Обзор Положения 382-П

Обзор Положения 382-П

9 июня 2012 года Банком России было утверждено Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 382-П).

На кого распространяется?

Положение 382-П распространяется на:

  • операторов платежных систем (ОПС);
  • операторов услуг платежной инфраструктуры (ОУПИ);
  • операторов по переводу денежных средств (ОПДС);
  • банковских платежных агентов (субагентов) (БПА).

Что требует Положение 382-П?

В документе имеется около 200 требований к защите информации, которые, в свою очередь, можно разбить на разделы:
назначение и распределение функциональных прав и обязанностей (ролей);

  • защита информации на стадиях жизненного цикла;
  • доступ к объектам информационной инфраструктуры;
  • защита от вредоносного кода;
  • требования к защите информации при использовании сети Интернет;
  • защита информации при использовании СКЗИ;
  • технологические меры защиты информации;
  • требования к службе ИБ;
  • повышение осведомленности в области ИБ;
  • выявление и реагирование на инциденты;
  • определение и реализация порядка обеспечения защиты информации;
  • оценка выполнения требований к обеспечению защиты информации;
  • информирование ОПС;
  • совершенствование;
  • защита банкоматов и платежных терминалов (ТУ ДБО);
  • защита платежных карт.

Также в Положении можно увидеть требования, содержащие дополнительные ресурсозатратные работы:

Как проводится аудит?

Оценка соответствия 382-П должна проводиться не реже одного раза в два года с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. Положение действует до сих пор. А это значит, что если предыдущая оценка проводилась в 2019 году, то в 2021 году оценку также необходимо проводить.

Перед сбором свидетельств определяется перечень объектов информационной инфраструктуры, используемых для осуществления переводов денежных средств и перечень применяемых средств защиты информации.

После определения области проверки осуществляется сбор свидетельств выполнения требований к обеспечению защиты информации. В качестве свидетельств могут выступать:

  • организационно-распорядительная документация;
  • наблюдения аудитора при проведении оценки;
  • результаты опроса сотрудников проверяемой организации;
  • технические и программные средства сбора свидетельств (электронные журналы, фактические настройки и пр.).

При выставлении оценки аудитор руководствуется Приложением 1 к Положению 382-П. В зависимости от категории требования (она может быть 1, 2 или 3) может быть выставлена оценка 0, 0.25, 0.5, 0.75, 1. Затем после простановки значений вычисляются два показателя выполнения группы требований к обеспечению защиты информации, среди которых выбирается минимальное значение и принимается конечной оценкой. Значение итогового показателя сопоставляют значению качественной оценки:

  • меньше 0.5 – неудовлетворительная;
  • больше или равно 0.5 и меньше 0.7 – сомнительная;
  • больше или равно 0.70 и меньше 0.85 – удовлетворительная;
  • больше или равно 0.85 – хорошая.

Удовлетворительной считается оценка, итоговое значение которой равно или превышает 0.7.

По результатам проведения оценки соответствия формируется отчет. Требования к отчету также имеются, он должен содержать:

  • Форму 1, установленную Приложением 1 к Положению 382-П;
  • Форму 2, установленную Приложением 1 к Положению 382-П;
  • сроки проведения оценки соответствия;
  • сведения об организации, привлекаемой для проведения оценки соответствия.
Фролов Сергей Николаевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Оценка соответствия по 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Оценка соответствия по 683-П

Оценка соответствия требованиям Положения Банка России №683-П

Подробнее

Оценка соответствия по 672-П (747-П)

Оценка соответствия требованиям Положения Банка России №672-П (747-П)

Подробнее

Аудит ЕБС (приказ № 321 Минкомсвязи России)

Оценка соответствия в сегменте Единой Биометрической Системы в соответствии с Приказом №321 Минкомсвязи России

Подробнее