Положение Банка России 382-П: требования, аудит и оценка соответствия

Аудит 382-П

Положение ЦБ РФ 382-П от 9 июня 2012 года относится к числу базовых правил информационной безопасности для организаций, связанных с денежными переводами. Под его действие попадают операторы платежных систем и услуг платежной инфраструктуры, операторы денежных переводов, банковские субагенты.

Все они обязаны соблюдать 382-П, а в случае привлечения сторонних подрядчиков контролировать их деятельность.

Заказать услуги по оценке соответствия по 382-П

Общий обзор и требования 382-П

Защита информации, согласно постановлению 382-П, является комплексной задачей и включает:

  • Организационные меры (подготовка документации, формирование служб инфобезопасности, назначение ответственных);
  • Технические решения (использование программно-аппаратных средств, защищенных от физического воздействия и заражения вредоносным кодом);
  • Средства криптографической защиты (СКЗИ);
  • Информационные меры, которые, в свою очередь, включают повышение уровня знаний собственных работников, информирование клиентов о потенциальных рисках, сбор данных об инцидентах ИБ с последующей передачей в ЦБ РФ;
  • Защиту банкоматов и платежных терминалов (их классификацию, порядок настройки и контроль состояния, применение средств, выявляющих незаконно установленное оборудование);
  • Непрерывный мониторинг выполнения требований;
  • Оценку соответствия постановлению 382-П;
  • Разработку мер по совершенствованию защиты данных.

Тестирование на проникновение согласно 382-П

Обязательный ежегодный пентест и анализ уязвимостей информационной инфраструктуры введен указанием Банка России № 4793-У от 7 мая 2018 года. Тест на проникновение банки могут выполнять самостоятельно, а для поиска уязвимостей в ПО следует привлекать сторонние организации, лицензированные ФСБ и ФСТЭК на работу с СКЗИ.

Часто такому специализированному подрядчику поручают весь комплекс работ — пентест + анализ уязвимостей.

Оценка соответствия 382-П

Положение устанавливает периодичность оценки раз в 2 года, или по запросу ЦБ РФ. Для вновь созданных организаций срок анализа установлен через 6 месяцев после получения статуса оператора по переводу денежных средств. Согласно первоначальному тексту, компания могла выполнять проверку самостоятельно или силами независимых подрядчиков. После выхода указания № 4793-У привлечение сторонних аудиторов, имеющих лицензию ФСТЭК, стало необходимым условием.

Оценка включает:

  • анализ документации;
  • проверку технических средств;
  • контроль исполнения требований, в том числе наблюдение и беседы с персоналом.

По результатам проверки заполняются формы 1 и 2, установленные приложением 382-П, и рассчитывается степень соответствия. Изначально проверке подлежали 129 пунктов, с внесением ряда изменений их число выросло до 170.

Для фирм, не соответствующих требованиям 382-П по защите данных, распространена практика предварительного и окончательного аудита. На первом этапе выявляются основные пункты несоответствия, выполняющая оценку компания готовит перечень рекомендаций по устранению, который прикладывается к основному отчету.

Сформированные по итогам тестов нормативные акты отправляются в Центробанк. Во многих случаях этого достаточно, но, при сомнениях, ЦБ может направить в компанию собственных инспекторов или затребовать дополнительные материалы.

Помимо специализированных инспекций, оценка соответствия правилам 382-П может стать частью комплексной проверки на выполнение закона о противодействии отмыванию нелегальных денежных средств и других требований.

С момента опубликования и вступления в силу (1 июля 2012 года) в документ внесли 3 значимых изменения указаниями Центробанка № 3007-У, № 3361-У и № 4793-У. Скачать положение 382-П в последней редакции можно по этой ссылке.

Помимо собственного текста документ опирается на законы № 152-ФЗ от 27.07.2006 и № 161-ФЗ от 27.06.2011, положения и приказы ФСБ и ФСТЭК об СКЗИ.

Аудит 382-П в Literafort

Literafort имеет все необходимые лицензии на работу с СКЗИ и обеспечение защиты информации от ФСБ и ФСТЭК, готовы провести анализ уязвимостей ПО и пентест в рамках 382-П или как отдельную задачу.

Мы выполним предварительный аудит, составим список рекомендаций по устранению недостатков, подготовим окончательный отчет, который позволит компании избежать каких-либо санкций со стороны регулятора.

Помимо анализа по 382-П наши эксперты работают с 683-П и 684-П, ГОСТ Р 57580, другим требованиям по защите информации в финансовом секторе.

Заказать оценку по 382-П вы можете по телефону или отправив запрос на электронную почту. Эксперты Literafort готовы приступить к работе в течение 12 часов после получения заявки.

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Подробно о специалисте

Наши преимущества

Конкурентные цены

Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

Объективные сроки

Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

Компетентные специалисты

Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

Стоимость по оценке соответствия по 382-П

Услуга Стоимость

Консультация

бесплатно

Оценка соответствия по 382-П (от 6 недель)

от 270000 руб.

Свяжитесь с нами

    Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Услуги для Вас

    Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

    Подробнее

    Оценка соответствия по 683-П

    Оценка соответствия требованиям Положения Банка России №683-П

    Подробнее

    ГОСТ Р 57580

    Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

    Подробнее

    Оценка соответствия по 757-П (684-П)

    Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)

    Подробнее

    Пентест (pentest)

    Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

    Подробнее

    Оценка соответствия по 672-П (747-П)

    Оценка соответствия требованиям Положения Банка России №672-П (747-П)

    Подробнее