Получить консультацию
Оставьте заявку в этой форме и наш специалист свяжется с вами в самое ближайшее время.

Оценка соответствия 382-П

В соответствии с положением Банка России от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств..."

Субъекты 382-П

Финансовые организации не реже 1 раза в 2 года должны проводить оценку соответствия (аудит) по 382-П.
1
Банки (операторы по переводу денежных средств)
2
Банковские платежные агенты
3
Операторы платежных систем
4
Операторы услуг платежной инфраструктуры

Что нужно для проведения оценки соответствия по 382-П?

Для проведения оценки соответствия по 382-П аудитору необходимо получить свидетельства выполнения требований:
Отчет по предыдущему аудиту по 382-П
1
Документы (политики, положения, инструкции)
2
Результаты интервьюирования
3
Технические данные из информационных систем
4
От полноты и качества сбора и оформления свидетельств аудита зависит результат оценки соответствия, а также общее качество отчета.
Сроки и этапы оценки по 382-П
Предварительная оценка
На данном этапе банк заполняет опросные листы, предоставляет документы и отвечает на уточняющие вопросы. Выдается предварительная оценка и рекомендации по первоочередным действиям по устранению недостатков.
Срок этапа: 2 недели
Сбор доказательств и исправление недостатков
Получение от банка доказательств ведения деятельности в банке (скриншоты, логи, журналы...). Параллельно банк устраняет недостатки и дорабатывает документы. Частичное заполнение формы 1.
Срок этапа: 2-4 недели
Выезд в банк
Аудитор на месте оценивает физическую защиту серверных, рейсовых комнат, хранение СКЗИ, видеонаблюдение, наличие оригиналов приказов, журналов, заявок, доступ в информационные системы и т.п. Оформляются анкеты сотрудников.
Срок этапа: 1-3 дня
Отчет
Аудитор готовит форы 1 и 2. Опросные листы подшиваются к отчету, электронные свидетельства (сканы документов, скриншоты, фото, логи) записываются на компакт-диск. Производится расчет оценки.
Срок этапа: 2 недели

Содержание отчета об оценке по 382-П

1
Аудитор
Сведения об аудиторской организации, о руководителе и членах аудиторской группы
2
Оцениваемая организация
Реквизиты организации, сотрудники сопровождавшие процесс оценки
3
Цель проведения оценки соответствия
4
Область оценки соответствия
5
Срок проведения оценки соответствия
6
Место проведения оценки соответствия
7
Методика оценки соответствия
8
Форма 1
Документирование результатов оценки соответствия
9
Форма 2
Документирование результатов вычислений обобщающих показателей
10
Опросные листы
11
Компакт-диск
Цифровые свидетельства аудита, опись компакт-диска
12
Рекомендации по устранению недостатков

Стоимость оценки по 382-П

Стоимость оценки по 382-П для каждого банка определяется индивидуально и зависит от:
1
Количество объектов информационной инфраструктуры
платежные и информационные системы, банкоматы, сервера, серверные и рейсовые помещения, филиалы банка, СКЗИ, средства защиты информации и др.
    2
    Транспортные расходы
    Если банк или его филиалы находятся не в Москве
    3
    Доработка документации
    Если банку необходима помощь с разработкой/доработкой организационно-распорядительных документов (положения, политики, инструкции)

    Лицензия ФСТЭК

    В соответствии с требованиями самого 382-П, проводить оценку соответствия могут организации, обладающие лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.