Оценка соответствия 382-П

В соответствии с положением Банка России от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств..."

Субъекты 382-П

Финансовые организации не реже 1 раза в 2 года должны проводить оценку соответствия (аудит) по 382-П.
  • 1
    Банки (операторы по переводу денежных средств)
  • 2
    Банковские платежные агенты
  • 3
    Операторы платежных систем
  • 4
    Операторы услуг платежной инфраструктуры

Что нужно для проведения оценки соответствия по 382-П?

Для проведения оценки соответствия по 382-П аудитору необходимо получить свидетельства выполнения требований:
  • Отчет по предыдущему аудиту по 382-П
    1
  • Документы (политики, положения, инструкции)
    2
  • Результаты интервьюирования
    3
  • Технические данные из информационных систем
    4
От полноты и качества сбора и оформления свидетельств аудита зависит результат оценки соответствия, а также общее качество отчета.
Сроки и этапы оценки по 382-П
Предварительная оценка
На данном этапе банк заполняет опросные листы, предоставляет документы и отвечает на уточняющие вопросы. Выдается предварительная оценка и рекомендации по первоочередным действиям по устранению недостатков.
Срок этапа: 2 недели
Сбор доказательств и исправление недостатков
Получение от банка доказательств ведения деятельности в банке (скриншоты, логи, журналы...). Параллельно банк устраняет недостатки и дорабатывает документы. Частичное заполнение формы 1.
Срок этапа: 2-4 недели
Выезд в банк
Аудитор на месте оценивает физическую защиту серверных, рейсовых комнат, хранение СКЗИ, видеонаблюдение, наличие оригиналов приказов, журналов, заявок, доступ в информационные системы и т.п. Оформляются анкеты сотрудников.
Срок этапа: 1-3 дня
Отчет
Аудитор готовит форы 1 и 2. Опросные листы подшиваются к отчету, электронные свидетельства (сканы документов, скриншоты, фото, логи) записываются на компакт-диск. Производится расчет оценки.
Срок этапа: 2 недели

Содержание отчета об оценке по 382-П

  • 1
    Аудитор
    Сведения об аудиторской организации, о руководителе и членах аудиторской группы
  • 2
    Оцениваемая организация
    Реквизиты организации, сотрудники сопровождавшие процесс оценки
  • 3
    Цель проведения оценки соответствия
  • 4
    Область оценки соответствия
  • 5
    Срок проведения оценки соответствия
  • 6
    Место проведения оценки соответствия
  • 7
    Методика оценки соответствия
  • 8
    Форма 1
    Документирование результатов оценки соответствия
  • 9
    Форма 2
    Документирование результатов вычислений обобщающих показателей
  • 10
    Опросные листы
  • 11
    Компакт-диск
    Цифровые свидетельства аудита, опись компакт-диска
  • 12
    Рекомендации по устранению недостатков

Стоимость оценки по 382-П

Стоимость оценки по 382-П для каждого банка определяется индивидуально и зависит от:
1
Количество объектов информационной инфраструктуры
платежные и информационные системы, банкоматы, сервера, серверные и рейсовые помещения, филиалы банка, СКЗИ, средства защиты информации и др.
    2
    Транспортные расходы
    Если банк или его филиалы находятся не в Москве
    3
    Доработка документации
    Если банку необходима помощь с разработкой/доработкой организационно-распорядительных документов (положения, политики, инструкции)

    Лицензия ФСТЭК

    В соответствии с требованиями самого 382-П, проводить оценку соответствия могут организации, обладающие лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.