382‑П: Оценка соответствия

С 1 января 2022 года Положение 382-П отменено Положением Банка России от 4 июня 2020 г. N 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.

Положение 719-П вступило в силу с 1 января 2022 года.

382‑П: Оценка соответствия - услуги RTM Group
382‑П: Оценка соответствия - от RTM Group
Пройти оценку соответствия по 719‑П

Эксперты по оценке соответствия по требованиям 382-П

Эксперт по оценке соответствия по требованиям 382-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по оценке соответствия по требованиям 382-П Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по оценке соответствия по требованиям 382-П Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по оценке соответствия по требованиям 382-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по оценке соответствия по требованиям 382-П Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Оценка соответствия (или аудит) по 382-П являлся одним из основных инструментов определения уровня информационной безопасности в финансовых организациях и должна была проводиться на регулярной основе (в общем случае 1 раз в 2 года).

В соответствии с требованиями самого 382-П, проводить оценку соответствия могли организации обладающие лицензией на ТЗКИ ФСТЭК России (деятельность по технической защите конфиденциальной информации).

Скачать положение ЦБ РФ 382-П последняя редакция на 2020 год

Скачать последнюю редакцию Положения 382-П можно по здесь ( doc, pdf).

382-П ЦБ РФ последняя редакция 2020

Что необходимо для проведения оценки соответствия по 382-П?

Что необходимо для проведения оценки соответствия по 382-П
Для проведения оценки соответствия по 382-П аудитору необходимо было получить свидетельства выполнения требований. К таким свидетельствам могут относиться:

  • Документы (политики, положения, регламенты, инструкции и прочее)
  • Результаты проведенных интервью
  • Технические данные из информационных систем
  • Результаты наблюдения
  • Результаты проведенного пентеста
  • Отчетные документы по предыдущим аудитам по 382-П

Часть материалов, такие как документы или отчеты по проведенным ранее оценкам соответствия (самооценкам), запрашивались на предварительном этапе аудита. Все остальные материалы аудитор получал на месте. Проведение аудита на месте осуществлялось в соответствии с планом.

От полноты и качества сбора и оформления свидетельств аудита зависили результаты оценки соответствия, а также общее качество отчета.

Как проводится оценка соответствия по 382-П?

Как проводится оценка соответствия по 382-П
В зависимости от размера проверяемой организации, этапы могли меняться, при этом принципиально ход оценки соответствия следующий:

  1. Запрос и получение документов по платежным сервисам и информационной безопасности
  2. Анализ документов и частичное заполнение Формы 1 382-П
  3. Определение платежных систем и ролей
  4. Проведение аудита на месте (в присутствии представителя проверяемой организации):
    • Проведение интервью с сотрудниками по направлениям ИТ, ИБ и расчетов
    • Сбор технических данных информационных систем и средств защиты
    • Наблюдение за порядком оказания платежных услуг
  5. Подготовка отчета (заполнение Формы 1 и Формы 2)

Работы могли быть разделены на Предварительный аудит, результатом которого являлись рекомендации по устранению несоответствий, и Итоговый аудит, результаты которого направлялись в Банк России.

    Нужна консультация?

    Что включал в себя отчет по 382-П?

    Содержание отчета по 382-П

    Отчет по проведенной оценке соответствия должен был включать в себя:

    1. Заполненную форму 1, установленную Приложением 1 к 382-П;
    2. Заполненную форму 2, установленную Приложением 1 к 382-П;
    3. Сроки проведения настоящей оценки соответствия.

    Что включает в себя отчет по 382-П
    Дополнительно могла быть разработана отчетная форма 0403202 в соответствии с 2831-У для отправки в Банк России.

    Что делали с отчетом после проведения оценки соответствия?

    Центральный Банк Российской Федерации направлял кредитным организациям Письмо № 56-2-6/46 от 30 января 2020 г., в соответствии с которым предлагалось отчитывающимся операторам после проведения оценки соответствия и направления в Банк России отчетности по форме 0403202 в соответствии с пунктом 2 Указания Банка России № 2831-У дополнительно направлять в адрес Департамента информационной безопасности Банка России следующую информацию:

    • отчет, сформированный в целях документального подтверждения проведенной за последние два года оценки соответствия, утвержденный исполнительными органами управления и оформленный в соответствии с подпунктом 2.15.3 пункта 2.15 Положения Банка России № 382-П в формате документа Word (.doc);
    • заполненную таблицу по форме 1 приложения 1 к Положению Банка России № 382 -П в формате электронной таблицы Excel (.xls).

    Вышеуказанную информацию необходимо было направлять через личный кабинет в соответствии с главой 2 Указания Банка России от 03.11.2017 года № 4600-У «О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета».

    Также необходимо было обращать внимание на то, что дата отчёта указанная в заголовочной части формы 0403202 в качестве даты, по состоянию на которую была проведена оценка соответствия, должна совпадать с датой утверждения отчёта о результатах проведения оценки соответствия и именно она указывалась при отправке отчетности по форме 0403202.

    Дополнительные услуги по 382-П

    Сторонние организации, обладающие лицензиями ФСТЭК России могут проводить следующие работы:

    • Проведение комплекса работ по обеспечению защиты информации при переводах денежных средств
    • Выявление и анализ уязвимостей в прикладном ПО (п. 2.5.5.1. 382-П)
    • Выявление и анализ уязвимостей в рамках модернизации инфраструктуры (п. 2.5.5.1. 382-П)

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Оценки соответствия проводятся экспертами обладающими большим опытом проведения оценок соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П
    • Сроки проведения оценки соответствия от 2 недель до 3 месяцев (в зависимости от сложности)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group






    Видео по оценке соответствия по требованиям 382-П

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по оценке соответствия по требованиям 382-П

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Для ОПС, ОПДС: Аудит соответствия общим требованиям 719-П (без ОУД4)

    Возможно проведения аудита соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 719-П.
    Срок – от 10 недель

    Подробное описание
     

    от 300 000 руб.

    Для Платежных агентов: Аудит соответствия общим требованиям 719-П (без ОУД4)

    Возможно проведения аудита соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 719-П.
    Срок – от 10 недель

    Подробное описание
     

    от 300 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    Наши отзывы по оценке соответствия по требованиям 382-П

    Благодарность от АО «НВКбанк»
    26.08.2019
    Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
    Благодарность от КБ «ОБР» (ООО)
    26.08.2019
    По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
    Благодарность от АКБ «ЧУВАШКРЕДИТПРОМБАНК» (ПАО)
    26.09.2019
    АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО обратился в ООО «РТМ ТЕХНОЛОГИИ» для проведения аудита информационной безопасности и проверки соответствия текущего уровня защиты информации требованиям Положения Банка России 382-П. При всесторонней поддержке мы смогли получить максимально достоверную информацию о состоянии информационной безопасности Банка, проверить исполнение установленных в Положении 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, а также получить дополнительные рекомендации и достигнуть рекомендуемого уровня соответствия требованиям нормативных документов Банка России. АКБ «ЧУВАШКРЕДИТПРОМБАНК» ПАО полностью удовлетворен выбором ООО «РТМ ТЕХНОЛОГИИ» в качестве поставщика услуг и благодарит компанию за проявленные компетенции и порядочность в ходе работ. Рекомендуем ООО «РТМ ТЕХНОЛОГИИ» и ее сотрудников как профессионалов своего дела, обладающих достаточным опытом для выполнения сложных проектов.
    Благодарность от «НАЦИНВЕСТПРОМБАНК» (АО)
    11.12.2019
    «Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    Надо ли в БПА проводить внешний аудит на соответствие требованиям 382-П?

    В соответствии с п.1.2 Положения 382 – П: Оператор по переводу денежных средств обеспечивает выполнение банковскими платежными агентами требований к обеспечению защиты информации при осуществлении переводов денежных средств. Оператор по переводу денежных средств обеспечивает контроль соблюдения банковскими платежными агентами требований к защите информации при осуществлении переводов денежных средств.

    То есть, банковским платежным агентам не обязательно проходить аудит на соответствие требованиям Положения 382 – П. В то же время никто не запрещает банковским платежным агентам для проведения работ по обеспечению защиты информации при осуществлении переводов денежных средств привлекать организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации

    Есть ли какие-то требования к обеспечению безопасности журналов учета (особенно интересует электронный вид)? Есть ли регламент ведения? Как хранить журналы? (учет СКЗИ)

    Существует несколько основных нормативных документов, регулирующих отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера).

    Это, в том числе: Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ – 2005) (в ред. приказа ФСБ РФ от 12.04.2010 N 173) и утверждённая Приказом ФАПСИ от 13 июня 2001г. №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее по тексту Инструкция). В Положении ПКЗ – 2005 нет информации про журналы учета СКЗИ. В п.п.26,27 Инструкции сказано: «Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения №1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность».

    Таким образом, ни в одном из вышеперечисленных документов, регламентирующих правила: создания, ввода в эксплуатацию, эксплуатации, хранения, вывод из эксплуатации СКЗИ, не определены требования к обеспечению безопасности самого журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Можно лишь предположить, что требования к обеспечению безопасности данного журнала должны быть такими же, как и к учтённой в нём информации, то есть его необходимо хранить в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Если Журнал ведётся в электронном виде, то необходимо исключить несанкционированный доступ к нему, используя организационные и технические меры защиты информации

    Здравствуйте!
    Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

    Здравствуйте!

    Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

    Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

    Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

    Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

    Методологии тестирования защищенности:
    Open Source Security Testing Methodology Manual (OSSTMM);
    Information Systems Security Assessment Framework (ISSAF);
    NIST 800-42 Guideline on Network Security Testing;
    OWASP Testing Guide;
    Wireless Penetration Testing Framework.

    По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

    При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

    Здравствуйте!

    Подскажите, как оценивается показатель п.113, если позапрошлая оценка была выполнена с опозданием, не через 2 года, а через 2,5 года?

    При проведении  оценки соответствия  по требованиям Положения Банка России от 9 июня 2012г. №382-П специалистами ООО «РТМ Технологии» рассматривается дата предоставления Клиентом формы 0403203 в подразделение ЦБ РФ по результатам проведения прошлой оценки (или самооценки), либо формы 0403202, если Клиент получил Лицензию не более 2,5 лет назад. В Договоре на проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012г. №382-П определяется срок окончания проведения оценки соответствия. Если запланированная дата укладывается в двухлетний срок со дня окончания проведения прошлой оценки соответствия по требованиям Положения №382-П, то п.113 оценивается как 1, в противном случае – 0. Позапрошлая оценка не берётся во внимание.

    В какой срок нужно отправлять отчет по аудиту 382-П в ЦБ? И где об этом написано?

    Отчет по аудиту 382-П необходимо направлять в подразделение ЦБ РФ не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия (даты отчета). Данная информация содержится  в документе ЦБ РФ: Указание Банка России от 9 июня 2012 г. № 2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств”.

    Подскажите, что должен содержать отчет по 382-П?

    В соответствии с Положением №382-П, отчет включает в себя:

    • заполненную форму 1, установленную приложением 1 к Положению №382-П и содержащую оценки выполнения требований к обеспечению защиты информации;
    • заполненную форму 2, установленную приложением 1 к Положению №382-П и содержащую оценки выполнения требований к обеспечению защиты информации;
    • сроки проведения оценки соответствия;
    • сведения о сторонней организации (наименование и местонахождение).

    К отчёту прилагаются: Интервью и Перечень документов, использованных в качестве свидетельств.

    В каких случаях показатель может быть “н/о” – нет оценки?

    В соответствии с Положением 382 – П показатель может быть н/о (неоцениваемый) в случае, если выполнение требования по данному пункту не является обязанностью субъекта платежной системы. Например, оцениваемая организация  является оператором по переводу денежных средств, а требование распространяется на оператора платёжной системы. Организационная структура организации может допускать отсутствие в платежном технологическом процессе требований, например, защита информации с применением банкоматов и платежных терминалов. То есть, если  устройства ТУ ДБО отсутствуют в организации, то в соответствующий показатель оценивается как н/о.

    “21. Информацию о наличии/отсутствии банковских платежных агентов (субагентов);” – требуется официальная справка?

    Справка не требуется, можно просто ответить. Этот ответ будет оформлен как интервью.

    “16. Выписки из штатных расписаний сотрудников отделов ИБ, ИТ, операционистов в Головном офисе и в филиалах;”

    Можно уточнить, требуются только ФИО и должности указанных сотрудников?

    Да, ФИО и должности указанных сотрудников будет вполне достаточно.

    Мы предоставляем документы с датой с начала 2018 года? (самооценка была в середине 2018)
    По действующим нормативным документам предоставляем только актуальные на текущий момент (или всю историю развития и обновлений с начала 2018 года)?

    По свидетельствам требуются актуальные документы, действующие по настоящее время. Они могут быть датированы как более ранним сроком так и быть новыми.

    Что значит ТУ ДБО? Что такое Акт классификации ТУ ДБО?

    ТУ ДБО – терминальные устройства дистанционного банковского обслуживания (банкоматы и платежные терминалы). В соответствии с 382-П должна проводиться классификация ТУ ДБО по некоторым критериям:
    – попытки несанкционированного доступа;
    – возможность осуществления воздействия, которое приводит к отказам, сбоям, повреждению ТУ ДБО;
    – особенности конструкции ТУ ДБО (внутри стены, либо нет и т.д.)
    – места установки ТУ ДБО (на улице, в охраняемом помещении и т.д.).
    Результаты классификации фиксируются Актом классификации ТУ ДБО, где описывается каждый банкомат/платежный терминал.

    По ОУД4 нужно ДБО или еще и АБС?

    Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 – ДБО точно, АБС возможно, в зависимости от архитектуры.

    Банком приобретается новое мобильное приложение, когда надо проводить пентест?

    Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

    Надо ли делать оценку по 382-П в этом году?

    Оценку по 382-П надо делать тем, у кого предыдущая оценка была в 2019 г. На эту тему есть комментарии представителей ЦБ, и из календаря понятно, что 382-П достаточно полноценно действует до 31 декабря данного года. Соответственно, те, у кого отчет был отправлен в 2019 г. как раз должны в 2021 г. отправить его еще раз.

    Оценивались по 382-П в конце 2019, отчитывались в январе 2020, как быть?

    Необходимо смотреть дату отчета, поскольку по 382-П есть 30 календарных дней на отправку, то надо смотреть дату отчета, которая фиксирует дату окончания аудита. Если у вас аудит был закончен в конце 2019 г., то и очередной аудит надо закончить в конце 2021 г., а отправлять уже в 2022 г. В 382-П четко сказано “обеспечивает проведение оценки не реже 1 раза в 2 года”, поэтому если в этом году не выполнять 382-П — это будет нарушение. При этом многое зависит от лояльности проверяющего инспектора ЦБ. Но не стоит давать им лишний повод усомниться в чем-либо.

    Примут ли отчет в 22-м? по 382-П :)

    Гарантируем, что примут.

    Принять – примут, что скажут в ответ – не знаем, но примут точно.

    Для работ по 382-П требуется привлечение внешних организаций с лицензией на ТЗКИ?

    Да, требуется привлечение внешнего лицензиата.