на правах рекламы
Аудит 382 П (или оценка информационной безопасности) — системный процесс, в рамках которого собираются все данные относительно состояния IT-инфраструктуры финансовой компании, и определяется ее соответствие положению 382 П Банка РФ.
Вышеописанный аудит необходим для обеспечения информационной безопасности всех кредитных, банковских, клиринговых и подобных предприятий, которые имеют право проводить денежные транзакции.
Согласно действующему законодательству, каждая из финансовых организаций обязана проводить такой аудит как минимум раз в 24 месяца. При этом, к работе должна привлекаться сторонняя организация, имеющая лицензию на проведение подобных работ.
Этапы выполнения оценки 382 П
На сегодняшний день существует масса различных предприятий, предлагающих проведение независимой оценки финансового предприятия на его соответствие положению 382 Банка РФ.
Стоит учесть, что сам Банк РФ указал в своем положении более 170 различных критериев оценки, и справиться с таким объемом анализируемой информации сможет только профессиональный аудитор.
Непосредственно сам аудит должен проводиться с учетом текущих тенденций и технологий, а не исключительно формально. Только такое решение позволит полностью соответствовать всем нормам положения.
Обычно оценка 382 П выполняется аудитором следующими этапами:
- Тщательное изучение документации компании: положений и политик о работе, организационных документов и т. д.
- Обследование всех информационных систем, которые любым образом касаются проведения финансовых операций.
- Проверка компании на предмет соблюдения установленных норм в сфере защиты данных.
- Беседы с рабочим персоналом по теме реализации задокументированных мер защиты на практике.
- Определение конечного списка процедур и рекомендаций, направленных на улучшение информационной безопасности предприятия.
- Общий отчет о соответствии системы безопасности компании положению 382 П.
- Подготовка и составление официального ответа по форме, прописанной в положении.
В процессе аудирования компании предприятием-подрядчиком заполняется ряд определенных документов, которые в дальнейшем могут быть переданы Банку РФ, если на то есть причины.
Кроме того, сама процедура может быть разделена на 2 части:
- предварительную оценку;
- итоговый аудит.
Это зависит от размера предприятия, а также особенностей его финансовой деятельности.
Требования, установленные положением 382 П
Положение Банка РФ устанавливает главные требования к транзакциям в области информационной безопасности финансовой компании. В ходе аудирования максимальное внимание будет уделяться таким аспектам как:
● процесс непрерывного улучшения ИБ;
● управление и оперативное решение любых проблем, возникающих в системе;
● вовлечение в процесс улучшения информационной безопасности компании всех ответственных сотрудников;
● организация доступа ко всем частям IT-инфраструктуры;
● внедрение криптографических механизмов защиты;
● защита от вирусного программного обеспечения;
● инструменты и способы защиты данных в интернете.
Сроки проведения оценки
Обычно время проведения аудита 382 П варьируются в пределах 2-3 месяцев, что зависит от масштаба конкретного предприятия. Такие сроки особенно справедливы, если планируется предварительный аудит и выездной этап.
После завершения работы компания-аудитор предоставляет компании-заказчику ряд рекомендаций касаемо обеспечения оптимального уровня информационной безопасности в виде, установленным Банком РФ.