Положение Банка России 382-П: требования, аудит и оценка соответствия
Положение ЦБ РФ 382-П от 9 июня 2012 года относится к числу базовых правил информационной безопасности для организаций, связанных с денежными переводами. Под его действие попадают операторы платежных систем и услуг платежной инфраструктуры, операторы денежных переводов, банковские субагенты.
Все они обязаны соблюдать 382-П, а в случае привлечения сторонних подрядчиков контролировать их деятельность.
Общий обзор и требования 382-П
Защита информации, согласно постановлению 382-П, является комплексной задачей и включает:
- Организационные меры (подготовка документации, формирование служб инфобезопасности, назначение ответственных);
- Технические решения (использование программно-аппаратных средств, защищенных от физического воздействия и заражения вредоносным кодом);
- Средства криптографической защиты (СКЗИ);
- Информационные меры, которые, в свою очередь, включают повышение уровня знаний собственных работников, информирование клиентов о потенциальных рисках, сбор данных об инцидентах ИБ с последующей передачей в ЦБ РФ;
- Защиту банкоматов и платежных терминалов (их классификацию, порядок настройки и контроль состояния, применение средств, выявляющих незаконно установленное оборудование);
- Непрерывный мониторинг выполнения требований;
- Оценку соответствия постановлению 382-П;
- Разработку мер по совершенствованию защиты данных.
Тестирование на проникновение согласно 382-П
Обязательный ежегодный пентест и анализ уязвимостей информационной инфраструктуры введен указанием Банка России № 4793-У от 7 мая 2018 года. Тест на проникновение банки могут выполнять самостоятельно, а для поиска уязвимостей в ПО следует привлекать сторонние организации, лицензированные ФСБ и ФСТЭК на работу с СКЗИ.
Часто такому специализированному подрядчику поручают весь комплекс работ — пентест + анализ уязвимостей.
Оценка соответствия 382-П
Положение устанавливает периодичность оценки раз в 2 года, или по запросу ЦБ РФ. Для вновь созданных организаций срок анализа установлен через 6 месяцев после получения статуса оператора по переводу денежных средств. Согласно первоначальному тексту, компания могла выполнять проверку самостоятельно или силами независимых подрядчиков. После выхода указания № 4793-У привлечение сторонних аудиторов, имеющих лицензию ФСТЭК, стало необходимым условием.
Оценка включает:
- анализ документации;
- проверку технических средств;
- контроль исполнения требований, в том числе наблюдение и беседы с персоналом.
По результатам проверки заполняются формы 1 и 2, установленные приложением 382-П, и рассчитывается степень соответствия. Изначально проверке подлежали 129 пунктов, с внесением ряда изменений их число выросло до 170.
Для фирм, не соответствующих требованиям 382-П по защите данных, распространена практика предварительного и окончательного аудита. На первом этапе выявляются основные пункты несоответствия, выполняющая оценку компания готовит перечень рекомендаций по устранению, который прикладывается к основному отчету.
Сформированные по итогам тестов нормативные акты отправляются в Центробанк. Во многих случаях этого достаточно, но, при сомнениях, ЦБ может направить в компанию собственных инспекторов или затребовать дополнительные материалы.
Помимо специализированных инспекций, оценка соответствия правилам 382-П может стать частью комплексной проверки на выполнение закона о противодействии отмыванию нелегальных денежных средств и других требований.
С момента опубликования и вступления в силу (1 июля 2012 года) в документ внесли 3 значимых изменения указаниями Центробанка № 3007-У, № 3361-У и № 4793-У. Скачать положение 382-П в последней редакции можно по этой ссылке.
Помимо собственного текста документ опирается на законы № 152-ФЗ от 27.07.2006 и № 161-ФЗ от 27.06.2011, положения и приказы ФСБ и ФСТЭК об СКЗИ.
Аудит 382-П в Literafort
Literafort имеет все необходимые лицензии на работу с СКЗИ и обеспечение защиты информации от ФСБ и ФСТЭК, готовы провести анализ уязвимостей ПО и пентест в рамках 382-П или как отдельную задачу.
Мы выполним предварительный аудит, составим список рекомендаций по устранению недостатков, подготовим окончательный отчет, который позволит компании избежать каких-либо санкций со стороны регулятора.
Помимо анализа по 382-П наши эксперты работают с 683-П и 684-П, ГОСТ Р 57580, другим требованиям по защите информации в финансовом секторе.
Заказать оценку по 382-П вы можете по телефону или отправив запрос на электронную почту. Эксперты Literafort готовы приступить к работе в течение 12 часов после получения заявки.
Фролов Сергей Николаевич
Специалист по информационной безопасности
Аксенов Максим Валерьевич
Специалист по информационной безопасности
Наши преимущества
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективные сроки
Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.
Стоимость по оценке соответствия по 382-П
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
Оценка соответствия по 382-П (от 6 недель) |
от 270000 руб. |