+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Оценка соответствия по 382-П

Оценка соответствия (или аудит) по 382-П является одним из основных инструментов определения уровня информационной безопасности в финансовых организациях и должна проводиться на регулярной основе (в общем случае 1 раз в 2 года).

В соответствии с требованиями самого 382-П, проводить оценку соответствия могут организации обладающие лицензией на ТЗКИ ФСТЭК России (деятельность по технической защите конфиденциальной информации).

Оценка соответствия по 382-П

Эксперты по оценке соответствия по 382-П

Баранов Александр Николаевич

Баранов Александр Николаевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий с 1996 года.
Профессиональный опыт в сфере информационной безопасности с 2004 года.

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Описание

Скачать положение ЦБ РФ 382-П последняя редакция на 2020 год

Скачать последнюю редакцию Положения 382-П можно по здесь ( doc, pdf).

382-П ЦБ РФ последняя редакция 2020

Что необходимо для проведения оценки соответствия по 382-П?

Что необходимо для проведения оценки соответствия по 382-П
Для проведения оценки соответствия по 382-П аудитору необходимо получить свидетельства выполнения требований. К таким свидетельствам могут относиться:

  • Документы (политики, положения, регламенты, инструкции и прочее)
  • Результаты проведенных интервью
  • Технические данные из информационных систем
  • Результаты наблюдения
  • Результаты проведенного пентеста
  • Отчетные документы по предыдущим аудитам по 382-П

Часть материалов, такие как документы или отчеты по проведенным ранее оценкам соответствия (самооценкам), запрашиваются на предварительном этапе аудита. Все остальные материалы аудитор получает на месте. Проведение аудита на месте осуществляется в соответствии с планом.

От полноты и качества сбора и оформления свидетельств аудита зависит результат оценки соответствия, а также общее качество отчета.

Как проводится оценка соответствия по 382-П?

Как проводится оценка соответствия по 382-П
В зависимости от размера проверяемой организации, этапы могут меняться, при этом принципиально ход оценки соответствия следующий:

  1. Запрос и получение документов по платежным сервисам и информационной безопасности
  2. Анализ документов и частичное заполнение Формы 1 382-П
  3. Определение платежных систем и ролей
  4. Проведение аудита на месте (в присутствии представителя проверяемой организации):
    • Проведение интервью с сотрудниками по направлениям ИТ, ИБ и расчетов
    • Сбор технических данных информационных систем и средств защиты
    • Наблюдение за порядком оказания платежных услуг
  5. Подготовка отчета (заполнение Формы 1 и Формы 2)

Работы могут быть разделены на Предварительный аудит, результатом которого являются рекомендации по устранению несоответствий, и Итоговый аудит, результаты которого могут быть направлены в Банк России.

Запрос коммерческого предложения

Что включает в себя отчет по 382-П?

Содержание отчета по 382-П

Отчет по проведенной оценке соответствия должен включать в себя:

  1. Заполненную форму 1, установленную Приложением 1 к 382-П;
  2. Заполненную форму 2, установленную Приложением 1 к 382-П;
  3. Сроки проведения настоящей оценки соответствия.

Что включает в себя отчет по 382-П
Дополнительно может быть разработана отчетная форма 0403202 в соответствии с 2831-У для отправки в Банк России.

Что делать с отчетом после проведения оценки соответствия?

Центральный Банк Российской Федерации направил кредитным организациям Письмо № 56-2-6/46 от 30 января 2020г., в соответствии с которым предлагается отчитывающимся операторам после проведения оценки соответствия и направления в Банк России отчетности по форме 0403202 в соответствии с пунктом 2 Указания Банка России № 2831-У дополнительно направлять в адрес Департамента информационной безопасности Банка России следующую информацию:

  • отчет, сформированный в целях документального подтверждения проведенной за последние два года оценки соответствия, утвержденный исполнительными органами управления и оформленный в соответствии с подпунктом 2.15.3 пункта 2.15 Положения Банка России № 382-П в формате документа Word (.doc);
  • заполненную таблицу по форме 1 приложения 1 к Положению Банка России № 382 -П в формате электронной таблицы Excel (.xls).

Вышеуказанную информацию необходимо направлять через личный кабинет в соответствии с главой 2 Указания Банка России от 03.11.2017 года № 4600-У «О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета».

Также необходимо обратить внимание на то, что дата отчёта указанная в заголовочной части формы 0403202 в качестве даты, по состоянию на которую проведена оценка соответствия, должна совпадать с датой утверждения отчёта о результатах проведения оценки соответствия и именно она указывается при отправке отчетности по форме 0403202.

Дополнительные услуги по 382-П

Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

  • Проведение комплекса работ по обеспечению защиты информации при переводах денежных средств
  • Выявление и анализ уязвимостей в прикладном ПО (п. 2.5.5.1. 382-П)
  • Выявление и анализ уязвимостей в рамках модернизации инфраструктуры (п. 2.5.5.1. 382-П)

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Оценки соответствия проводятся экспертами обладающими большим опытом проведения оценок соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П
  • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать аудит по 382-П

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

Также можете заполнить форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.






Видео по оценке соответствия по 382-П

Наши преимущества

Наш ключевой профиль

Работы по направлению ИТ и кибербезопасности

3 лицензии

ФСТЭК России и ФСБ России

7 лет

Минимальный стаж экспертной работы

11

дипломированных экспертов

Цены на услуги по оценке соответствия по 382-П

Наименование услуги Стоимость

Консультация

бесплатно

Оценка соответствия по 382-П (от 6 недель)
Опросный лист (анкета)

от 300 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 382-П (от 8 недель)

от 400 000 руб.

Разработка организационно-распорядительной документации (ОРД) для 382-П (от 2 недель)

от 100 000 руб.

Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту info@rtmtech.ru. На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

* Мы работаем исключительно с юридическими лицами и ИП.

FAQ: Часто задаваемые вопросы

Здравствуйте!
Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

Здравствуйте!

Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

Методологии тестирования защищенности:
Open Source Security Testing Methodology Manual (OSSTMM);
Information Systems Security Assessment Framework (ISSAF);
NIST 800-42 Guideline on Network Security Testing;
OWASP Testing Guide;
Wireless Penetration Testing Framework.

По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

Здравствуйте!

Подскажите, как оценивается показатель п.113, если позапрошлая оценка была выполнена с опозданием, не через 2 года, а через 2,5 года?

При проведении  оценки соответствия  по требованиям Положения Банка России от 9 июня 2012г. №382-П специалистами ООО «РТМ Технологии» рассматривается дата предоставления Клиентом формы 0403203 в подразделение ЦБ РФ по результатам проведения прошлой оценки (или самооценки), либо формы 0403202, если Клиент получил Лицензию не более 2,5 лет назад. В Договоре на проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012г. №382-П определяется срок окончания проведения оценки соответствия. Если запланированная дата укладывается в двухлетний срок со дня окончания проведения прошлой оценки соответствия по требованиям Положения №382-П, то п.113 оценивается как 1, в противном случае – 0. Позапрошлая оценка не берётся во внимание.

В какой срок нужно отправлять отчет по аудиту 382-П в ЦБ? И где об этом написано?

Отчет по аудиту 382-П необходимо направлять в подразделение ЦБ РФ не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия (даты отчета). Данная информация содержится  в документе ЦБ РФ: Указание Банка России от 9 июня 2012 г. № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Подскажите, что должен содержать отчет по 382-П?

В соответствии с Положением №382-П, отчет включает в себя:

  • заполненную форму 1, установленную приложением 1 к Положению №382-П и содержащую оценки выполнения требований к обеспечению защиты информации;
  • заполненную форму 2, установленную приложением 1 к Положению №382-П и содержащую оценки выполнения требований к обеспечению защиты информации;
  • сроки проведения оценки соответствия;
  • сведения о сторонней организации (наименование и местонахождение).

К отчёту прилагаются: Интервью и Перечень документов, использованных в качестве свидетельств.

В каких случаях показатель может быть «н/о» — нет оценки?

В соответствии с Положением 382 – П показатель может быть н/о (неоцениваемый) в случае, если выполнение требования по данному пункту не является обязанностью субъекта платежной системы. Например, оцениваемая организация  является оператором по переводу денежных средств, а требование распространяется на оператора платёжной системы. Организационная структура организации может допускать отсутствие в платежном технологическом процессе требований, например, защита информации с применением банкоматов и платежных терминалов. То есть, если  устройства ТУ ДБО отсутствуют в организации, то в соответствующий показатель оценивается как н/о.

Наши отзывы по оценке соответствия по 382-П

Отзыв о RTM Group от АО «НВКбанк»
Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
Отзыв о RTM Group от КБ «ОБР» (ООО)
По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
Отзыв о RTM Group от АКБ «ЧУВАШКРЕДИТПРОМБАНК» (ПАО)
АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО обратился в ООО «РТМ ТЕХНОЛОГИИ» для проведения аудита информационной безопасности и проверки соответствия текущего уровня защиты информации требованиям Положения Банка России 382-П. При всесторонней поддержке мы смогли получить максимально достоверную информацию о состоянии информационной безопасности Банка, проверить исполнение установленных в Положении 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, а также получить дополнительные рекомендации и достигнуть рекомендуемого уровня соответствия требованиям нормативных документов Банка России. АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО полностью удовлетворен выбором ООО «РТМ ТЕХНОЛОГИИ» в качестве поставщика услуг и благодарит компанию за проявленные компетенции и порядочность в ходе работ. Рекомендуем ООО «РТМ ТЕХНОЛОГИИ» и ее сотрудников как профессионалов своего дела, обладающих достаточным опытом для выполнения сложных проектов.
Отзыв о RTM Group от «НАЦИНВЕСТПРОМБАНК» (АО)
«Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов

Услуги для вас

НАМ ДОВЕРЯЮТ