Оценка соответствия требованиям 382-П

Оценка соответствия требованиям Положения Банка России № 382-П

В соответствии с Федеральным законом от 27.06.2011 № 161-ФЗ «О национальной платёжной системе», нормативными актами Банка России на банк, как на оператора по переводу денежных средств, распространяются требования по обеспечению защиты информации при осуществлении переводов денежных средств.

Требованиями Положения Банка России № 382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (в редакции Указаний Банка России № 3007-У от 05.06.2013, № 3361-У от 14.08.2014, № 4793-У от 7.05.2018) предусмотрена необходимость регулярного проведения работ по оценке соответствия установленным требованиям.

Указанием Банка России № 4793-У от 7.05.2018 внесены изменения в состав требований Положения Банка России № 382-П, включая установление необходимости проведения оценки соответствия только с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности.

Характер требований Положения Банка России № 382-П выходит далеко за регламентацию отдельных областей и продвигает философию защиты бизнеса банка от разнообразных рисков в информационной сфере, число которых неуклонно растет.

С 2016 г. к надзору по требованиям Положения № 382-П подключился ФИНЦерт Банка России (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, структурное подразделение Департамента информационной безопасности Банка России).

Состав работ по оценке соответствия требованиям Положения № 382-П

Объем оцениваемых требований Положения Банка России № 382-П насчитывает порядка 170 показателей оценки.

В целом процесс оценки соответствия, осуществляемый на соответствие требованиям Положения № 382-П идентичен процессу оценки соответствия по требованиям СТО БР ИББС-1.0, и включает:

  • подготовительный этап;

  • работу на объекте заказчика;

  • итоговое оформление результатов работ.

На подготовительном этапе осуществляется:

  • дополнительный запрос и предоставление заказчиком документов, которые могут быть источниками свидетельств;

  • уточнение и согласование с заказчиком границ оценки соответствия требованиям Положения Банка России №382-П.

  • уточнение и согласование с заказчиком состава неоцениваемых требований;

  • определение необходимых свидетельств оценки выполнения требований;

  • иные действия, которые будут признаны уместными.

Работа на объекте заказчика включает формирование базы первичных источников данных наблюдения, являющихся источниками свидетельств для оценки соответствия.

Для сбора свидетельств применяются следующие способы:

  • документальная проверка, устанавливающая наличие в банке документационного обеспечения, а также выявляющая наличие документированных свидетельств фактического выполнения вышеуказанной деятельности в банке;

  • опрос уполномоченных работников банка (персонала службы безопасности и при необходимости иных структурных подразделений банка), в компетенцию которых входит оцениваемая деятельность;

  • наблюдение за реализацией практической деятельности по защите информации.

Указанные способы сбора свидетельств оценки интерпретируются в терминах категорий проверки, установленных требованиями Положения Банка России № 382-П.

Итоговое оформление результатов работ по их составу, форме и содержанию осуществляется в соответствии с требованиями Положения Банка России № 382-П.