Лучшие практики по Положению № 382-П

Комментарии Банка России и аудиторов, а также лучшие практики по 382-П ниже под спойлерами. Если остались вопросы, заполните свой e-mail в поле ниже

2.4.1 Регистрация субъектов доступа (пункты 1-4)

заявки на предоставление доступа на бумаге или в системе ЭДО, согласование заявок с ОИБ;
утверждение перечня стандартных ролей в ИС, назначение ролей приказом;
ведение списков, лиц, которым представлен доступ (в ИС, помещение и т.п.);
указание прав по доступу в ИС в должностных инструкциях;
регистрация предоставленных прав доступа в xls-таблице;
прописать в ОРД банка используемый порядок регистрации субъектов доступа.

2.4.2 Запрет одновременного выполнения ролей (пункты 5-6)

указание в должностных инструкциях сотрудников ИТ только обязанностей по созданию и ремонту ОИИ, для сотрудников бухгалтерии, ОПЕРО и т.п. – использование ОИИ по назначению;
создание для ИТ-сотрудников двух учетных записей – сервисной для установки и обновления ПО, эксплуатационной – для использования ОИИ по назначению;
прописать в ОРД банка соответствующий запрет.

2.4.3 Контроль и регистрация действий субъектов доступа (пункт 7)

регистрация действий - в логах действий пользователей и администраторов в ИС;
контроль - периодически (один раз в квартал) контроль логов с оформлением акта или постоянный контроль логов с использованием SIEM-системы;
прописать порядок регистрации и контроля в ОРД банка (в какие файлы для какой ИС для какого вида субъектов пишутся логи, порядок контроля, его оформление).

2.5.1, 2.5.2. Включение в ТЗ требований ЗИ, согласование с СИБ (пункты 8, 9)

прописать в ОРД банка соответствующее требование, если не будет практики, покажете аудиторам хотя бы свои намерения в ОРД;
при закупке СЗИ или ИС, участвующих в платежном процессе, формировать ТЗ с описанием защитных функций, согласованных с СИБ;
альтернатива – служебные записи от СИБ закупщикам, ИТ или руководству банка с требованиями к защитным функциям приобретаемого решения.

2.5.3 Контроль требований по ЗИ со стороны СИБ (пункт 10)

акты ввода ОИИ в эксплуатацию или протоколы приемо-сдаточных испытаний с отметками СИБ о выполнении требований ТЗ в части защиты информации;
отчеты руководству банка (служебные записки) о соответствии создаваемых/модернизирируемых ОИИ требованиям ТЗ;
прописать в ОРД банка, как именно СИБ контролирует выполнение требований ТЗ для новых ОИИ.

2.5.4 Использование ТСЗИ (пункты 11-13)

акты готовности к обмену с ЦБ;
акты проверки выполнения требований по защите информации на участке ПС БР и участках других ПС;
акты по результатам тренировок по плану ОНиВД, если в ОНиВД есть раздел, посвященный восстановлению работы ТСЗИ;
документацию и дистрибутивы ТЗСИ (антивирус, СЗИ от НСД, FW, DLP, MDM, SIEM и т.п.) сохранять в электронном виде в одной сетевой папке СИБ, бумажную документацию и эталонные экземпляры на дисках хранить в шкафу/сейфе СИБ;
прописать в ОРД банка соответствующие условия.

2.5.5. Запрет использования ЗИ при создании ИС, использование платежного ПО с сертификатом ФСТЭК или анализом уязвимостей по ОУД4, ежегодный пентест (пункты 14, 14.1, 14.2)

акты о вводе ИС в эксплуатацию с отметками об отсутствии на ОИИ защищаемой информации во время тестирования и ввода;
письма от разработчиков платежного ПО о том, что анализ уязвимостей проводится, к такому-то сроку будет готов отчет;
отчет о проведении анализа уязвимостей стандартной версии платежного ПО или версии платежного ПО, которая используется банком;
отчет о проведении тестирования на проникновение, рекомендуется для повышения реального уровня ИБ привлекать для тестирования на проникновение стороннего лицензиата ФСТЭК, пентест проводить как внешний, так и внутренний.
прописать в ОРД банка соответствующий запрет и необходимость использования платежного ПО с анализом уязвимостей по ОУД4.

2.5.6 ЗИ при эксплуатации/снятии с эксплуатации ИС (пункты 15-18)

запрет на несанкционированное копирование информации: ограничение доступа к ресурсам, списки допущенных лиц, журналы учета носителей, ограничение использования внешних носителей, ограничение и контроль доступа в Интернет, использование DLP, endpoint security, логирование действий пользователей;
защита резервный копий: регистрация резервных копий, хранение резервный копий в помещении с ограниченным доступом (серверная, сейфовая ячейка и т.п.), использование СКУД и видеонаблюдения, уничтожение резервных копий по акту и/или с отметкой в журнале учета;
уничтожение информации гарантированным способом: уничтожение по акту с указанием способа уничтожения/стирания с отметками в журналах учета, использование для стирания информации утилит из состава СКЗИ;
прописать в ОРД банка применение соответствующих организационных и технических мер.

2.5.7 ЗИ при разработке клиентской части ДБО (пункты 18.1-18.2)

детектирование вредоносной активности на клиентском компьютере (встраивание в клиентскую часть ДБО);
шифрование трафика между клиентом и сервером (TLS);
электронная подпись сообщений от клиента банку и наоборот;
аутентификация клиента, в т.ч. 2FA;
служебные записки от СИБ о контроле функций по защите информации в приобретаемых решениях для ДБО;
прописать в ОРД банка требования к клиентской части ДБО, порядок контроля функций защиты информации в нем.

2.5.8 Обновления клиентской части ДБО (пункт 18.3)

при самостоятельной разработке - проверка уязвимостей в клиентской части ДБО по публичным базам уязвимостей (БДУ ФСТЭК, CVE Details и др.), отчеты о проверке (служебные записки, протоколы работы сканеров уязвимостей);
при приобретении готового решения – действующий договор на обновления ДБО с обязанностями разработчика по устранению выявленных ошибок, письмо от разработчика ДБО о проведении анализа уязвимостей для каждой новой версии ДБО;
распространение изменений клиенту при обновлении серверной части ДБО;
прописать в ОРД банка порядок контроля уязвимостей и порядок обновления ПО у клиента.

2.5.9 Наличие документации на клиентскую часть ДБО и её обновления (пункты 18.4-18.5)

размещение документации к ДБО на сайте банка;
доведение до клиента документации к ДБО непосредственно в ПО (контекстная справка);
при самостоятельной разработке ДБО поддерживать документацию в актуальном состоянии, формировать акты выпуска версий;
при использовании ДБО от стороннего разработчика – условия договора на обновления ДБО, в т.ч. об обновлении документации;
прописать в ОРД банка порядок доведения до клиента документации, порядок ее обновления, указать ответственное подразделение.

2.5.10 Обновление ПО и СВТ банка (пункт 18.6)

регулярное обновление ОС и СУБД для ДБО, системы ДБО и сопутствующего ПО;
использование WSUS и иных инструментов централизованного обновления;
обязательно устранение критичных уязвимостей на ОИИ, например, CVE-2019_0708;
договор с разработчиком ДБО о регулярных обновлениях системы;
автоматическое обновление клиентской части ДБО при запуске.

2.6.1 Учет ОИИ, в том числе банкоматов/терминалов (пункт 19)

учет в XLS-таблице с отдельными листами для рабочих станций, серверов, сетевого оборудования, АС и ПО;
учет ОИИ (СВТ и серверов) в специализированном ПО, например, 10-Страйк или средствами корпоративного антивируса/endpoint security;
учет банкоматов/терминалов в ПО процессинга;
прописать порядок учета ОИИ в ОРД банка.

2.6.2 Использование технических средств защиты информации (пункт 20)

на участке ПС БР аутентификация средствами СЗИ от НСД;
встроенные механизмы ИАА информационных систем;
в ОРД банка описать требования к используемым ОРД.

2.6.3 Идентификация, аутентификация, авторизация при доступе к ОИИ, логирование, хранение логов (пункты 21-30)

ИАА пользователей на участке ПС БР средствами СЗИ от НСД;
вход пользователей в ОС и не критичные информационные системы по логину и долговременному паролю, в критичные ИС – 2FA (USB- или OTP-токен);
при доступе участников ПС к ОИИ банка – криптографическая аутентификация участников;
логирование действий пользователей и администраторов в ИС встроенными средствами, на участке ПС БР - средствами СЗИ от НСД;
ИАА при доступе к банкомату/терминалу и при проведении ТО при удаленном доступе осуществлять средствами RDP или ПО процессинга, при физическом доступе к банкомату/терминалу ИАА средствами ОС;
логирование действий клиентов в ДБО в файлах логов или в БД системы; описать в ОРД банка имена файлов/таблиц, в которых хранится информация о действиях клиентов в ДБО, состав информации (дата, идентификатор, код…), порядок формирования идентификатора клиента, перечень кодов действий и т.п.; описать условия хранения логов ДБО - срок, место хранения;
логирование действий сотрудников банка по открытию/закрытию счетов средствами АБС, прописать в ОРД банка, как в АБС хранится такая информация;
в ОРД - требования к БПА по передаче банку информации по действиям клиентов в информационных системах БПА;
в ОРД - условия ИАА пользователей при доступе к ОИИ, логирования и хранения логов. Отдельно описать в ОРД требования к паролям, средствам аутентификации и порядок их использования.

2.6.4 Права доступа к ЗИ (пункты 31 – 32)

утвердить приказом стандартные роли в информационных системах;
предоставление прав доступа на основании приказов, служ. записок, заявок в Jira или ЭДО;
права управления криптоключами предоставить сотрудникам ОКЗ приказом;
журналы доступа в ИС, периодический контроль журналов (СИБ) с оформлением актов/служебных записок.

2.6.5, 2.6.6. Регламентация защиты информации при доступе к ОИИ, принятие мер защиты (пункты 33 – 36)

утвердить приказом список лиц, имеющих право доступа в серверные, помещения участка ПС БР, рейсовые комнаты;
настроить права доступа в СКУД в соответствии с приказами, контролировать (СИБ) с оформлением актов/служебных записок;
вести журналы доступа лиц к ТУ ДБО, журнал выдачи ключей от них;
прописать в ОРД банка порядок предоставления физического доступа, условия использования СКУД и видеонаблюдения, пропускной режим.

2.6.8 Защита носителей с ЗИ (пункт 38)

опечатывание системных блоков, журнал опечатывания, контроль целостности печатей (СИБ);
учет носителей с защищаемой информацией по журналу, периодическая проверка их наличия (СИБ) с оформлением актов;
критичные хранилища данных и резервные копии размещать в серверной;
съемные носители хранить в сейфах/запираемых шкафах;
бумажные носители с ЗИ хранить в запираемых ящиках;
вести журнал учета резервных копий.

2.6.9 Блокировка доступа к ДБО клиентом (пункт 39)

клиент в заявлении на подключение к ДБО указывает блокировочное слово, блокировка ДБО по звонку в банк;
блокировка ДБО клиентом из интерфейса системы или письменное заявление о блокировке в офисе банка;
описать в ОРД банка порядок и способы блокировки работы клиента в ДБО.

2.7.1 Использование антивирусов (пункты 40-42)

использовать антивирусы на серверах, СВТ, межсетевом экране (UTM, NGFW), банкоматах и терминалах (KESS);
при технической возможности использовать централизованное управление и автоматическое обновление баз антивируса;
назначить ответственного за обновление антивирусов и их баз;
при отсутствии технической возможности установить антивирус на банкоматы/терминалы оформить приказ;
описать в ОРД банка требования к антивирусам.

2.7.2 Рекомендации для клиентов по защите от ВК (пункт 43)

написать рекомендации для клиентов по защите от вредоносного кода, разместить их на сайте банка или в договоре на ДБО.

2.7.3 Использовать антивирусы различных производителей (пункт 44)

использовать антивирусы различных производителей на серверах (Dr Web, ESET File Security), СВТ (KES 10, McAfee VirusScan Enterprise) и на МЭ (Fortinet, ClamAV).

2.7.4 Проверка антивирусом перед и после установки/обновления ПО (пункты 45-46)

описать в ОРД банка, должностных инструкциях ИТ/ИБ специалистов необходимость предварительной проверки ПО антивирусом и проверки после установки;
вести журнал внесения изменений в ПО в электронном виде с отметками о пред- и пост-проверке СВТ антивирусом;
акты обновления ПО на СВТ с отметками о необходимых антивирусных проверках.

2.7.5 Реагирование на обнаружение вредоносного кода (пункты 47-51)

логи антивируса в подтверждение отсутствия заражений вирусами;
служебные записки ИТ/СИБ о действиях, предпринятых при обнаружении вирусов;
обеспечить резервное копирование информации для оперативного восстановления;
информирование ФинЦЕРТ по фактам обнаружения компьютерных вирусов;
описать в ОРД банка порядок реагирования при обнаружении вирусов, определить ответственных.

2.8.1 Меры защиты при использовании Интернет (п. 52-56)

обмен с ЦБ по выделенному каналу без использования Интернет;
иные ПС: шифрование трафика (TLS) при передаче, использование VPN;
ДБО: шифрование трафика по TLS, ИАА клиента, договорные обязанности клиента соблюдать меры безопасной работы, секретность ключа и паролей;
использование актуальных версий ОС и ПО на серверах, проверка входящего трафика антивирусом и IPS, использование прокси-сервера;
сегментация сети банка;
предоставление сотрудникам банка доступа в Интернет на основании заявок;
автоматическая проверка антивирусом файлов, загруженных из Интернет;
использование сканеров уязвимостей, регулярное обновление ОС и прикладного ПО;
регулярное проведение сканирования и пентестов, устранение выявленных уязвимостей;
резервное копирование серверов АБС и ДБО, АРМ КБР-Н, баз данных, резервирование каналов связи;
тренировки по плану ОНиВД в части ДБО, АБС, АРМ КБР-Н с оформлением актов;
вести журнал нештатных событий;
описать в ОРД банка принимаемые меры и требования к техническим решениям.

2.8.2 ИАА клиента при платежах через Интернет (п. 57-57.3)

аутентификация сотрудника юрлица по ключу ЭП, использование усиленной неквалифицированной ЭП, проверка ЭП на сервере ДБО;
аутентификация физлица по номеру карты/SMS-коду или имени пользователя + паролю/SMS-коду;
в договоре на ДБО и внутреннем ОРД банка описать применяемые методы ИАА клиента при использовании Интернет;
приказ или Положение о ДБО с решением использовать многоразовые/одноразовые паролей.;
описать в ОРД, как выполняются требования к одноразовым паролям;
включать в SMS или push с одноразовым кодом основные реквизиты платежа, описать в ОРД выбранные способы информирования.

2.8.3 Параметры операций в ДБО (п. 57.4)

оценить реализацию в ДБО ограничений по параметрам операций;
описать в ОРД банка реализацию таких ограничений.

2.8.4 Контроль целостности и документация для клиентского ПО (п. 57.5)

передача клиенту ПО на CD по акту с утилитой контроля целостности;
в договоре на ДБО обязать клиента сверить контрольную сумму ПО.

2.8.5 Функции защиты мобильного банкинга (п. 57.6)

защита входа в приложение PIN-кодом, паролем или отпечатком пальца;
использование при работе приложения выделенной области оперативной памяти, очистка памяти при выходе;
хранение критичной информации в защищенной области памяти;
описать в ОРД банка меры защиты мобильного приложения.

2.8.6 Контроль репозиториев мобильного банкинга (п. 57.7-57.8)

публиковать мобильные приложения с указанием разработчика или банка;
назначить ответственных за контроль репозиториев, акты по результатам контроля;
описать в ОРД порядок реагирования при выявлении подложных приложений.

2.8.7 Блокировка клиентом доступа к ДБО (п. 57.9 - аналогично пункту 39)

2.9.1 Требования 63-ФЗ, ПКЗ-2005 и сертификация (п. 58, 59)

служебные записки с результатами контроля в части СКЗИ;
хранение криптоключей в сейфах/пеналах;
передача клиенту для ДБО комплекта СКЗИ с документацией;
размещение СКЗИ в помещениях с ограниченным доступом;
вести журналы учета СКЗИ и криптоключей;
опечатывание СВТ с СКЗИ, периодический контроль опечатывания;
использование сертифицированных ФСБ России СКЗИ;
описать в ОРД требования соответствия НПА и наличия сертификатов.

2.9.2 Встраивание, функциональность и комплектность СКЗИ (п. 60-62)

применение СКЗИ, встроенных в процессы переводов (в ДБО, АБС, АРМ платежных систем) и обеспечивающих непрерывность протоколирования работы;
иметь в наличии формуляры, правила пользования, описание ключевой системы для всех СКЗИ, эталонные экземпляры;
периодически проверять целостность среды функционирования СКЗИ;
описать в ОРД банка требования к применяемым СКЗИ и их комплектности, функциональности, контролю целостности.

2.9.3 Порядок применения СКЗИ (63-69)

акты ввода СКЗИ в эксплуатацию, вывода СКЗИ из эксплуатации;
указать в ОРД, что банк не осуществляет самостоятельную разработку СКЗИ или их встраивание в ИС банка, не вносит изменения в ПО СКЗИ и документацию;
ведение журналов учета СКЗИ, учета криптоключей, учета лиц, допущенных к работе с СКЗИ;
ведение журналов учета нештатных событий;
хранение СКЗИ в сейфах/пеналах;
ведение формуляров на АРМ с установленными СКЗИ;
размещение АРМ с СКЗИ в помещениях с ограниченным доступом;
ознакомление пользователей с документацией к СЗКИ под роспись, обучение работе с СКЗИ;
тренировки по плану ОНиВД в части СКЗИ;
хранение эталонных экземпляров СКЗИ, резервный копий ключей ЭП и шифрования;
уничтожение криптоключей и СКЗИ по акту№
указание в договорах на ДБО на самостоятельную генерацию криптоключей клиентом;
разработать Положение (порядок) о применении СКЗИ, описывающее все вышеперечисленное.

2.9.5 ОПС: необходимость использования СКЗИ (п. 70)

оператор платежной системы определяет в правилах ПС необходимость использования СКЗИ.

2.10.1 учет и контроль состава ПО на СВТ (п. 71)

ведение журнала внесения изменений в ПО и СВТ в электронном виде, база данных в ПО "10-Страйк: Инвентаризация Компьютеров" или иное ПО учета информационных активов;
контроль состава ПО за счет функциональности антивируса;
технические паспорта на АРМ обмена в платежных системах;
заявки на внесение изменений в состав аппаратно-программных средств АС и СВТ;
отсутствие у пользователей прав самостоятельной установки ПО, прав локального администратора;
служебные записки с результатами контроля состава ПО;
в ОРД банка описать порядок учета и контроля состава ПО.

2.10.2 Меры защиты при обмене электронными сообщениями (п. 72 - 73)

оператор ПС в правилах ПС определяет порядок защиты электронных сообщений;
использование СЗИ от НСД, антивируса;
опечатывание системного блока самоклеящимися наклейками, контроль опечатывания
назначение ответственных приказом
размещение АРМ обмена с ПС в помещениях с ограниченным доступом, СКУД и видеонаблюдение;
хранение криптоключей для обмена в ПС в сейфах/пеналах;
в ОРД банка описать меры защиты при обмене ЭС.

2.10.3 ЭП/АСП на распоряжениях в электронном виде (п. 74)

усиленная неквалифицированная ЭП в ПС БР;
ДБО для ЮЛ - усиленная неквалифицированная ЭП или КЭП;
ДБО для ФЛ - простая ЭП;
в иных ПС – усиленная неквалифицированная ЭП в сообщениях или криптографическая аутентификация сторон, использованием VPN.

2.10.4 меры защиты эл. сообщений/информации по счету (п. 75-81)

ДБО для ЮЛ: средства ЭП, шифрование трафика TLS, антифрод, резервирование БД системы ДБО, физическая и логическая защита доступа к БД системы ДБО;
ДБО для ФЛ: одноразовые пароли из СМС, шифрование трафика TLS, резервирование БД системы ДБО, физическая и логическая защита доступа к БД системы ДБО;
АБС: разделение ролей, назначение ответственных, идентификация и аутентификация субъектов доступа, разграничение прав доступа, ручной контроль платежей;
ПС БР: средства ЭП, разделение ролей, назначение ответственных, контроль на этапе формирования ЭС, настройки МЭ, идентификация и аутентификация субъектов доступа, разграничение доступа к информационным активам, шифрование, резервное копирование, защищенное хранение ключевых носителей;
периодический контроль установленной технологии со стороны СИБ с оформлением служебных записок (справок) в соответствии с Планом внутренних проверок состояния ЗИ при переводах ДС;
аутентификация входных ЭС – криптографическая для ЮЛ, по логину-паролю/одноразовому коду для ФЛ;
взаимная аутентификация участников обмена – ДБО для ЮЛ SSL-сертификат банка, логин + пароль + ключ ЭП клиента; ДБО для ФЛ - SSL-сертификат банка, логин + пароль/одноразовый код.

2.10.5, 2.10.6 Защита клиента от ВК или раздельные контуры/ограничения по параметрам операций (п. 81.1-81.2)

контроль защиты информации от воздействия вирусов на клиентском устройстве за счет детектора угроз;
раздельные контуры: 2FA клиента; создание сообщения на ПК, подписание (подтверждение) – на мобильном или другом ПК; реквизиты платежа в SMS с одноразовым паролем; зависимость одноразового кода от реквизитов;
ограничения по параметрам операций: ограничения по сумме и времени платежей, черные и белые списки получателей, IP и гео-фильтрация, ограничения устройств;
описать в ОРД банка применяемые меры защиты.

2.13.1 Информирование/взаимодействие с ОПС (п. 97-100)

оператор ПС устанавливает требования по информированию об инцидентах и порядок взаимодействия при инцидентах в правилах ПС;
банк информирует операторов ПС в соответствии с правилам ПС: ПС БР – ежемесячно/ежеквартально, ПС Сбербанк, Юнистрим, WU, Золотая Корона, Виза – ежемесячно, Мир – в течение 24 часов. Канал информирования – e-mail или через портал. В большинстве ПС при отсутствии инцидентов отчет не отправляется;
взаимодействие банка с оператором ПС при инцидентах через АСОИ ФинЦЕРТ, по e-mail, телефону, через портал (в соответствии с правилами ПС).

2.13.2 Выявление и реагирование на инциденты (п. 101 – 104)

периодический контроль логов ИС ответственными сотрудниками или СИБ с оформлением в журнале контроля;
сотрудники, допущенные к ЗИ, обязаны уведомлять СИБ при выявлении признаков инцидентов
Использование антивируса, endpoint security, DLP, системы обнаружения вторжений, SIEM;
ГРИЗИ (ГРИИБ) реагирует на инциденты;
при внутренних инцидентах при необходимости принимается решение о приостановке переводов;
при внешних инцидентах (ДБО, платежные карты) – блокировка работы клиента;
анализ инцидента: опросы сотрудников, анализ логов ИС и журналов работы СЗИ, записка руководству банка по результатам анализа;
ОРД банка, описывающий порядок выявления инцидентов, реагирования на них и анализа.

2.13.3 статистика инцидентов и методы реагирования (п. 105, 106)

оператор ПС учитывает и обеспечивает доступность информации об инцидентах в ПС и методиках анализа, реагирования.

2.13.4 Регистрация и хранение сведений об инцидентах (п. 106.1, 106.2)

ведение журнала нештатных событий в электронном виде (xls, база Access), различные типы инцидентов ведутся на разных листах (в разных таблицах);
хранение журнала на сетевом ресурсе СИБ, резервирование, срок хранения не менее 5 лет;
описать в ОРД банка порядок ведения и хранения журнала.

2.14.2 Обязанности по защите информации в ПС (п. 107-108)

оператор ПС определяет в правилах обязанности участников по защите информации;
банк изучает правила ПС и определяет порядок ЗИ в каждой из ПС и оформляет ОРД по защите информации на участках различных ПС.

2.14.3 Выполнение порядка ЗИ при переводах (п. 109)

ПС БР: используются СЗИ от НСД, антивирус, СКЗИ, опечатывание системного блока, размещение в отдельном помещении с регламентированным доступом, сейф;
иные ПС: назначение ответственных, контроль физического доступа, СЗИ от НСД, МЭ, VPN, антивирус, СОВ.

2.14.4 Назначение ответственных за ЗИ при переводах (п. 110)

в должностной инструкции сотрудников СИБ указать, что они ответственны за организацию защиты информации при перевода;
или назначить ответственных приказом по банку.

2.14.5 Мониторинг ЗИ при переводах со стороны СИБ (п. 111,112)

выполнение организационных мер защиты контролировать со стороны СИБ в соответствии с годовым Планом проверок: анализ журналов, проверки СВТ. По итогам составлять акты, служебные записки;
применение ТСЗИ контролировать со стороны СИБ в соответствии с годовым Планом проверок: анализ журналов ИС и СЗИ (антивирус, СЗИ от НСД, МЭ, прокси-сервер, СКУД, видеонаблюдение и т.п.) По итогам составлять акты, служебные записки;
в электронном виде вести журналы проверок состояния ЗИ при переводах;
в ОРД банка описать порядок мониторинга организационных и технических мер ЗИ.

2.17.1 Пересмотр ЗИ при изменении требований (п. 121-122)

производить пересмотр порядка ЗИ при: изменениях требований к ЗИ в правилах ПС (672-П); при изменениях порядка ЗИ при переводах (изменения в 382-П);
регламентировать в ОРД банка порядок мониторинга правил ЗИ при переводах, пересмотра порядка ЗИ при изменениях в правилах. Назначить ответственных.

2.17.2 Принятие мер по совершенствованию ЗИ (п. 123-128)
Принимать меры по совершенствованию ЗИ при переводах в случае:

изменения требований в правилах ПС (разделение контуров, назначение ролей, создание ОРД при вступлении в силу 672-П);
изменения законодательства и актов ЦБ (внедрение Fraud-мониторинга в связи с вступлением в силу 167-ФЗ «Об антифроде»);
изменения порядка ЗИ при переводах (изменение бизнес-процессов из-за вступления в силу 683-П)
выявления угроз, рисков, уязвимостей (обновление ОС и ИС, смена паролей, изменение настроек СЗИ по результатам пентеста)
выявления недостатков в ходе мониторинга ИБ (изменение настроек СЗИ, внедрение новых СЗИ по результатам внутреннего аудита)
выявления недостатков при оценке соответствия (формирование планов устранения недостатков и повышения оценки по результатам оценки по 382-П).

2.17.3 Согласование мер совершенствования ЗИ с СИБ (п. 129)

Формирование актов, протоколов по совершенствованию ЗИ, согласованных с СИБ.
Служебные записки от СУБ руководству банка о необходимости совершенствования ЗИ при переводах и свидетельства их исполнения.

2.18.1 Классификация ТУ ДБО (п. 130-132)

проводить классификацию банкоматов и терминалов. Например: офисные банкоматы, черезстенные банкоматы, терминалы. Дополнительные подклассы – ТУ ДБО на территории банка и на иной территории;
формировать акты классификации ТУ ДБО, ежегодный плановый пересмотр классификации или при изменении факторов;
для каждого класса ТУ ДБО установить необходимые меры защиты, в т.ч. конструктивные меры;
описать в ОРД банка порядок классификации ТУ ДБО, выбор мер защиты.

2.18.2 Решение об использовании ТСЗИ для ТУ ДБО (п. 133)

приказ с решением об использовании/отсутствии необходимости использовать технических средств для обнаружения/предотвращения работы несанкционированного оборудования (сигнализация, видеонаблюдение, антискиммеры и т.п.).

2.18.3 Контроль состава ОИИ в сети ТУ ДБО (п. 134)

контроль состава ОИИ в сегментах с ТУ ДБО с отражением правил в ОРД банка и составлением актов по результатам контроля.

2.18.4 Сведения на лицевой панели ТУ ДБО (п. 135, 136)

размещение необходимой информации (банк, ID ТУ ДБО, телефон, порядок действий) на панели ТУ ДБО или информационном стенде рядом с ТУ ДБО;
определить в ОРД и выполнять на практике порядок обработки заявлений клиентов об инцидентах при использовании банкоматов и терминалов;
учитывать обращения от клиентов в электронном журнале (xls);
служебные записки руководству банка по итогам обработки инцидентов в ТУ ДБО.

2.18.5 Порядок настройки ПО и СВТ в составе ТУ ДБО (п. 137)

определить в ОРД и выполнять на практике порядок настройки СЗИ в ТУ ДБО;
шифрование канала связи от ТУ ДБО и сетевые ограничения; использование антивируса; блокировка портов; контроль конфигурации.

2.18.6, 2.18.7 Контроль состояния ТУ ДБО, периодичность, блокировка при отказах (п. 138-140)

ежедневный удаленный мониторинг состояния ТУ ДБО средствами процессинга, в т.ч. контроль НСД к ПО и оборудованию ТУ ДБО;
еженедельные выезды с контролем состояния ТУ ДБО и отметками в журнале контроля;
фиксация фактов сбоев в работе ТУ ДБО в электронном журнале;
при необходимости удаленная блокировка ТУ ДБО инструментами ПО мониторинга, выезд инженера на место;
указание в ОРД банка порядка мониторинга и контроля состояния ТУ ДБО.

2.18.8 Требования к ЗИ для БПА и субагентов (п. 141)

указание требований к БПА в договорах между банком и БПА.

2.19 Оснащение пластиковых карт (п. 142)

оснащение пластиковых карт микропроцессором (чипом).

Полезная информация по 382-П

Выставление оценок
1. За пункт требований не должно проставляться числовое значение, если пункт не относится к банку или у банка нет таких объектов информационной инфраструктуры. Например, за пункт 72 банку нужно ставить "н/о", а не числовое значение, т.к. требования относятся к оператору платежной системы. За пункт 140 банку ставится "н/о", если у него нет банкоматов и платежных терминалов (SST).
2. Нельзя ставить "н/о" для требований, в рамках которых банку нужно принять решение о применении тех или иных мер защиты. Например, за пункт 57.1 ставить 1, если в ОРД Банка указаны требования по аутентификации клиента в ДБО, или ставить "0", если такого приказа нет. "Н/о" можно поставить, если у банка нет системы ДБО вообще.
3. Нельзя ставить "н/о" для требований по взаимодействию с платежной системой, если такое взаимодействие реально ведется.
Обоснование оценок
4. В графе 4 формы 1 при выставлении любой оценки, в т.ч. "н/о", должно быть указано обоснование такой оценки.
Требования к ОРД банка
5. В ОРД банка не должно быть прямого цитирования требований 382-П. Нужно описание, как то или иное требование выполняется в банке.
Требования к отчетности 0403202
6. С лета 2018 года оценку выполнения требований 382-П в банке должна проводить только внешняя компания с лицензий ФСТЭК на техническую защиту конфиденциальной информации. В форме отчетности 0403202 банк должен указать, какая именно внешняя компания провела оценку.
7. Дата заголовка формы 0403202 должна совпадать с датой утверждения отчета об оценке выполнения требований 382-П исполнительным органом управления банка.

Консультация по выполнению требований 382-П

Если вам нужна консультация по выполнению требований Положения Банка России № 382-П, оставьте свою электронную почту в форме заявки. Мы свяжемся в ближайшее время