Аудит на соответствие требованиям Положения Банка России 382-П

Аудит информационной безопасности необходим для получения информации о состоянии системы обеспечения информационной безопасности, оценки ее текущего состояния, либо оценки качества системы менеджмента информационной безопасности или системы информационной безопасности, в рамках области проведения аудита и в соответствии с его критериями.

«Лаборатория ВС» реализует мероприятия по проведению внешней оценки соответствия системы обеспечения информационной безопасности организации требованиям Положения 382-П.

Специалисты нашей компании являются сертифицированными аудиторами информационной безопасности организаций БС РФ и обладают необходимым опытом проведения аудитов кредитно-финансовых организаций по требованиям законодательства РФ, СТО БР ИББС и международных стандартов в области информационной безопасности, что гарантирует квалифицированный подход к работе по оценке соответствия.

Цели и задачи

Целью внешней оценки соответствия требованиям по защите информации в Национальной платежной системе является независимое и объективное определение степени соответствия системы обеспечения информационной безопасности организации-субъекта НПС требованиям по обеспечению защиты информации при осуществлении переводов денежных средств.

Область и границы

В область проведения внешней оценки соответствия требованиям по защите информации в Национальной платёжной системе включаются:

  • ИТ-инфраструктура организации-субъекта НПС, обеспечивающая реализацию банковских технологических процессов, включая средства и системы защиты информации;
  • подразделения организации-субъекта НПС, участвующие в реализации технологических процессов по переводу денежных средств;
  • нормативное обеспечение СОИБ и документы операторов платежных систем, участником которых является организация-субъект НПС.

Состав работ

Работы по проведению внешней оценки соответствия требованиям по защите информации в Национальной платёжной системе включают:

  • Разработку и сопровождение программы проведения внешней оценки (аудита информационной безопасности).
  • Сбор и анализ свидетельств аудита информационной безопасности.
  • Оценку степени выполнения обязательных требований Банка России к защите информации при переводе денежных средств.
  • Оценку текущего уровня соответствия системы обеспечения информационной безопасности кредитно-финансовой организации требованиям Положения 382-П.
  • Документирование результатов аудита информационной безопасности.
  • Формирование необходимой отчетности в Банк России.
  • Разработку рекомендаций по совершенствование системы обеспечения информационной безопасности кредитно-финансовой организации/оценку степени выполнения планов по модернизации системы обеспечения информационной безопасности (в случае, если оценка проводится повторно, либо до ее проведения был реализован комплекс соответствующих мероприятий).

Внешняя оценка соответствия требованиям по защите информации в Национальной платёжной системе позволит:

  • Получить актуальную и объективную оценку текущего уровня информационной безопасности кредитно-финансовой организации.
  • Сформировать подробный отчет по результатам оценки соответствия согласно требованиям Положения 382-П с указанием обнаруженных недостатков.
  • Избежать ошибок при проведении самооценки, к наиболее распространенным из которых относятся:
    • неверная трактовка требований Положения 382-П;
    • проведение самооценки без учета требований всех платежных систем, участником которых является кредитно-финансовая организация;
    • некорректно выбранная область проведения самооценки, включающая не все объекты среды, участвующие в обработке информации о переводах денежных средств;
    • недостаточная обоснованность выставленной оценки;
    • завышение (занижение) оценок показателей;
    • отсутствие или недостаток свидетельств аудита;
    • выставление оценки на основании устаревших или неактуальных данных.
  • Снизить вероятность появления замечаний со стороны Банка России, связанных с качеством проведения работ по оценке выполнения требований по защите информации при переводе денежных средств в Национальной платежной системе.
  • Сформировать необходимый базис для планирования работ по достижению приемлемого уровня соответствия требованиям Положения 382-П и получить рекомендации по модернизации системы обеспечения информационной безопасности в целом.

При разработке рекомендаций по модернизации системы обеспечения информационной безопасности организации — субъекта НПС в целях выполнения требований к защите информации в Национальной платежной системе, специалистами нашей компании выделяются:

  • Приоритетные мероприятия (не требующие существенных затрат), реализация которых обеспечивается путем:
    • разработки (внесения изменений и доработки) локальных нормативных актов и документирования отдельных технологических процессов, связанных с обеспечением защиты информации на стадиях жизненного цикла информационных систем, обеспечивающих реализации технологических процессов по переводу денежных средств;
    • конфигурирования используемого в Банке оборудования и программного обеспечения, реализующего функционал по защите информации.
  • Перспективные мероприятия(требующие внедрения дополнительных средств и систем), обеспечивающих выполнение отдельных требований Положения 382-П, а так же рекомендации, которые в силу определенных особенностей требуют существенного пересмотра системы менеджмента информационной безопасности организации-субъекта НПС.

Специалистами «Лаборатории ВС», по согласованию с Заказчиком работ, проводится оценка степени влияния рекомендуемых мероприятий на значения итоговых показателей и оценка финансовых и временных затрат на их реализацию. Данные работы позволят Заказчику более качественно планировать работы по защите информации при осуществлении переводов денежных средств и определить для себя приемлемый уровень соответствия требованиям Положения 382-П на текущий момент.