Положение Банка России 382-П: требования, аудит и оценка соответствия

Общий обзор и требования 382-П

Защита информации, согласно постановлению 382-П, является комплексной задачей и включает:

• Организационные меры (подготовка документации, формирование служб инфобезопасности, назначение ответственных);
• Технические решения (использование программно-аппаратных средств, защищенных от физического воздействия и заражения вредоносным кодом);
• Средства криптографической защиты (СКЗИ);
• Информационные меры, которые, в свою очередь, включают повышение уровня знаний собственных работников, информирование клиентов о потенциальных рисках, сбор данных об инцидентах ИБ с последующей передачей в ЦБ РФ;
• Защиту банкоматов и платежных терминалов (их классификацию, порядок настройки и контроль состояния, применение средств, выявляющих незаконно установленное оборудование);
• Непрерывный мониторинг выполнения требований;
• Оценку соответствия постановлению 382-П;
• Разработку мер по совершенствованию защиты данных.

Тестирование на проникновение согласно 382-П

Обязательный ежегодный пентест и анализ уязвимостей информационной инфраструктуры введен указанием Банка России № 4793-У от 7 мая 2018 года. Тест на проникновение банки могут выполнять самостоятельно, а для поиска уязвимостей в ПО следует привлекать сторонние организации, лицензированные ФСБ и ФСТЭК на работу с СКЗИ.

Часто такому специализированному подрядчику поручают весь комплекс работ — пентест + анализ уязвимостей.

Оценка соответствия 382-П

Положение устанавливает периодичность оценки раз в 2 года, или по запросу ЦБ РФ. Для вновь созданных организаций срок анализа установлен через 6 месяцев после получения статуса оператора по переводу денежных средств. Согласно первоначальному тексту, компания могла выполнять проверку самостоятельно или силами независимых подрядчиков. После выхода указания № 4793-У привлечение сторонних аудиторов, имеющих лицензию ФСТЭК, стало необходимым условием.

Оценка включает:

• анализ документации;
• проверку технических средств;
• контроль исполнения требований, в том числе наблюдение и беседы с персоналом.

По результатам проверки заполняются формы 1 и 2, установленные приложением 382-П, и рассчитывается степень соответствия. Изначально проверке подлежали 129 пунктов, с внесением ряда изменений их число выросло до 170.

Для фирм, не соответствующих требованиям 382-П по защите данных, распространена практика предварительного и окончательного аудита. На первом этапе выявляются основные пункты несоответствия, выполняющая оценку компания готовит перечень рекомендаций по устранению, который прикладывается к основному отчету.

Сформированные по итогам тестов нормативные акты отправляются в Центробанк. Во многих случаях этого достаточно, но, при сомнениях, ЦБ может направить в компанию собственных инспекторов или затребовать дополнительные материалы.

Помимо специализированных инспекций, оценка соответствия правилам 382-П может стать частью комплексной проверки на выполнение закона о противодействии отмыванию нелегальных денежных средств и других требований.

С момента опубликования и вступления в силу (1 июля 2012 года) в документ внесли 3 значимых изменения указаниями Центробанка № 3007-У, № 3361-У и № 4793-У. Скачать положение 382-П в последней редакции можно по этой ссылке.

Помимо собственного текста документ опирается на законы № 152-ФЗ от 27.07.2006 и № 161-ФЗ от 27.06.2011, положения и приказы ФСБ и ФСТЭК об СКЗИ.

Аудит 382-П в Literafort

Literafort имеет все необходимые лицензии на работу с СКЗИ и обеспечение защиты информации от ФСБ и ФСТЭК, готовы провести анализ уязвимостей ПО и пентест в рамках 382-П или как отдельную задачу.

Мы выполним предварительный аудит, составим список рекомендаций по устранению недостатков, подготовим окончательный отчет, который позволит компании избежать каких-либо санкций со стороны регулятора.

Помимо анализа по 382-П наши эксперты работают с 683-П и 684-П, ГОСТ Р 57580, другим требованиям по защите информации в финансовом секторе.

Заказать оценку по 382-П вы можете по телефону или отправив запрос на электронную почту. Эксперты Literafort готовы приступить к работе в течение 12 часов после получения заявки.