Итоги проведения пилотного аудита по 382-П в банке

Компания «БИФИТ» завершила пилотный проект по аудиту выполнения требований Положения 382-П в одном из московских банков.

Делимся опытом по итогам проведения проекта.

Для тех, кто не боится больших текстов по ссылке отдельная статья с описанием "боевого" аудита по 382-П в региональном банке и рекомендациям по повышению оценки. 

1. Порядок проведения аудита

1.1. Проект занял по времени около 85 часов, было проведено 5 выездных проверок.

1.2. В ходе проведения аудита было изучено:

• 39 актов и приказов;
• 27 организационно-распорядительных документов (политики, положения, порядки);
• 14 журналов;
• 7 документов иного типа (планы, должностные инструкции, методики, модели угроз и нарушителя);
• 5 регламентов;
• 4 типовых договора.

1.3. Из оценки было исключено 18 показателей (оценка «н/о»), оценено 147 показателей.

1.4. Оценки по показателям:

• «0» - 11
• «0,25» - 14
• «0,5» - 34
• «0,75» - 11
• «1» - 77

1.5. Основная нагрузка по предоставлению сведений для проведения аудита легла на сотрудников отдела информационной безопасности.

1.6. В рамках проверки практического выполнения требований в банке помимо сотрудников отдела информационной безопасности были опрошены сотрудники подразделений банка:

• информационных технологий и автоматизации;
• службы безопасности и инкассации;
• клиентского подразделения;
• пластиковых карт;
• юридического отдела.

2. Выполнение требований Положения

2.1. Большинство необходимых организационно-распорядительных документов в банке было разработано и применялось на практике, однако, некоторые документы отсутствовали, а деятельность велась не в полном объеме.

Существенные недостатки приведены ниже.

2.2. Отсутствие документов, регламентирующих:

• порядок контроля и регистрации действий сотрудников банка;
• порядок восстановления функционирования технических средств защиты информации (ТСЗИ) при сбоях/отказах;
• порядок использования паролей доступа банкоматам/терминалам;
• порядок предоставления услуг банк-клиента (содержащий порядок формирования уникального идентификатора клиента в банк-клиенте, перечень кодов действий клиентов, подлежащий регистрации идентификатор устройства);
• порядок сверки входных электронных сообщений с выходными электронными сообщениями;
• порядок выявления фальсифицированных электронных сообщений;
• план проверок в области информационной безопасности на 2018 год;
• порядок выбора технических мер по защите информации и функциональных/конструктивных особенностей банкоматов/терминалов по результатам классификации банкоматов/терминалов;
• порядок настройки ПО и СВТ в составе банкомата/терминала, включая конфигурацию ТСЗИ;
• порядок контроля банкоматов/терминалов в зависимости от статистики операций, инцидентов, использования удаленного мониторинга, применения ТСЗИ и классификации.

2.3. Имелись регламентирующие документы, но практически не велась деятельность (или велась не в полной мере):

• предоставление доступа сотрудникам банка к ресурсам в соответствии с паспортами ролей;
• реализация запрета на использование защищаемой информации на вновь создаваемых объектах информационной инфраструктуры (ОИИ);
• уничтожение защищаемой информации гарантированным способом;
• мониторинг уязвимостей;
• учет ОИИ;
• учет доступа лиц к банкоматам/терминалам;
• учет инцидентов ИБ;
• классификация банкоматов/терминалов в зависимости от применяемых мер защиты;
• контроль состава ОИИ в сегменте размещения банкоматов/терминалов;
• регистрация в учетных формах заявлений клиентов о нарушениях в работе банкоматов/терминалов;
• отсутствовала необходимая информация на лицевых панелях банкоматов/терминалов.

3. Итоги

3.1. В результате подсчета общая оценка банка по показателю EV1пс немного не дотянула до «удовлетворительная», по показателю EV2пс - «удовлетворительная».

3.2. Разработка/дополнение около 10 документов, заведение нескольких журналов, приведение в соответствие лицевых панелей банкоматов/терминалов и докупка нескольких продуктов позволят повысить банку оценку по показателю EV1пс до «удовлетворительная», а EV2пс – до «хорошая».

3.3. Стоит отметить, что новая команда банка в области ИБ примерно за год провела большую работу и выполнила большинство требований 382-П на приемлемом уровне.

3.4. Многие требования по контролю действий сотрудников, установке обновлений, ограничений при работе в Интернете, контролю внешних устройств возможно выполнить с помощью всего лишь одного умело настроенного корпоративного продукта от известного антивирусного вендора.

4. Бонусы 

Как банку подготовиться к аудиту по 382-П?

Все Положение № 382-П на одном слайде. В правом вернем углу каждой фигуры указано количество оцениваемых параметров из приложения 2 к Положению - так банку проще понять важность каждого из направлений работы, а аудиторам - распределить трудозатраты:)

Все требования 382-П

Некоторые сокращения:

• ЗИ - защищаемая информация
• ОЗИ - организация защиты информации
• ОИИ - объект информационной инфраструктуры
• ОПС - оператор платежной системы
• СИБ - служба информационной безопасности

Обновление от 16.10.2018

Результаты самооценки банков в 9 из 10 случаев сильно завышены.
 
Коллеги, проводите предварительный аудит заранее! 
Очень важно знать реальное состояние дел по выполнению требований 382-П, чтобы иметь время на исправление недостатков: разработку недостающих организационно-распорядительных документов,  приказов, внедрение процессов или технических средств.
Если начинать аудит за месяц до момента подачи результатов в ЦБ, времени на исправление не останется совсем! 

Нужно рассчитать стоимость аудита по 382-П или проекта по разработке документации - обращайтесь.


Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!