Как часто необходим аудит ИТ безопасности и оценка соответствия 382-П в финансовом секторе

akok

Команда форума
Администратор
Сообщения
17,685
Реакции
13,479
Баллы
2,203

Организация, осуществляющая денежные переводы, должна проходить оценку соответствия 382-П положению Банка России в установленные сроки. Последние поправки внесенные в первоначальную редакцию закона от 2012 года, вступили в законную силу с 1 июля 2018 и 1 июля 2019 г. Эти изменения регламентируют следующие сроки:

  • организациям, проводящим денежные переводы нужно ежегодно проводить тестирование на проникновение (пентест), а также выполнять анализ уязвимостей лицензиатом Федеральной службы по техническому и экспортному контролю;

  • проводить оценку соответствия 382-П Банка России не реже одного раза в 2 года.

Дополнительные изменения

Нововведения 2019 года также коснулись целого ряда дополнительных аспектов работы организаций финансового сектора. Все эти изменения, затрагивающие аудит ИТ безопасности, фактически, полностью переносят ответственность за обеспечение безопасности платежей на кредитные и банковские компании. Ключевые изменения:

  • Обязательны к использованию сертифицированные средства защиты. Это касается программного обеспечения и оборудования.

  • Новая редакция 382-П имеет ряд прямых ссылок на ГОСТ Р ИСО/МЭК 15408-3-2013 (Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий).

  • Модернизация информационных систем теперь требует обязательного внепланового анализа уязвимостей.

  • Регламентирован порядок введения ограничений на проведение операций, инициированных клиентами.

  • Указание на разделение контуров работы информационной системы. Касается контура подготовки электронных сообщений и их верификации клиентом.

  • Выдвинуты требования по информированию регулятора о размещении информации на официальных сайтах и других публичных коммуникациях.

  • Аудит 382-П может проводиться только сторонней организацией, лицензированной ФСТЭК.

Таким образом Банк России, по сути, пошел по пути так называемой «нулевой ответственности», широко распространенной на Западе. Он требует реализации полноценной политики защиты информационной системы банка от всевозможных и постоянно появляющихся рисков. Если же риски приводят к ущербу клиентов банка, то последнему потребуется доказать, что он предпринимал достаточные меры для обеспечения безопасности своей информационной системы.

Сколько может занять оценка соответствия 382-П

В зависимости от масштаба и специфик работы организации, а также профессионализма и расторопности аудиторов этот срок может растянуться до нескольких месяцев. Компании финансового сектора относятся к числу организаций с повышенным риском атаки со стороны злоумышленников. По этой причине, например, для банка адекватная продолжительность аудита с учетом анализа всей глубины и сложности систем информационной безопасности может достигать 2-3 месяцев.

Профессиональные опытные аудиторы выполняют все процедуры в максимально короткий срок, но во многом все будет зависеть от оперативности самого банка. Это касается предоставления документов, проведения интервью и доработки документации по вынесенным рекомендациям.

Каким документам аудиторы уделяют наибольшее внимание

Так как положение 382-П довольно четко регламентирует все аспекты защиты информации, то для соответствия ему в формальном виде требуется прежде всего наличие и качество организационно-распорядительных документов (ОРД). Поэтому некоторые ОРД способны сразу «закрыть» часть вопросов оценки соответствия и поднять итоговый балл. Наибольший вес вносят Положения об организации системы защиты при осуществлении денежных переводов и о порядке работы и обеспечения ИБ на участке работы платежной системы регулятора.

Организациям финансового сектора требуется, чтобы оценка соответствия 382-П проводилась не реже одного раза в 2 года. При этом изменения 2018 и 2019 годов внесли ряд обязательных процедур, которые финансовые организации должны реализовывать совершенствуя свою систему безопасности. В такой ситуации в качестве внешнего независимого аудитора стоит отдавать предпочтение компаниям, оказывающих полный комплекс услуг, включая смежные и связанные решения и консультирующие по профильным вопросам по окончании аудита.

 
Сверху Снизу