Положение Банка России 382-П: требования, аудит и оценка соответствия

Положение ЦБ РФ 382-П от 9 июня 2012 года относится к числу базовых правил информационной безопасности для организаций, связанных с денежными переводами. Под его действие попадают операторы платежных систем и услуг платежной инфраструктуры, операторы денежных переводов, банковские субагенты.
Все они обязаны соблюдать 382-П, а в случае привлечения сторонних подрядчиков контролировать их деятельность.
Общий обзор и требования 382-П
Защита информации, согласно постановлению 382-П, является комплексной задачей и включает:
- Организационные меры (подготовка документации, формирование служб инфобезопасности, назначение ответственных);
- Технические решения (использование программно-аппаратных средств, защищенных от физического воздействия и заражения вредоносным кодом);
- Средства криптографической защиты (СКЗИ);
- Информационные меры, которые, в свою очередь, включают повышение уровня знаний собственных работников, информирование клиентов о потенциальных рисках, сбор данных об инцидентах ИБ с последующей передачей в ЦБ РФ;
- Защиту банкоматов и платежных терминалов (их классификацию, порядок настройки и контроль состояния, применение средств, выявляющих незаконно установленное оборудование);
- Непрерывный мониторинг выполнения требований;
- Оценку соответствия постановлению 382-П;
- Разработку мер по совершенствованию защиты данных.
Тестирование на проникновение согласно 382-П
Обязательный ежегодный пентест и анализ уязвимостей информационной инфраструктуры введен указанием Банка России № 4793-У от 7 мая 2018 года. Тест на проникновение банки могут выполнять самостоятельно, а для поиска уязвимостей в ПО следует привлекать сторонние организации, лицензированные ФСБ и ФСТЭК на работу с СКЗИ.
Часто такому специализированному подрядчику поручают весь комплекс работ — пентест + анализ уязвимостей.
Оценка соответствия 382-П
Положение устанавливает периодичность оценки раз в 2 года, или по запросу ЦБ РФ. Для вновь созданных организаций срок анализа установлен через 6 месяцев после получения статуса оператора по переводу денежных средств. Согласно первоначальному тексту, компания могла выполнять проверку самостоятельно или силами независимых подрядчиков. После выхода указания № 4793-У привлечение сторонних аудиторов, имеющих лицензию ФСТЭК, стало необходимым условием.
Оценка включает:
- анализ документации;
- проверку технических средств;
- контроль исполнения требований, в том числе наблюдение и беседы с персоналом.
По результатам проверки заполняются формы 1 и 2, установленные приложением 382-П, и рассчитывается степень соответствия. Изначально проверке подлежали 129 пунктов, с внесением ряда изменений их число выросло до 170.
Для фирм, не соответствующих требованиям 382-П по защите данных, распространена практика предварительного и окончательного аудита. На первом этапе выявляются основные пункты несоответствия, выполняющая оценку компания готовит перечень рекомендаций по устранению, который прикладывается к основному отчету.
Сформированные по итогам тестов нормативные акты отправляются в Центробанк. Во многих случаях этого достаточно, но, при сомнениях, ЦБ может направить в компанию собственных инспекторов или затребовать дополнительные материалы.
Помимо специализированных инспекций, оценка соответствия правилам 382-П может стать частью комплексной проверки на выполнение закона о противодействии отмыванию нелегальных денежных средств и других требований.
С момента опубликования и вступления в силу (1 июля 2012 года) в документ внесли 3 значимых изменения указаниями Центробанка № 3007-У, № 3361-У и № 4793-У. Скачать положение 382-П в последней редакции можно по этой ссылке.
Помимо собственного текста документ опирается на законы № 152-ФЗ от 27.07.2006 и № 161-ФЗ от 27.06.2011, положения и приказы ФСБ и ФСТЭК об СКЗИ.
Аудит 382-П в Literafort
Literafort имеет все необходимые лицензии на работу с СКЗИ и обеспечение защиты информации от ФСБ и ФСТЭК, готовы провести анализ уязвимостей ПО и пентест в рамках 382-П или как отдельную задачу.
Мы выполним предварительный аудит, составим список рекомендаций по устранению недостатков, подготовим окончательный отчет, который позволит компании избежать каких-либо санкций со стороны регулятора.
Помимо анализа по 382-П наши эксперты работают с 683-П и 684-П, ГОСТ Р 57580, другим требованиям по защите информации в финансовом секторе.
Заказать оценку по 382-П вы можете по телефону или отправив запрос на электронную почту. Эксперты Literafort готовы приступить к работе в течение 12 часов после получения заявки.
Наши преимущества
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективные сроки
Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.
Стоимость по оценке соответствия по 382-П
Услуга | Стоимость |
---|---|
Консультация |
бесплатно |
Оценка соответствия по 382-П (от 6 недель) |
от 270000 руб. |