Что собой представляет и как проводится Аудит 382 П

на правах рекламы

Аудит 382 П (или оценка информационной безопасности) — системный процесс, в рамках которого собираются все данные относительно состояния IT-инфраструктуры финансовой компании, и определяется ее соответствие положению 382 П Банка РФ.

Вышеописанный аудит необходим для обеспечения информационной безопасности всех кредитных, банковских, клиринговых и подобных предприятий, которые имеют право проводить денежные транзакции.

Согласно действующему законодательству, каждая из финансовых организаций обязана проводить такой аудит как минимум раз в 24 месяца. При этом, к работе должна привлекаться сторонняя организация, имеющая лицензию на проведение подобных работ.

Этапы выполнения оценки 382 П

На сегодняшний день существует масса различных предприятий, предлагающих проведение независимой оценки финансового предприятия на его соответствие положению 382 Банка РФ.

Стоит учесть, что сам Банк РФ указал в своем положении более 170 различных критериев оценки, и справиться с таким объемом анализируемой информации сможет только профессиональный аудитор.

Непосредственно сам аудит должен проводиться с учетом текущих тенденций и технологий, а не исключительно формально. Только такое решение позволит полностью соответствовать всем нормам положения.

Обычно оценка 382 П выполняется аудитором следующими этапами:

1. Тщательное изучение документации компании: положений и политик о работе, организационных документов и т. д.
2. Обследование всех информационных систем, которые любым образом касаются проведения финансовых операций.
3. Проверка компании на предмет соблюдения установленных норм в сфере защиты данных.
4. Беседы с рабочим персоналом по теме реализации задокументированных мер защиты на практике.
5. Определение конечного списка процедур и рекомендаций, направленных на улучшение информационной безопасности предприятия.
6. Общий отчет о соответствии системы безопасности компании положению 382 П.
7. Подготовка и составление официального ответа по форме, прописанной в положении.

В процессе аудирования компании предприятием-подрядчиком заполняется ряд определенных документов, которые в дальнейшем могут быть переданы Банку РФ, если на то есть причины.

Кроме того, сама процедура может быть разделена на 2 части:

1. предварительную оценку;
2. итоговый аудит.

Это зависит от размера предприятия, а также особенностей его финансовой деятельности.

Требования, установленные положением 382 П

Положение Банка РФ устанавливает главные требования к транзакциям в области информационной безопасности финансовой компании. В ходе аудирования максимальное внимание будет уделяться таким аспектам как:

● процесс непрерывного улучшения ИБ;

● управление и оперативное решение любых проблем, возникающих в системе;

● вовлечение в процесс улучшения информационной безопасности компании всех ответственных сотрудников;

● организация доступа ко всем частям IT-инфраструктуры;

● внедрение криптографических механизмов защиты;

● защита от вирусного программного обеспечения;

● инструменты и способы защиты данных в интернете.

Сроки проведения оценки

Обычно время проведения аудита 382 П варьируются в пределах 2-3 месяцев, что зависит от масштаба конкретного предприятия. Такие сроки особенно справедливы, если планируется предварительный аудит и выездной этап.

После завершения работы компания-аудитор предоставляет компании-заказчику ряд рекомендаций касаемо обеспечения оптимального уровня информационной безопасности в виде, установленным Банком РФ.