Как банку подготовиться к внешней оценке требований Положения № 382-П

Регулятор неоднократно предупреждал банки об отмене возможности проводить самооценку на выполнение требований Положения № 382-П. Но не все оказались к этому готовы. Более того, получив в декабре 2018 года запрос от Банка России, ряд банков срочно провели самооценку и представили ее результаты регулятору. То есть через полгода после вступления изменений в силу некоторые банки просто о них не знали. Мы расскажем о практике проведения внешней оценки в региональном банке, выявленных недостатках и мерах по их устранению, что поможет понять, как подготовиться к аудиту.

Как банку подготовиться к внешней оценке требований Положения № 382-П

  Указанием 4793-У (зарегистрировано в Минюсте РФ № 51411 от 22.06.2018) Банк России внес изменения в Положение Банка России № 382-П (Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее — Положение).  С 1 июля 2018 года отменена возможность проведения банками самооценки. Теперь оценивать выполнение банком требований Положения может только внешняя компания с лицензией ФСТЭК на техническую защиту конфиденциальной информации по подпунктам «б», «д» или «е»: контроль защищенности конфиденциальной информации от несанкционированного доступа, проектирование систем в защищенном исполнении или услуги по установке, монтажу, наладке средств защиты.

Так как раньше Банком России допускалась самостоятельная оценка банками выполнения требований Положения, большинство банков проходило оценку именно в форме самооценки. Немногие банки привлекали для оценки соответствия требованиям Положения внешние компании. При этом практика проверок банков регулятором показала, что результаты самооценки практически всегда завышены.

В 2019 году вопрос прохождения оценки выполнения требований Положения внешней компанией коснется большинства российских банков.

Выполнение указанных в Положении мер защиты важно не только для формального соответствия, но и для повышения общего уровня информационной безопасности в банке и формирования ответственного отношения к защите информации при переводах денежных средств.

Выполнение требования на оценку «удовлетворительно». Просто ли это?

  В рамках оценки выполнения требований Положения в банках проверяются:

• процессы назначения ролей, защиты на этапах жизненного цикла, управления доступом к защищаемым объектам;
• защита информации в период эксплуатации – от вредоносного кода, использование средств криптографической защиты информации (СКЗИ), технологические меры и т.п.
• выполнение требований к службе информационной безопасности, повышению осведомленности сотрудников, реагированию на инциденты, совершенствованию мер защиты;
• защита платежной информации при использовании Интернет, меры защиты при переводах, при использовании банкоматов и терминалов;
• оценка выполнения требований Положения и отчетность перед оператором платежной системы.

Уровень выполнения требований Положения зависит от значения итогового показателя R_пс:

• R_пс больше или равно 0,85 – оценка «хорошая»;
• R_пс больше или равно 0,7 и меньше 0,85 – оценка «удовлетворительная»;
• R_пс больше или равно 0,5 и меньше 0,7 – оценка «сомнительная»;
• R_пс меньше 0,5 – оценка «неудовлетворительная».

Перед началом аудита банк сообщает результаты последней проведенной самооценки, а также ту оценку, на которую они рассчитывают после проведения внешнего аудита.

По статистике, большинство банков завершило самооценку с результатом 0,7 и выше, соответствующим уровню «удовлетворительно» и «хорошо». По итогам внешней оценки большинство банков также рассчитывали на получение оценки 0,7 и выше.

Всего Приложение № 2 к Положению содержит 168 пунктов требований. Для банка без банкоматов, терминалов, банковских платежных агентов и мобильного банкинга применимо 129 пунктов.

Причем, для половины пунктов оцениваются организационно-распорядительные документы (далее - ОРД), процессы и технические меры для всех задействованных в обработке информационных систем. Если у банка две системы Банк-Клиент и две автоматизированных банковских системы, то оценка выполнения требования должна производиться по всем четырем информационным системам.

Оценка 0,7 реально достижима, если ни за один из пунктов не получена оценка 0. То есть не должно быть ни одного пункта требований, который полностью не выполняется. При наличии хотя бы одной оценки 0 применяется понижающий коэффициент 0,85 – на него умножается общий полученный результат.

Полностью выполнить все 129 пунктов требований для всех информационных систем и процессов, задействованных в обработке платежной информации, сложно. Поэтому непросто без тщательной подготовки получить оценку выше, чем 0,7.

Сдача регулятору отчетности с оценкой выполнения требований Положения ниже 0,7 может привести к возникновению у Банка России вопросов. Регулятор может запросить у банка план устранения недостатков для повышения оценки до приемлемого уровня.

Практика проведения внешней оценки

 Осенью 2018 года к нам обратился региональный банк с просьбой провести оценку выполнения требований Положения, тестирование на проникновение и анализ уязвимостей платежной инфраструктуры.Оценка банка по результатам самооценки, проведенной в 2016 году, составляла 0,83 – «удовлетворительная», значения показателей EV1_пс – 0,83;  EV2_пс  – 1.

Аудит нужно было провести в сжатые сроки, т.к. срок подачи формы 0403202 в Банк России истекал через 2 месяца.

Для сопровождения работ банк выделил команду также из трех сотрудников, задачей которых было предоставлять свидетельства выполнения требований и оперативно исправлять недостатки.

В начале проекта аудиторская группа провела предварительную оценку выполнения банком требований Положения. По результатам предварительной оценки серьезные замечания имелись по 14 пунктам требований Положения:

• регистрация действий сотрудников банка;
• формирование технических заданий с требованиями по защите информации;
• актуализация клиентской документации для системы «банк-клиент»;
• журналирование действий администраторов банка и клиентов в системе «банк-клиент»;
• выявление фальсифицированных электронных сообщений.
• документирование принятых решений по использованию системы «банк-клиент».

  По данным 14 пунктам выставлена оценка 0, что снизило общую оценку банка на 0,3. С учетом понижающего коэффициента итоговый показатель R_пс предварительно составил 0,49 – оценка «неудовлетворительная».

Эти недостатки требовали исправления в первую очередь. С учетом того, что на оформление отчета в среднем уходит до 10 дней, на проведение аудита оставалось полтора месяца. Было принято решение провести аудит и исправление обнаруженных недостатков параллельно.
Пока аудиторская группа работала над оценкой выполнения банком требований, сотрудники банка предоставляли необходимую информацию и устраняли выявленные недостатки – вносили изменения в ОРД, внедряли процессы и настраивали информационные системы.

В ходе проекта банк оперативно доработал документы, регламентирующие порядок модернизации технических средств, применение антивирусной и парольной защиты, порядок обращения с носителями криптографических ключей, порядок защиты информации на участке платежной системы Банка России, положение о системе «банк-клиент», и другие.

В свои ОРД банк добавил новые условия регистрации событий, описание работы и мер защиты в системе Банк-Клиент, порядок блокировки работы клиента, передачи клиенту СКЗИ и другие. Также в ОРД банка были актуализированы перечни используемых средств защиты и описания бизнес-процессов.

Во внутренние процессы банка были внесены изменения для соответствия требованиям Положения:

• изменены права доступа сотрудников к криптографическим ключам;
• сформированы недостающие заявки на доступ к ресурсам;
• внедрена практика проведения периодических тренировок по восстановлению работоспособности средств защиты;
• доработана форма заявки на внесение изменений в состав аппаратно-программных средств автоматизированных систем;
• внедрена практика передачи клиентам СКЗИ по акту вместе с утилитой контроля целостности и указанием контрольных сумм;
• сформированы акты о вводе СКЗИ в эксплуатацию.

Для выполнения требований Положения банк также провел дополнительную настройку информационных систем:

• изменены настройки журналирования системы «банк-клиент»;
• заведены новые учетные записи для сотрудников банка, которые допущены к использованию по назначению и администрированию информационных систем;
• настроены «белые» списки информационных ресурсов.

Также в банке завели журналы регистрации выявленных инцидентов, учета СКЗИ, периодических антивирусных проверок.

У поставщиков средств защиты и СКЗИ банк получил недостающий комплект документации.

  Организационно-распорядительные документы: чему уделить внимание?

Поскольку в Положении по большей части регламентированы процессы защиты платежной информации и не конкретизированы отдельные защитные меры, то особое внимание при выполнении требований уделяется наличию и содержанию организационно-распорядительных документов.

Отдельными ОРД банка подтверждается выполнение сразу большого количества требований Положения.

На основании анализа отчета о проведении оценки определили наиболее полезные для выполнения требований Положения ОРД банка. В таблице приведены документы, которые упоминаются в отчете об оценке чаще других (цифра - количество упоминаний в отчете):

• Положение об организации и функционировании системы защиты информации при осуществлении переводов денежных средств - 58
• Положение о порядке работы и обеспечения информационной безопасности на участке платежной системы Банка России - 31
• Положение о порядке функционирования системы «Банк-Клиент» -24
• Договор о дистанционном банковском обслуживании с использованием системы «Банк-Клиент» - 19
• Политика информационной безопасности - 16
• Частная политика информационной безопасности при управлении доступом и регистрацией - 14
• Должностная инструкция администратора информационной безопасности - 10
• Инструкция по организации антивирусной защиты - 10
• Частная политика информационной безопасности на стадиях жизненного цикла автоматизированных систем - 9
• Положение о реагировании на инциденты ИБ - 6
• Правила по работе с ресурсами сети Интернет и электронной почтой - 6
• Инструкция по порядку проведения проверок состояния защиты информации при осуществлении переводов денежных средств - 5
• Порядок использования средств защиты информации - 5
• Инструкция по работе с ключевыми носителями - 5
• Порядок доступа в помещения, где размещены используемые средства криптографической защиты - 4
• Регламент организации пропускного режима - 4
• Частная политика информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу - 3
• Договор об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России - 3

Стоит отметить, что Договор на систему «Банк-Клиент» и Договор с Банком России об обмене как таковые не являются ОРД, но условиями таких договоров можно подтвердить выполнение требований Положения, например, по использованию электронной подписи, порядку блокировки работы, предъявляемым требованиям по применению мер защиты.
Некоторые ОРД банка регламентировали более узкую область деятельности и упоминались в отчете менее трех раз:

• инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам;
• инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств;
• порядок резервного копирования и восстановления данных;
• порядок создания, ведения и хранения баз данных;
• регламент хранения документов в электронном виде.

В первую очередь мы рекомендуем уделить внимание разработке документов, которые помогают выполнить наибольшее количество требований Положения. Работа над этими документами будет наиболее эффективной с точки зрения повышения оценки до приемлемого уровня.

Итоги проекта

Напряженная фаза проекта заняла пять недель. Было оценено 387 документов и иных доказательств ведения банком деятельности по защите информации при осуществлении переводов денежных средств.

Полученные банком оценки за выполнение отдельных пунктов:

• оценок 0 – 0;
• оценок 0,25 – 3;
• оценок 0,5 – 35;
• оценок 0,75 – 17;
• оценок 1 – 74;
• оценок «н/о»  – 39.

С учетом устранения недостатков в ходе проведения проверки итоговая оценка банка составила 0,81 – «удовлетворительная», значения показателей EV1_пс – 0,81;  EV2_пс  – 0,82.

К отчету о проведении оценки был приобщен CD со свидетельствами аудита, содержащий 309 файлов. Подробное документирование результатов оценки и фиксация свидетельств аудита подтверждает объективность оценки и обеспечит повторяемость результата при возникновении вопросов у регулятора.

Когда могут возникнуть проблемы при проведении внешней оценки?

Если в банке в явном виде не проводилась работа по приведению в соответствие с требованиями Положения, рассчитывать на оценку выше «сомнительная» не приходится. В этом случае обычно выявляется недостаточное документирование процессов, отсутствие процедур и доказательств ведения деятельности по защите платежной информации.

При отсутствии в банке рабочей группы, готовой оперативно устранять выявленные недостатки вы ходе проекта, оценка будет ниже ожиданий. Аудитор даст четкие рекомендации по устранению недостатков, но нужны люди, чтобы эти рекомендации выполнить до момента оформления окончательного отчета о проведении оценки.

Ограниченные сроки на проведение аудита не позволят долго работать над устранением недостатков. Типичная ситуация – банк обращается в компанию с запросом на проведение оценки за 1-2 месяца до «крайнего срока» подачи отчетности в Банк России. В эти сроки для небольшого банка с 2-3 информационными системами провести вполне реально, а успеть исправить недостатки – нет.

Общие рекомендации банкам

Выполнение требований Положения – это отдельный объемный проект. «Попутно» – за счет выполнения требований законодательства о персональных данных, коммерческой тайне или лицензионных требований ФСБ – нельзя обеспечить выполнение требований Положения.

Даже у банков, всерьез занимавшихся выполнением требований Положения и успешно прошедших проверку Банка России по тематике защиты платежной информации, в ходе проведения оценки выявляются недостатки.  Уровень «удовлетворительно» по итогам проекта достигается за счет оперативного устранения недостатков, что требует от сотрудников банков напряженной работы.

Для взаимодействия с аудиторской группой выделите в банке рабочую группу, готовую предоставлять запрошенные свидетельства и оперативно устранять недостатки. В такую группу желательно включить сотрудников подразделений IT, информационной безопасности и юристов. И обязательно нужно получить «зеленый свет» у руководства банка на задействование всех ресурсов для устранения недостатков.

При наличии сомнений в объективности проведенной банком самооценки и запаса времени до сдачи в Банк России отчетности по форме 0403202 договоритесь с внешней компанией о проведении предварительной оценки.  Результаты предварительной оценки могут официально не оформляться, но перечень выявленных недостатков и рекомендации от аудитора будут очень полезны банку для понимания реального состояния дел и определения приоритетных работ, которые позволят достигнуть нужного уровня выполнения требований. 

Статья написана для Методического журнала Bнутренний контроль в кредитной организации 

Еще одна полезная статья попрактике проведения аудита по 382-П в небольшом столичном банке.
Расчет стоимости аудита по 382-П по ссылке.

Делитесь вопросами, комментариями и собственными соображениями!

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!