+7 (495) 309-31-25 пн.-пт.: 10:00 - 18:00

Внимание!

Предлагаем аудит ИБ компаний перешедших на удаленный режим работы

Подробнее...

Оценка соответствия по 382-П

Оценка соответствия (или аудит) по 382-П является основным инструментом определения уровня информационной безопасности в финансовых организациях и должна проводиться на регулярной основе (в общем случае 1 раз в 2 года).

В соответствии с требованиями самого 382-П, проводить оценку соответствия могут организации обладающие лицензией на ТЗКИ ФСТЭК России (деятельность по технической защите конфиденциальной информации).

Оценка соответствия по 382-П

Эксперты по оценке соответствия по 382-П

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Баранов Александр Николаевич

Баранов Александр Николаевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий с 1996 года.
Профессиональный опыт в сфере информационной безопасности с 2004 года.

Профиль >>

Все эксперты

Описание

Скачать положение ЦБ РФ 382-П последняя редакция на 2020 год

Скачать последнюю редакцию Положения 382-П можно по здесь ( doc, pdf).

382-П ЦБ РФ последняя редакция 2020

Что необходимо для проведения оценки соответствия по 382-П?

Для проведения оценки соответствия по 382-П аудитору необходимо получить свидетельства выполнения требований. К таким свидетельствам могут относиться:

  • Документы (политики, положения, регламенты, инструкции и прочее)
  • Результаты проведенных интервью
  • Технические данные из информационных систем
  • Результаты наблюдения
  • Результаты проведенного пентеста
  • Отчетные документы по предыдущим аудитам по 382-П

Часть материалов, такие как документы или отчеты по проведенным ранее оценкам соответствия (самооценкам), запрашиваются на предварительном этапе аудита. Все остальные материалы аудитор получает на месте. Проведение аудита на месте осуществляется в соответствии с планом.

От полноты и качества сбора и оформления свидетельств аудита зависит результат оценки соответствия, а также общее качество отчета.

Как проводится оценка соответствия по 382-П?

В зависимости от размера проверяемой организации, этапы могут меняться, при этом принципиально ход оценки соответствия следующий:

  1. Запрос и получение документов по платежным сервисам и информационной безопасности
  2. Анализ документов и частичное заполнение Формы 1 382-П
  3. Определение платежных систем и ролей
  4. Проведение аудита на месте (в присутствии представителя проверяемой организации):
    • Проведение интервью с сотрудниками по направлениям ИТ, ИБ и расчетов
    • Сбор технических данных информационных систем и средств защиты
    • Наблюдение за порядком оказания платежных услуг
  5. Подготовка отчета (заполнение Формы 1 и Формы 2)

Работы могут быть разделены на Предварительный аудит, результатом которого являются рекомендации по устранению несоответствий, и Итоговый аудит, результаты которого могут быть направлены в Банк России.

Запрос коммерческого предложения

Что включает в себя отчет по 382-П?

Содержание отчета по 382-П

Отчет по проведенной оценке соответствия должен включать в себя:

  1. Заполненную форму 1, установленную Приложением 1 к 382-П;
  2. Заполненную форму 2, установленную Приложением 1 к 382-П;
  3. Сроки проведения настоящей оценки соответствия.

Дополнительно может быть разработана отчетная форма 0403202 в соответствии с 2831-У для отправки в Банк России.

Что делать с отчетом после проведения оценки соответствия?

Центральный Банк Российской Федерации направил кредитным организациям Письмо № 56-2-6/46 от 30 января 2020г., в соответствии с которым предлагается отчитывающимся операторам после проведения оценки соответствия и направления в Банк России отчетности по форме 0403202 в соответствии с пунктом 2 Указания Банка России № 2831-У дополнительно направлять в адрес Департамента информационной безопасности Банка России следующую информацию:

  • отчет, сформированный в целях документального подтверждения проведенной за последние два года оценки соответствия, утвержденный исполнительными органами управления и оформленный в соответствии с подпунктом 2.15.3 пункта 2.15 Положения Банка России № 382-П в формате документа Word (.doc);
  • заполненную таблицу по форме 1 приложения 1 к Положению Банка России № 382 -П в формате электронной таблицы Excel (.xls).

Вышеуказанную информацию необходимо направлять через личный кабинет в соответствии с главой 2 Указания Банка России от 03.11.2017 года № 4600-У «О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета».

Также необходимо обратить внимание на то, что дата отчёта указанная в заголовочной части формы 0403202 в качестве даты, по состоянию на которую проведена оценка соответствия, должна совпадать с датой утверждения отчёта о результатах проведения оценки соответствия и именно она указывается при отправке отчетности по форме 0403202.

Дополнительные услуги по 382-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

  • Проведение комплекса работ по обеспечению защиты информации при переводах денежных средств
  • Выявление и анализ уязвимостей в прикладном ПО (п. 2.5.5.1. 382-П)
  • Выявление и анализ уязвимостей в рамках модернизации инфраструктуры (п. 2.5.5.1. 382-П)

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия проводятся экспертами обладающих большим опытом проведения оценок соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать аудит по 382-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.



Видео по оценке соответствия по 382-П

Наши преимущества

Профиль деятельности RTM Group

Проведение экспертиз по направлению ИТ и кибербезопасности

Лицензии

Мы обладаем лицензиями ФСТЭК и ФСБ России

7 лет

минимальный стаж экспертной работы

11

дипломированных экспертов

Цены на услуги по оценке соответствия по 382-П

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по 382-П
Опросный лист (анкета)

от 250000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

* Мы работаем исключительно с юридическими лицами и ИП.

Вопрос-Ответ

Задать вопрос или заказать услугу Вы можете, воспользовавшись формой обратной связи

   

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

Ответы экспертов

Существует ли утвержденная методика Банка России на проведение тестирования на проникновение в банке?

Здравствуйте!
Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

Здравствуйте!

Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

Методологии тестирования защищенности:
Open Source Security Testing Methodology Manual (OSSTMM);
Information Systems Security Assessment Framework (ISSAF);
NIST 800-42 Guideline on Network Security Testing;
OWASP Testing Guide;
Wireless Penetration Testing Framework.

По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

Как оценивать показатель П.113, если позапрошлая оценка была выполнена с опозданием?

Здравствуйте!

Подскажите, как оценивается показатель п.113, если позапрошлая оценка была выполнена с опозданием, не через 2 года, а через 2,5 года?

При проведении  оценки соответствия  по требованиям Положения Банка России от 9 июня 2012г. №382-П специалистами ООО «РТМ Технологии» рассматривается дата предоставления Клиентом формы 0403203 в подразделение ЦБ РФ по результатам проведения прошлой оценки (или самооценки), либо формы 0403202, если Клиент получил Лицензию не более 2,5 лет назад. В Договоре на проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012г. №382-П определяется срок окончания проведения оценки соответствия. Если запланированная дата укладывается в двухлетний срок со дня окончания проведения прошлой оценки соответствия по требованиям Положения №382-П, то п.113 оценивается как 1, в противном случае – 0. Позапрошлая оценка не берётся во внимание.

В какой срок нужно отправлять отчет по аудиту 382-П в Центробанк?

В какой срок нужно отправлять отчет по аудиту 382-П в ЦБ? И где об этом написано?

Отчет по аудиту 382-П необходимо направлять в подразделение ЦБ РФ не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия (даты отчета). Данная информация содержится  в документе ЦБ РФ: Указание Банка России от 9 июня 2012 г. № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Что должен содержать отчет по 382-П?

Подскажите, что должен содержать отчет по 382-П?

В соответствии с Положением №382-П, отчет включает в себя:

  • заполненную форму 1, установленную приложением 1 к Положению №382-П и содержащую оценки выполнения требований к обеспечению защиты информации;
  • заполненную форму 2, установленную приложением 1 к Положению №382-П и содержащую оценки выполнения требований к обеспечению защиты информации;
  • сроки проведения оценки соответствия;
  • сведения о сторонней организации (наименование и местонахождение).

К отчёту прилагаются: Интервью и Перечень документов, использованных в качестве свидетельств.

В каких случаях показатель может быть неоцениваемый?

В каких случаях показатель может быть «н/о» — нет оценки?

В соответствии с Положением 382 – П показатель может быть н/о (неоцениваемый) в случае, если выполнение требования по данному пункту не является обязанностью субъекта платежной системы. Например, оцениваемая организация  является оператором по переводу денежных средств, а требование распространяется на оператора платёжной системы. Организационная структура организации может допускать отсутствие в платежном технологическом процессе требований, например, защита информации с применением банкоматов и платежных терминалов. То есть, если  устройства ТУ ДБО отсутствуют в организации, то в соответствующий показатель оценивается как н/о.

Наши отзывы по оценке соответствия по 382-П

Отзыв о RTM Group от АО «НВКбанк»
Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
Отзыв о RTM Group от КБ «ОБР» (ООО)
По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
Отзыв о RTM Group от АКБ «ЧУВАШКРЕДИТПРОМБАНК» (ПАО)
АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО обратился в ООО «РТМ ТЕХНОЛОГИИ» для проведения аудита информационной безопасности и проверки соответствия текущего уровня защиты информации требованиям Положения Банка России 382-П. При всесторонней поддержке мы смогли получить максимально достоверную информацию о состоянии информационной безопасности Банка, проверить исполнение установленных в Положении 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, а также получить дополнительные рекомендации и достигнуть рекомендуемого уровня соответствия требованиям нормативных документов Банка России. АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО полностью удовлетворен выбором ООО «РТМ ТЕХНОЛОГИИ» в качестве поставщика услуг и благодарит компанию за проявленные компетенции и порядочность в ходе работ. Рекомендуем ООО «РТМ ТЕХНОЛОГИИ» и ее сотрудников как профессионалов своего дела, обладающих достаточным опытом для выполнения сложных проектов.
Отзыв о RTM Group от «НАЦИНВЕСТПРОМБАНК» (АО)
«Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов

Другие услуги

НАМ ДОВЕРЯЮТ