около 200 требований к защите информации, которые, в свою очередь, можно разбить на разделы:
назначение и распределение функциональных прав и обязанностей (ролей);
- защита информации на стадиях жизненного цикла;
- доступ к объектам информационной инфраструктуры;
- защита от вредоносного кода;
- требования к защите информации при использовании сети Интернет;
- защита информации при использовании СКЗИ;
- технологические меры защиты информации;
- требования к службе ИБ;
- повышение осведомленности в области ИБ;
- выявление и реагирование на инциденты;
- определение и реализация порядка обеспечения защиты информации;
- оценка выполнения требований к обеспечению защиты информации;
- информирование ОПС;
- совершенствование;
- защита банкоматов и платежных терминалов (ТУ ДБО);
- защита платежных карт.
Также в Положении можно увидеть требования, содержащие дополнительные ресурсозатратные работы:
Как проводится аудит?
Оценка соответствия 382-П должна проводиться не реже одного раза в два года с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. Положение действует до сих пор. А это значит, что если предыдущая оценка проводилась в 2019 году, то в 2021 году оценку также необходимо проводить.
Перед сбором свидетельств определяется перечень объектов информационной инфраструктуры, используемых для осуществления переводов денежных средств и перечень применяемых средств защиты информации.
После определения области проверки осуществляется сбор свидетельств выполнения требований к обеспечению защиты информации. В качестве свидетельств могут выступать:
- организационно-распорядительная документация;
- наблюдения аудитора при проведении оценки;
- результаты опроса сотрудников проверяемой организации;
- технические и программные средства сбора свидетельств (электронные журналы, фактические настройки и пр.).
При выставлении оценки аудитор руководствуется Приложением 1 к Положению 382-П. В зависимости от категории требования (она может быть 1, 2 или 3) может быть выставлена оценка 0, 0.25, 0.5, 0.75, 1. Затем после простановки значений вычисляются два показателя выполнения группы требований к обеспечению защиты информации, среди которых выбирается минимальное значение и принимается конечной оценкой. Значение итогового показателя сопоставляют значению качественной оценки:
- меньше 0.5 – неудовлетворительная;
- больше или равно 0.5 и меньше 0.7 – сомнительная;
- больше или равно 0.70 и меньше 0.85 – удовлетворительная;
- больше или равно 0.85 – хорошая.
Удовлетворительной считается оценка, итоговое значение которой равно или превышает 0.7.
По результатам проведения оценки соответствия формируется отчет. Требования к отчету также имеются, он должен содержать:
- Форму 1, установленную Приложением 1 к Положению 382-П;
- Форму 2, установленную Приложением 1 к Положению 382-П;
- сроки проведения оценки соответствия;
- сведения об организации, привлекаемой для проведения оценки соответствия.
Услуги для Вас
Оценка соответствия по 719-П
Оценка соответствия требованиям Положения Банка России №719-П
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееОценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееОценка соответствия по 672-П (747-П)
Оценка соответствия требованиям Положения Банка России №672-П (747-П)
ПодробнееАудит ЕБС (приказ № 930 Минкомсвязи России)
Оценка соответствия в сегменте Единой Биометрической Системы в соответствии с Приказом №930 Минкомсвязи России
Подробнее