#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Обзор положения 382-П

Что и кому выполнять?

Положение Банка России 382-П устанавливает требования к обеспечению защиты информации при осуществлении переводов денежных средств для участников национальной платежной системы. К таким организациям относятся:

  • оператор по переводу денежных средств (ОПДС);
  • банковские платежные агенты (субагенты) (БПА);
  • операторы платежных систем (ОПС);
  • операторы услуг платежной инфраструктуры (ОУПИ).

Суть требований заключается в применении организационных мер и технических средств защиты информации, по отношению к которым проводится оценка соответствия. Методика проведения оценки определяется в Приложениях к 382-П.

Примечание: важно знать, что в 382-П есть те требования, которые распространяются не на все вышеуказанные организации.

 

Кому проводить анализ по ОУД 4 и пентесты?

Кроме того, к числу требований относится необходимость использования ПО, сертифицированного во ФСТЭК на соответствие требованиям безопасности, или в отношении которого проведен анализ уязвимостей по требованиям не ниже ОУД 4 (в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013).

Данное требование вступило в силу с 01.01.2020 года и действует только для ОПДС и ОУПИ.

Если предыдущая оценка соответствия проводилась до 2020 года, то при повторном проведении данное требование уже будет попадать под оценку.

 

Важно, что анализ уязвимостей ПО проводится строго с привлечением сторонней организации в соответствии с абзацем 5 пп. 2.5.5_1:

Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору по переводу денежных средств, оператору услуг платежной инфраструктуры следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е"

 

При модернизации ПО необходимо проводить его повторный анализ:

При модернизации объектов информационной инфраструктуры по решению оператора по переводу денежных средств, оператора услуг платежной инфраструктуры проводится анализ уязвимостей только объектов информационной инфраструктуры, подвергнутых модернизации.

 

Также, в п. 2.5.5 указано, что ОПДС и ОУПИ должны проводить ежегодное тестирование н проникновение и анализ уязвимостей – пентест, который допускается проводить самостоятельно. Однако, практика показывает обратное. Привлечение сторонней организации помогает своевременно и объективно выявить уязвимости в сети и способствует улучшению общего уровня ИБ в инфраструктуре.

 

Как проводится оценка (аудит) по 382-П?

Согласно п. 2.15.1 оценку соответствия должны проводить сторонние организации, имеющие лицензию на ТЗКИ.

Следует обратить внимание, что п.1.3 говорит о привлечении сторонних организаций по обеспечению защиты информации. Это не одно и то же с проведением оценки соответствия.

 

Проведение оценки соответствия по требованиям 382-П заключается в анализе внутренней документации организации, интервьюирование сотрудников по вопросам ИБ и ИТ, определение используемых платежных систем, а также анализ предоставляемых свидетельств выполнения требований. Конечным результатом такого аудита является отчет, а именно заполненные формы 1 и 2 Приложения 1 к 382-П.

По итогам оценки соответствия формируется два обобщенных показателя – EV1 и EV2, среди которых выбирается минимальное значение. Такое значение и есть итоговый показатель (Rпс) проведенной оценки соответствия требования 382-П.

Примечание: Дата проведения оценки соответствия входит в отчет о проведении оценки соответствия.

 

Согласно п. 2.15.2 оценка проводится не реже 1 раза в два года. С учетом того, что Положение 382-П с 2022 года будет считаться утратившим силу, в текущем 2021 оценку проводить все равно нужно. Это актуально для тех организаций, которые проводили аудит по 382-П в 2019.

 

Какие критерии оценки в 382-П?

В Положении 382-П сформированы следующие критерии, соответствующие итоговому показателю, и которые соответствуют качественным значениям:

Значение оценки Rпс Качественное соответствие
Меньше 0.5 Неудовлетворительная
От 0,50 до 0,70 Сомнительная
От 0,70 до 0,85 Удовлетворительная
0,85 и больше Хорошая

 

Важно, что при проведении оценки соответствия особое значение имеет внутренняя документация по ИБ, а точнее ее соответствие требованиям 382-П. Согласно п. 1.3, для обеспечения защиты информации ОПДС, БПА, ОПС и ОУПИ вправе привлекать сторонние организации.

Автор статьи: Царев Евгений

    Требуется консультация по данному вопросу?

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    *

    Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.