Область оценки и защита информации по 382-П по статистике от 115 банков
Для расчета стоимости внешней оценки по 382-П к нам обратилось 115 банков. После обработки заполненных анкет получили интересную статистику по теме 382-П.
1. В Экспертно-правовой центр БИФИТ обращаются банки для расчета стоимости аудита по 382-П.
Для оценки будущих трудозатрат и, соответственно, стоимости и сроков проекта банки заполняют анкеты. За 2018-2020 годы к нам поступило 115 заполненных анкет.
Для правильной оценки всей приведенной ниже статистики нужно учитывать, среди каких банков в основном производилась выборка.
Наибольшая доля банков - из четвертой сотни рейтинга. Средний рейтинг обратившегося банка - 252.
Для оценки будущих трудозатрат и, соответственно, стоимости и сроков проекта банки заполняют анкеты. За 2018-2020 годы к нам поступило 115 заполненных анкет.
Для правильной оценки всей приведенной ниже статистики нужно учитывать, среди каких банков в основном производилась выборка.
Наибольшая доля банков - из четвертой сотни рейтинга. Средний рейтинг обратившегося банка - 252.
2. На стоимость внешней оценки по 382-П напрямую влияет количество платежных систем, в которых участвует банк.
Выполнение требований для каждой платежной системы повышает трудозатраты аудиторов на проект.
Поэтому для оценки стоимости мы в анкетах запрашиваем у банков информацию о количестве используемых платежных систем. В это число также входит платежная система Банка России. Наиболее популярный вариант - 3 или 4 платежных системы. В среднем - 4,8. Максимальное значение - 15 платежных систем.
Выполнение требований для каждой платежной системы повышает трудозатраты аудиторов на проект.
Поэтому для оценки стоимости мы в анкетах запрашиваем у банков информацию о количестве используемых платежных систем. В это число также входит платежная система Банка России. Наиболее популярный вариант - 3 или 4 платежных системы. В среднем - 4,8. Максимальное значение - 15 платежных систем.
3. Количество информационных систем банка также влияет на трудозатраты по проекту.
К ним мы относим информационные системы, в которых обрабатывается защищаемая информация: АБС, ДБО, АРМ КБР-Н, процессинг. В рамках 382-П мы не относили к таким системам отдельные АРМ для работы в иных платежных системах.
В каждом банке минимально присутствуют 3 информационные системы (ДБО, АБС, АРМ КБР-Н). В среднем - 4,75. Максимальное количество - 10 информационных систем.
К ним мы относим информационные системы, в которых обрабатывается защищаемая информация: АБС, ДБО, АРМ КБР-Н, процессинг. В рамках 382-П мы не относили к таким системам отдельные АРМ для работы в иных платежных системах.
В каждом банке минимально присутствуют 3 информационные системы (ДБО, АБС, АРМ КБР-Н). В среднем - 4,75. Максимальное количество - 10 информационных систем.
4. Количество различных СКЗИ в банке.
При расчете трудозатрат, необходимых для проекта, учитывались СКЗИ, которые используются банком при работе с защищаемой информацией.
Чаще всего встречался вариант с шестью различными СКЗИ. В среднем - 7,1. У крупных банков встречались варианты использования более, чем 10 различных СКЗИ.
При расчете трудозатрат, необходимых для проекта, учитывались СКЗИ, которые используются банком при работе с защищаемой информацией.
Чаще всего встречался вариант с шестью различными СКЗИ. В среднем - 7,1. У крупных банков встречались варианты использования более, чем 10 различных СКЗИ.
5. Количество технических средств защиты.
Речь идет о средствах защиты, которые используются в процессах переводов денежных средств. К ним относят антивирус, СЗИ от НСД, межсетевой экран (FW, NGFW, UTM), антиспам, DLP, SIEM, endpoint security и др.
Чаще всего в банках используются 3-5 типов технических средств защиты. В среднем - 4,9. В крупных банках количество различных типов ТСЗИ доходило до 10-12 и более.
Речь идет о средствах защиты, которые используются в процессах переводов денежных средств. К ним относят антивирус, СЗИ от НСД, межсетевой экран (FW, NGFW, UTM), антиспам, DLP, SIEM, endpoint security и др.
Чаще всего в банках используются 3-5 типов технических средств защиты. В среднем - 4,9. В крупных банках количество различных типов ТСЗИ доходило до 10-12 и более.
6. Используемые для выполнения требований 382-П ОРД банка.
Учитывались документы банков, затрагивающие область информационной безопасности при переводах денежных средств.
В ходе поведения аудитов по 382-П мы сталкивались с различным подходом. Некоторые банки готовили одно большое Положение о защите информации при переводах денежных средств, в котором описывали большинство необходимых для выполнения требований Положения 382-П условий.
Другие банки для каждой области формировали отдельный документ: Политика антивирусной защиты, Политика при назначении и распределении ролей, Положение о межсетевом экране, Положение о защите информации при использовании ТУ ДБО и т.п.
Но, в целом, мало какой банк обошелся менее, чем десятью ОРД.
Более половины банков имеют от 10 до 30 внутренних документов в сфере защиты информации при переводах денежных средств.
Среднее количество - 28 документов. Максимально количество ОРД в крупных банках могло превышать 80.
Учитывались документы банков, затрагивающие область информационной безопасности при переводах денежных средств.
В ходе поведения аудитов по 382-П мы сталкивались с различным подходом. Некоторые банки готовили одно большое Положение о защите информации при переводах денежных средств, в котором описывали большинство необходимых для выполнения требований Положения 382-П условий.
Другие банки для каждой области формировали отдельный документ: Политика антивирусной защиты, Политика при назначении и распределении ролей, Положение о межсетевом экране, Положение о защите информации при использовании ТУ ДБО и т.п.
Но, в целом, мало какой банк обошелся менее, чем десятью ОРД.
Более половины банков имеют от 10 до 30 внутренних документов в сфере защиты информации при переводах денежных средств.
Среднее количество - 28 документов. Максимально количество ОРД в крупных банках могло превышать 80.
7. Ожидаемая оценка по результатам проекта по аудиту по 382-П
Перед началом проекта важно понимать, насколько высоки ожидания банка об оценке по итогам проекта по аудиту.
Результаты предварительной оценки внешним аудитором практически всегда оказываются ниже, чем ожидаемая банком оценка.
Для повышения оценки требуется доработка ОРД банка и процессов, заведение журналов, составление актов, назначение ответственных, внедрение дополнительных средств защиты и т.п. Все это требует времени и ресурсов.
Лишь немногие банки изначально были готовы получить оценку ниже "0,7", то есть "неудовлетворительная" и "сомнительная".
Среднее значение ожиданий банков - 0,774. Такая оценка соответствует качественной оценке состояния защиты информации в банке при переводах денежных средств "удовлетворительная".
Перед началом проекта важно понимать, насколько высоки ожидания банка об оценке по итогам проекта по аудиту.
Результаты предварительной оценки внешним аудитором практически всегда оказываются ниже, чем ожидаемая банком оценка.
Для повышения оценки требуется доработка ОРД банка и процессов, заведение журналов, составление актов, назначение ответственных, внедрение дополнительных средств защиты и т.п. Все это требует времени и ресурсов.
Лишь немногие банки изначально были готовы получить оценку ниже "0,7", то есть "неудовлетворительная" и "сомнительная".
Среднее значение ожиданий банков - 0,774. Такая оценка соответствует качественной оценке состояния защиты информации в банке при переводах денежных средств "удовлетворительная".
30 ИЮНЯ / 2020