Оценка соответствия 382-П

Объективная оценка текущего состояния безопасности информационных систем в рамках Положения Банка России 382-П.

Оценка соответствия 382-П

Описание

Оценка соответствия 382-П – возможность понять, насколько информационные системы клиента соответствуют требованиям Положения 382-П. Учитывая установленные нормы, компании, оказывающие услуги по переводу денежных средств, должны в течение двух лет хотя бы раз осуществлять такую оценку.

ITGLOBAL.COM оказывает услугу по оценке соответствия 382-П и предоставляет заказчику итоговые результаты проверки, оформляя отчетные документы по форме, определенной Постановлением 382-П.

Вам остается только подать данные в Банк России!

Оценка соответствия может проводиться с учетом новых Положений Банка России №672-П и 683-П, а также ГОСТ Р 57580.1-2017.

Подробнее
о положении 382-П

Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 9 июня 2012 года представляет собой документ, в котором прописаны требования, необходимые для обеспечения безопасности при переводе денежных средств и порядок проведения работ по оценке соответствия установленным требованиям.

Положение Центрального банка
Российской Федерации обязаны соблюдать

Банковские
организации
Платежные агенты/субагенты/
платежные шлюзы
Операторы национальных и международных платежных систем «Мир», Visa, Mastercard, Unistream, Western Union и т.д.
Расчетные центры, платежные клиринговые центры, операционные центры


Как проходит оценка соответствия 382-П

  1. Изучаем внутреннюю нормативную документацию заказчика

  2. Обследуем ИС, участвующие в переводах финансовых средств

  3. Проверяем, соблюдает ли компания установленные меры для обеспечения защиты информации

  4. Опрашивая сотрудников, выявляем, какие инструменты по защите информации реализованы в компании и как они выполняются

  5. Предоставляем рекомендации по улучшению системы по обеспечению информационной безопасности

  6. На основании проводимого анализа определяем, соответствуют ли применяемые меры и используемые средства защиты требованиям Положения 382-П

  7. Вычисляем итоговые показатели оценки соответствия – EV1, EV2 и R

  8. Готовим итоговую отчетную документацию по форме определенной Положением 382-П

К оценке соответствия мы подходим не только с формальной точки зрения, но и с учетом здравого смысла и лучших мировых практик.

Положение 382-П определяет требования, применимые к перечисленным действиям при переводе денежных средств

Назначение и распределение ролей

Управление жизненным циклом объектов ИТ-инфраструктуры

Управление доступом к объектам ИТ-инфраструктуры

Защита от вредоносного программного обеспечения

Защита информации при использовании сети Интернет

Криптографическая защита информации

Использование технологических и организационных мер защиты информации

Организация и функционирование службы информационной безопасности

Повышение осведомленности работников в области ИБ

Управление инцидентами ИБ

Определение и реализация порядка обеспечения защиты информации

Оценка выполнения требований к обеспечению защиты информации

Информирование оператора платежной системы о системе защиты информации, применяемой для защиты платежной системы

Совершенствование обеспечения информационной безопасности

Обеспечения информационной безопасности

Что подлежит защите

Согласно Постановлению 382-П необходимо защищать информацию:

Об остатках денежных средств на счетах

Об остатках электронных денежных средств

О совершенных переводах денежных средств

О платежных клиринговых позициях

О ключевой информации СКЗИ

О данных держателях платежных карт

О ПДн и иная информация, обрабатываемая в результате перевода денежных средств, которую необходимо защищать согласно требованиям законодательства РФ

О параметрах и конфигурации автоматизированных систем, ПО, средств вычислительной техники, используемой для обработки защищаемой информации

К оценке соответствия подходим не только с формальной точки зрения, но и с учетом здравого смысла и лучших мировых практик

Что получает клиент

Вы получаете итоговые показатели оценки соответствия в максимально короткие сроки

Заполняете отчетную форму 0403202 и направляете в Банк России

Итоговый отчет по форме определенной Положением 382-П

Что мы предлагаем

Проконсультировать по любым вопросам
Помочь в выборе подходящего решения

По запросу клиента могут быть оказаны дополнительные услуги:

Настройка СЗИ
Разработка документов
Внедрение необходимых процессов для обеспечения ИБ

Услуга подходит для

Организаций, оказывающих услуги
по переводу денежных средств
Банковских платежных
агентов/субагентов
Операторов национальных
и международных платежных систем
Операторов услуг
платежной инфраструктуры

Почему ITGLOBAL.COM

Многолетний опыт в сфере информационной безопасности. ITGLOBAL.COM неоднократно проходил аудиты по PCI DSS, имеет сертификат ISO 27001 и подтверждённый опыт работы в сфере аудиторской деятельности.

К оценке соответствия подходим не только с формальной точки зрения, но и с учетом здравого смысла и выполнением заложенных целей, прописанных в Положении 382-П

Для оценки соответствия привлекаем минимально необходимое количество сотрудников заказчика – ценим ваше рабочее время

Сотрудники ITGLOBAL.COM имеют профильное образование в области ИБ, обладают компетенциями для оценки соответствия требованиям Положения 382-П


Экспертиза

Лицензия ФСБ
На деятельность по разработке, производству, распространению шифровальных
Лицензия ФСТЭК
На деятельность по технической защите конфиденциальной информации

Связанные решения

Оценка соответствия Положению Банка России 382-П
Разработаны ли в компании внутренние нормативные документы по ИБ?
Существует ли в компании отдельная должность (должности), ответственная за информационную безопасность?
Сколько человек отвечают за ИБ в компании
- +
Есть ли в компании укрупненная схема сети и/или схема потоков данных?
Количество компонентов ИС
Физические и виртуальные серверы (включая АРМ КБР, АРМ ПТК ПСД и др)
- +
Активное сетевое оборудование
- +
Системы виртуализации
- +
СУБД
- +
Рабочие станции (на которых производит обработка платежной информации или ПДн)
- +
Используемое оборудование, ПО и операционные системы
Используемые средства защиты информации (Firewalls, Antivirus, SIEM, DLP, WAF, IDM, СЗИ от НСД, Integrity Checking, DDOS Prevention, IPS/IDS, Анти-спам и другие):
Существуют ли в компании дополнительные офисы или филиалы?
Используются ли беспроводные сети для обработки платежной информации или ПДн?
Оборудование размещено в ЦОДе?
Примерное количество работников, обсуживающих ИТ-инфраструктуру
- +
Требуется ли провести тестирование на проникновение?
Существуют ли в компании процессы по разработке ПО?
Есть ли у компании мобильное приложение, предоставляемое клиентам?
Есть ли у компании банкоматы и/или POS-терминалы?
Есть ли у компании ДБО?
Когда была выполнена последняя Оценка соответствия и какой был показатель?
Требуется ли разработать/доработать внутренние нормативные документы по ИБ?
Консультация по услугам