Оценка соответствия 382-П

Объективная оценка текущего состояния безопасности информационных систем в рамках Положения Банка России № 382-П

Оценка соответствия 382-П

Описание

Оценка соответствия позволяет понять, насколько информационные системы клиента соответствуют требованиям Положения ЦБ РФ № 382-П от 9 июня 2012 года. Учитывая установленные нормы, компании, оказывающие услуги по переводу денежных средств, должны проходить аудиторскую оценку не менее чем раз в два года.

ITGLOBAL.COM оказывает услугу по оценке соответствия № 382-П и предоставляет заказчику итоговые результаты, оформляя отчетные документы по форме, определенной Положением.
По итогам оценки вам остается только подать данные в Банк России.

Проверка соответствия может проводиться с учетом новых Положений Банка России № 672-П и 683-П, а также ГОСТ Р 57580.1-2017.

Подробнее
о положении 382-П

Положение ЦБ РФ от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» — документ, в котором прописаны требования, необходимые для обеспечения безопасности при переводах денежных средств и порядок проведения работ по оценке соответствия установленным требованиям.

Положение Центрального банка
Российской Федерации обязаны соблюдать

Банковские организации
Платежные агенты/субагенты/платежные шлюзы
Операторы национальных и международных платежных систем «Мир», Visa, Mastercard, Unistream, Western Union и т.д.
Расчетные центры, платежные клиринговые центры, операционные центры


Вариант № 1 — обычная оценка соответствия

  1. Выезд на обследование

    • Изучаем внутреннюю нормативную документацию заказчика
    • Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
    • Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.
    • По итогам аудита предлагаем устные рекомендации по улучшению системы информационной безопасности

    Срок от 2 до 10 дней

  2. Подготовка отчета по форме ЦБ

    • На основании проведенного анализа определяем, соответствуют ли применяемые меры и используемые средства требованиям Положения.
    • Вычисляем итоговые показатели оценки соответствия — EV1, EV2 и R.
    • Готовим итоговую отчетную документацию по установленной форме.

    Срок до 20 дней

Пройти обычную оценку соответствия

Вариант № 2 — с предварительной оценкой соответствия

  1. Выезд на обследование

    • Изучаем внутреннюю нормативную документацию заказчика
    • Анализируем информационные системы (ИС), участвующие в переводах денежных средств. В их числе: автоматизированные банковские системы, сведения о конфигурации серверов и оборудования, а также сведения об используемых средствах защиты информации, платежной и применяемой ключевой информации. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации (ЗИ).
    • Опрашивая сотрудников, выявляем, какие инструменты по ЗИ реализованы в компании и как они выполняются.

    Срок от 2 до 10 дней

    К проверке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла, в рамках лучших мировых практик.

  2. Подготовка рекомендаций

    • Готовим документ, в котором описываем подробные рекомендации по улучшению системы информационной безопасности.
    • Ждем от клиента готовности к финальному аудиту.
  3. Срок до 20 дней

  4. Финальная оценка соответствия

    Проверяем проделанную заказчиком работу по улучшению ИБ в соответствии со списком наших рекомендаций и требованиями Положения.

  5. Подготовка отчета по форме ЦБ

    • Вычисляем итоговые показатели оценки соответствия — EV1, EV2 и R.
    • Готовим итоговую отчетную документацию по установленной форме.
  6. Срок до 20 дней

    К проверке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла, в рамках лучших мировых практик.

Пройти оценку соответствия с предаудитом

Положение 382-П определяет требования, применимые к перечисленным действиям при переводе денежных средств

Назначение и распределение ролей

Управление жизненным циклом объектов ИТ-инфраструктуры

Управление доступом к объектам ИТ-инфраструктуры

Защита от вредоносного программного обеспечения

Защита информации при использовании сети Интернет

Криптографическая защита информации

Использование технологических и организационных мер защиты информации

Организация и функционирование службы информационной безопасности

Повышение осведомленности работников в области ИБ

Управление инцидентами ИБ

Определение и реализация порядка обеспечения защиты информации

Оценка выполнения требований к обеспечению защиты информации

Информирование оператора платежной системы о системе защиты информации, применяемой для защиты платежной системы

Совершенствование обеспечения информационной безопасности

Обеспечения информационной безопасности

Узнать дополнительную информацию

Согласно Постановлению 382-П необходимо защищать информацию:

Об остатках денежных средств на счетах

Об остатках электронных денежных средств

О совершенных переводах денежных средств

О платежных клиринговых позициях

О ключевой информации СКЗИ

О данных держателях платежных карт

О ПДн и иная информация, обрабатываемая в результате перевода денежных средств, которую необходимо защищать согласно требованиям законодательства РФ

О параметрах и конфигурации автоматизированных систем, ПО, средств вычислительной техники, используемой для обработки защищаемой информации

К оценке соответствия подходим не только с формальной точки зрения, но и с учетом здравого смысла и лучших мировых практик
Остались вопросы?

Что получает клиент

Итоговые показатели оценки в максимально короткие сроки
Финальный отчет о проведенной оценке информационной безопасности согласно Положению ЦБ РФ № 382-П
Возможность заполнить отчетную форму 0403202 и направить ее в Банк России

Что мы предлагаем

Наши эксперты готовы

Проконсультировать по любым вопросам
Помочь в выборе подходящего решения

По запросу клиента могут быть оказаны дополнительные услуги:

Настройка СЗИ
Разработка документов
Внедрение необходимых процессов для обеспечения ИБ

Услуга подходит для

Организаций, оказывающих услуги
по переводу денежных средств
Банковских платежных
агентов/субагентов
Операторов национальных
и международных платежных систем
Операторов услуг
платежной инфраструктуры

Почему ITGLOBAL.COM

Многолетний опыт в сфере информационной безопасности. ITGLOBAL.COM неоднократно проходил аудиты по PCI DSS, имеет сертификат ISO 27001 и подтверждённый опыт работы в сфере аудиторской деятельности

К оценке соответствия подходим не только с формальной точки зрения, но и с учетом здравого смысла и выполнением заложенных целей, прописанных в Положении 382-П

Для оценки соответствия привлекаем минимально необходимое количество сотрудников заказчика – ценим ваше рабочее время

Сотрудники ITGLOBAL.COM имеют профильное образование в области ИБ, обладают компетенциями для оценки соответствия требованиям Положения 382-П


Экспертиза

Лицензия ФСБ
На деятельность по разработке, производству, распространению шифровальных
Лицензия ФСТЭК
На деятельность по технической защите конфиденциальной информации

Связанные решения

Заказать услугу

Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Консультация по услугам