Обзор Положения 382-П

На замену Положению Банка России 382-П с 1 января 2022 года вступило в силу Положение 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

9 июня 2012 года Банком России было утверждено Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Положение 382-П).

На кого распространяется?

Положение 382-П распространяется на:

• операторов платежных систем (ОПС);
• операторов услуг платежной инфраструктуры (ОУПИ);
• операторов по переводу денежных средств (ОПДС);
• банковских платежных агентов (субагентов) (БПА).

Что требует Положение 382-П?

В документе имеется около 200 требований к защите информации, которые, в свою очередь, можно разбить на разделы:
назначение и распределение функциональных прав и обязанностей (ролей);

• защита информации на стадиях жизненного цикла;
• доступ к объектам информационной инфраструктуры;
• защита от вредоносного кода;
• требования к защите информации при использовании сети Интернет;
• защита информации при использовании СКЗИ;
• технологические меры защиты информации;
• требования к службе ИБ;
• повышение осведомленности в области ИБ;
• выявление и реагирование на инциденты;
• определение и реализация порядка обеспечения защиты информации;
• оценка выполнения требований к обеспечению защиты информации;
• информирование ОПС;
• совершенствование;
• защита банкоматов и платежных терминалов (ТУ ДБО);
• защита платежных карт.

Также в Положении можно увидеть требования, содержащие дополнительные ресурсозатратные работы:

• анализ уязвимостей ОУД4;
• ежегодное проведение тестирования на проникновение.

Как проводится аудит?

Оценка соответствия 382-П должна проводиться не реже одного раза в два года с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации. Положение действует до сих пор. А это значит, что если предыдущая оценка проводилась в 2019 году, то в 2021 году оценку также необходимо проводить.

Перед сбором свидетельств определяется перечень объектов информационной инфраструктуры, используемых для осуществления переводов денежных средств и перечень применяемых средств защиты информации.

После определения области проверки осуществляется сбор свидетельств выполнения требований к обеспечению защиты информации. В качестве свидетельств могут выступать:

• организационно-распорядительная документация;
• наблюдения аудитора при проведении оценки;
• результаты опроса сотрудников проверяемой организации;
• технические и программные средства сбора свидетельств (электронные журналы, фактические настройки и пр.).

При выставлении оценки аудитор руководствуется Приложением 1 к Положению 382-П. В зависимости от категории требования (она может быть 1, 2 или 3) может быть выставлена оценка 0, 0.25, 0.5, 0.75, 1. Затем после простановки значений вычисляются два показателя выполнения группы требований к обеспечению защиты информации, среди которых выбирается минимальное значение и принимается конечной оценкой. Значение итогового показателя сопоставляют значению качественной оценки:

• меньше 0.5 – неудовлетворительная;
• больше или равно 0.5 и меньше 0.7 – сомнительная;
• больше или равно 0.70 и меньше 0.85 – удовлетворительная;
• больше или равно 0.85 – хорошая.

Удовлетворительной считается оценка, итоговое значение которой равно или превышает 0.7.

По результатам проведения оценки соответствия формируется отчет. Требования к отчету также имеются, он должен содержать:

• Форму 1, установленную Приложением 1 к Положению 382-П;
• Форму 2, установленную Приложением 1 к Положению 382-П;
• сроки проведения оценки соответствия;
• сведения об организации, привлекаемой для проведения оценки соответствия.