Описание
Оценка соответствия позволяет понять, насколько информационные системы клиента соответствуют требованиям Положения ЦБ РФ № 382-П от 9 июня 2012 года. Учитывая установленные нормы, компании, оказывающие услуги по переводу денежных средств, должны проходить аудиторскую оценку не менее чем раз в два года.
ITGLOBAL.COM оказывает услугу по оценке соответствия № 382-П и предоставляет заказчику итоговые результаты, оформляя отчетные документы по форме, определенной Положением. По итогам оценки вам остается только подать данные в Банк России.
Проверка соответствия может проводиться с учетом новых Положений Банка России № 672-П и 683-П, а также ГОСТ Р 57580.1-2017.
Подробнее о положении 382-П
Положение ЦБ РФ от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» — документ, в котором прописаны требования, необходимые для обеспечения безопасности при переводах денежных средств и порядок проведения работ по оценке соответствия установленным требованиям.
Положение Центрального банка Российской Федерации обязаны соблюдать
Вариант № 1 — обычная оценка соответствия
-
Выезд на обследование
- Изучаем внутреннюю нормативную документацию заказчика
- Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
- Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.
- По итогам аудита предлагаем устные рекомендации по улучшению системы информационной безопасности
Срок от 2 до 10 дней
-
Подготовка отчета по форме ЦБ
- На основании проведенного анализа определяем, соответствуют ли применяемые меры и используемые средства требованиям Положения.
- Вычисляем итоговые показатели оценки соответствия — EV1, EV2 и R.
- Готовим итоговую отчетную документацию по установленной форме.
Срок до 20 дней
Вариант № 2 — с предварительной оценкой соответствия
-
-
Выезд на обследование
- Изучаем внутреннюю нормативную документацию заказчика
- Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
- Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.
Срок от 2 до 10 дней
К проверке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла, в рамках лучших мировых практик.
-
Подготовка рекомендаций
- Готовим документ, в котором описываем подробные рекомендации по улучшению системы информационной безопасности.
- Ждем от клиента готовности к финальному аудиту.
Срок до 20 дней
-
Финальная оценка соответствия
Проверяем проделанную заказчиком работу по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения.
-
Подготовка отчета по форме ЦБ
-
-
- Вычисляем итоговые показатели оценки соответствия — EV1, EV2 и R.
- Готовим итоговую отчетную документацию по установленной форме.
-
Срок до 20 дней
-
-
К проверке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла, в рамках лучших мировых практик.
Положение 382-П определяет требования, применимые к перечисленным действиям при переводе денежных средств
Назначение и распределение ролей
Управление жизненным циклом объектов ИТ-инфраструктуры
Управление доступом к объектам ИТ-инфраструктуры
Защита от вредоносного программного обеспечения
Защита информации при использовании сети Интернет
Криптографическая защита информации
Использование технологических и организационных мер защиты информации
Организация и функционирование службы информационной безопасности
Повышение осведомленности работников в области ИБ
Управление инцидентами ИБ
Определение и реализация порядка обеспечения защиты информации
Оценка выполнения требований к обеспечению защиты информации
Информирование оператора платежной системы о системе защиты информации, применяемой для защиты платежной системы
Совершенствование обеспечения информационной безопасности
Обеспечения информационной безопасности
Согласно Постановлению 382-П необходимо защищать информацию:
Об остатках денежных средств на счетах
Об остатках электронных денежных средств
О совершенных переводах денежных средств
О платежных клиринговых позициях
О ключевой информации СКЗИ
О данных держателях платежных карт
О ПДн и иная информация, обрабатываемая в результате перевода денежных средств, которую необходимо защищать согласно требованиям законодательства РФ
О параметрах и конфигурации автоматизированных систем, ПО, средств вычислительной техники, используемой для обработки защищаемой информации
Что получает клиент
Что мы предлагаем
Наши эксперты готовы
По запросу клиента могут быть оказаны дополнительные услуги:
Услуга подходит для
Почему ITGLOBAL.COM
Многолетний опыт в сфере информационной безопасности. ITGLOBAL.COM неоднократно проходил аудиты по PCI DSS, имеет сертификат ISO 27001 и подтверждённый опыт работы в сфере аудиторской деятельности
К оценке соответствия подходим не только с формальной точки зрения, но и с учетом здравого смысла и выполнением заложенных целей, прописанных в Положении 382-П
Для оценки соответствия привлекаем минимально необходимое количество сотрудников заказчика – ценим ваше рабочее время
Сотрудники ITGLOBAL.COM имеют профильное образование в области ИБ, обладают компетенциями для оценки соответствия требованиям Положения 382-П
Экспертиза
Наши клиенты
