Телеканал NTD

Что собой представляет и как проводится Аудит 382 П

Что собой представляет и как проводится Аудит 382 П

на правах рекламы

Аудит 382 П (или оценка информационной безопасности) — системный процесс, в рамках которого собираются все данные относительно состояния IT-инфраструктуры финансовой компании, и определяется ее соответствие положению 382 П Банка РФ.

Вышеописанный аудит необходим для обеспечения информационной безопасности всех кредитных, банковских, клиринговых и подобных предприятий, которые имеют право проводить денежные транзакции.

Согласно действующему законодательству, каждая из финансовых организаций обязана проводить такой аудит как минимум раз в 24 месяца. При этом, к работе должна привлекаться сторонняя организация, имеющая лицензию на проведение подобных работ.

Этапы выполнения оценки 382 П

На сегодняшний день существует масса различных предприятий, предлагающих проведение независимой оценки финансового предприятия на его соответствие положению 382 Банка РФ.

Стоит учесть, что сам Банк РФ указал в своем положении более 170 различных критериев оценки, и справиться с таким объемом анализируемой информации сможет только профессиональный аудитор.

Непосредственно сам аудит должен проводиться с учетом текущих тенденций и технологий, а не исключительно формально. Только такое решение позволит полностью соответствовать всем нормам положения.

Обычно оценка 382 П выполняется аудитором следующими этапами:

  1. Тщательное изучение документации компании: положений и политик о работе, организационных документов и т. д.
  2. Обследование всех информационных систем, которые любым образом касаются проведения финансовых операций.
  3. Проверка компании на предмет соблюдения установленных норм в сфере защиты данных.
  4. Беседы с рабочим персоналом по теме реализации задокументированных мер защиты на практике.
  5. Определение конечного списка процедур и рекомендаций, направленных на улучшение информационной безопасности предприятия.
  6. Общий отчет о соответствии системы безопасности компании положению 382 П.
  7. Подготовка и составление официального ответа по форме, прописанной в положении.

В процессе аудирования компании предприятием-подрядчиком заполняется ряд определенных документов, которые в дальнейшем могут быть переданы Банку РФ, если на то есть причины.

Кроме того, сама процедура может быть разделена на 2 части:

  1. предварительную оценку;
  2. итоговый аудит.

Это зависит от размера предприятия, а также особенностей его финансовой деятельности.

Требования, установленные положением 382 П

Положение Банка РФ устанавливает главные требования к транзакциям в области информационной безопасности финансовой компании. В ходе аудирования максимальное внимание будет уделяться таким аспектам как:

● процесс непрерывного улучшения ИБ;

● управление и оперативное решение любых проблем, возникающих в системе;

● вовлечение в процесс улучшения информационной безопасности компании всех ответственных сотрудников;

● организация доступа ко всем частям IT-инфраструктуры;

● внедрение криптографических механизмов защиты;

● защита от вирусного программного обеспечения;

● инструменты и способы защиты данных в интернете.

Сроки проведения оценки

Обычно время проведения аудита 382 П варьируются в пределах 2-3 месяцев, что зависит от масштаба конкретного предприятия. Такие сроки особенно справедливы, если планируется предварительный аудит и выездной этап.

После завершения работы компания-аудитор предоставляет компании-заказчику ряд рекомендаций касаемо обеспечения оптимального уровня информационной безопасности в виде, установленным Банком РФ.

Короткая ссылка на эту страницу: