вторник, 6 марта 2018 г.

Итоги проведения пилотного аудита по 382-П в банке

Компания «БИФИТ» завершила пилотный проект по аудиту выполнения требований Положения 382-П в одном из московских банков.

Делимся опытом по итогам проведения проекта.

Для тех, кто не боится больших текстов по ссылке отдельная статья с описанием "боевого" аудита по 382-П в региональном банке и рекомендациям по повышению оценки. 

1. Порядок проведения аудита


1.1. Проект занял по времени около 85 часов, было проведено 5 выездных проверок.

1.2. В ходе проведения аудита было изучено:
  • 39 актов и приказов;
  • 27 организационно-распорядительных документов (политики, положения, порядки);
  • 14 журналов;
  • 7 документов иного типа (планы, должностные инструкции, методики, модели угроз и нарушителя);
  • 5 регламентов;
  • 4 типовых договора.
1.3. Из оценки было исключено 18 показателей (оценка «н/о»), оценено 147 показателей.

1.4. Оценки по показателям:
  • «0» - 11
  • «0,25» - 14
  • «0,5» - 34
  • «0,75» - 11
  • «1» - 77

1.5. Основная нагрузка по предоставлению сведений для проведения аудита легла на сотрудников отдела информационной безопасности.

1.6. В рамках проверки практического выполнения требований в банке помимо сотрудников отдела информационной безопасности были опрошены сотрудники подразделений банка:

  • информационных технологий и автоматизации;
  • службы безопасности и инкассации;
  • клиентского подразделения;
  • пластиковых карт;
  • юридического отдела.

2. Выполнение требований Положения


2.1. Большинство необходимых организационно-распорядительных документов в банке было разработано и применялось на практике, однако, некоторые документы отсутствовали, а деятельность велась не в полном объеме.
Существенные недостатки приведены ниже.

2.2. Отсутствие документов, регламентирующих:
  • порядок контроля и регистрации действий сотрудников банка;
  • порядок восстановления функционирования технических средств защиты информации (ТСЗИ) при сбоях/отказах;
  • порядок использования паролей доступа банкоматам/терминалам;
  • порядок предоставления услуг банк-клиента (содержащий порядок формирования уникального идентификатора клиента в банк-клиенте, перечень кодов действий клиентов, подлежащий регистрации идентификатор устройства);
  • порядок сверки входных электронных сообщений с выходными электронными сообщениями;
  • порядок выявления фальсифицированных электронных сообщений;
  • план проверок в области информационной безопасности на 2018 год;
  • порядок выбора технических мер по защите информации и функциональных/конструктивных особенностей банкоматов/терминалов по результатам классификации банкоматов/терминалов;
  • порядок настройки ПО и СВТ в составе банкомата/терминала, включая конфигурацию ТСЗИ;
  • порядок контроля банкоматов/терминалов в зависимости от статистики операций, инцидентов, использования удаленного мониторинга, применения ТСЗИ и классификации.

2.3. Имелись регламентирующие документы, но практически не велась деятельность (или велась не в полной мере):
  • предоставление доступа сотрудникам банка к ресурсам в соответствии с паспортами ролей;
  • реализация запрета на использование защищаемой информации на вновь создаваемых объектах информационной инфраструктуры (ОИИ);
  • уничтожение защищаемой информации гарантированным способом;
  • мониторинг уязвимостей;
  • учет ОИИ;
  • учет доступа лиц к банкоматам/терминалам;
  • учет инцидентов ИБ;
  • классификация банкоматов/терминалов в зависимости от применяемых мер защиты;
  • контроль состава ОИИ в сегменте размещения банкоматов/терминалов;
  • регистрация в учетных формах заявлений клиентов о нарушениях в работе банкоматов/терминалов;
  • отсутствовала необходимая информация на лицевых панелях банкоматов/терминалов.

3. Итоги


3.1. В результате подсчета общая оценка банка по показателю EV1пс немного не дотянула до «удовлетворительная», по показателю EV2пс - «удовлетворительная».

3.2. Разработка/дополнение около 10 документов, заведение нескольких журналов, приведение в соответствие лицевых панелей банкоматов/терминалов и докупка нескольких продуктов позволят повысить банку оценку по показателю EV1пс до «удовлетворительная», а EV2пс – до «хорошая».

3.3. Стоит отметить, что новая команда банка в области ИБ примерно за год провела большую работу и выполнила большинство требований 382-П на приемлемом уровне.

3.4. Многие требования по контролю действий сотрудников, установке обновлений, ограничений при работе в Интернете, контролю внешних устройств возможно выполнить с помощью всего лишь одного умело настроенного корпоративного продукта от известного антивирусного вендора.


4. Бонусы 


Все Положение № 382-П на одном слайде. В правом вернем углу каждой фигуры указано количество оцениваемых параметров из приложения 2 к Положению - так банку проще понять важность каждого из направлений работы, а аудиторам - распределить трудозатраты:)

Все требования 382-П

Некоторые сокращения:
  • ЗИ - защищаемая информация
  • ОЗИ - организация защиты информации
  • ОИИ - объект информационной инфраструктуры
  • ОПС - оператор платежной системы
  • СИБ - служба информационной безопасности
Обновление от 16.10.2018
Результаты самооценки банков в 9 из 10 случаев сильно завышены.
 
Коллеги, проводите предварительный аудит заранее! 
Очень важно знать реальное состояние дел по выполнению требований 382-П, чтобы иметь время на исправление недостатков: разработку недостающих организационно-распорядительных документов,  приказов, внедрение процессов или технических средств.
Если начинать аудит за месяц до момента подачи результатов в ЦБ, времени на исправление не останется совсем! 

Нужно рассчитать стоимость аудита по 382-П или проекта по разработке документации - обращайтесь.


Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

Комментариев нет:

Отправка комментария