Изменения оценки соответствия 382-П

Предприятия, которые занимаются денежными операциями, обязаны проводить оценку соответствия 382-П в обозначенные сроки:

- если предприятие проводит деятельность в сфере денежных переводов, ему необходимо проводить тестирование на проникновение каждый год. Кроме того, следует проводить анализ уязвимостей с помощью услуг лицензированного подрядчика;

- аудит 382-П должен проводиться каждые два года.

Что изменилось

В 2019 году Банк России ввел новые нормы, которые затронули множество дополнительных аспектов деятельности финансовых организаций. В основном изменения коснулись аудита ИТ-безопасности, в частности, теперь обеспечить безопасность платежей должна компания, которая занимается вышеупомянутой деятельностью.

Перечень основных изменений:

- программное обеспечение и оборудование должны быть защищены специальными сертифицированными средствами;

- проводить модернизацию систем можно только по проведению анализа уязвимостей;

- определен порядок применения ограничений на операции, запрашиваемые клиентом;

- диверсификация информационных систем, в частности, касается модуля отправки электронных сообщений и проверки сообщений на стороне клиента;

- теперь следует оповестить Банк России об информации, размещаемой на веб-сайтах, а также остальных публичных источниках;

- проведение аудита 382-П теперь может осуществляться исключительно сторонними подрядчиками, которые имеют лицензию ФСТЭК.

Как можно заметить, Банк России применил тактику, распространенную на Западе, именуемую «тактикой нулевой ответственности», которая обязует банки реализовать полноценную защиту от различных рисков, связанных с финансовой деятельностью. В случае нанесения ущерба клиенту банку придется доказывать обеспечение всех возможных мер для защиты информации и/или финансовых благ клиента.

Сколько времени занимает аудит 382-П

Все зависит как от профессионализма аудиторов, так и от масштабов работы. Оценка соответствия может занять от недели до нескольких месяцев. Организации, работающие в финансовом секторе, особо подвержены риску вторжения в информационные системы. Поэтому для крупных предприятий, например банков, продолжительность проведения аудита ИБ может составить 2-3 месяца.

Аудиторы с опытом способны выполнить свою работу в максимально сжатый срок, в то же время многое зависит и от банка. Например, важно оперативно отвечать на запросы аудиторов, предоставлять документацию и вносить изменения в алгоритмы работы по рекомендации специалистов.