15 декабря, воскресенье 02:52
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • А зачем лицензия ФСБ? прописано же - только ТЗКИ. И , как я знаю, почти у всех аудиторов нет сейчас окна для аудита. Все расписано до конца января 2020 года.

    Комментарий


    • Так лицензию ТЗКИ же ФСБ даёт, имеется ввиду это. А про занятость аудиторов - я собирал информацию у десятка фирм, и никто не говорил что у них очередь и всё забито. Возможно, так только у самых именитых. Для нас было важно: стоимость (т.к. руководство 100% будет ориентироваться на цену), наличие лицензии ТЗКИ (от ФСБ), желательно наличие опыта проведения таких работ, и, собственно, список выполняемых работ. Нас интересовало, чтобы был примерно такой перечень: пен-тест (хоть для оценки 0.5), предаудит, привидение в соответствие (помощь в разработке необходимой документации, чтобы довести оценку до приемлемой), аудит, рекомендации по повышению оценки. Уложились до 500 тыс. р.

      Комментарий


      • Сообщение от Airat_Kzn Посмотреть сообщение
        Так лицензию ТЗКИ же ФСБ даёт, имеется ввиду это
        ФСТЭК

        Комментарий


        • Точно, ФСЭК. Ошибся

          Комментарий


          • Коллеги, те кто уже получил или провел внешний аудит по 382-П, можете поделиться ссылками на компании

            Комментарий


            • Подскажите по требованию наличия службы ИБ в филиалах. Кто-нибудь в ЦБ запрашивал разъяснения данного пункта 382-П? У нас в положении о службе ИБ указано, что она централизованная и деятельность распространяется в т.ч. и в филиалах. Есть даже специалисты на некоторых территориях + назначены АИБы для отдельных АРМ (типа АРМ КБР Н). Но проверяющий истолковал формально: в штатном расписании филиала нет службу ИБ, значит нарушение. (((
              СТО БР ИББС допускает даже назначение, но опять же из числа сотрудников филиала.
              Но это не приемлемо, филиалы бывают очень маленькими, там отдельного сотрудника не загрузить работой, а если искать квалифицированного сотрудника, чтобы работой загрузить, таких там просто нет в городах.

              Комментарий


              • svarog.coop, написал в личку

                Комментарий


                • Zuz, мы сослались на Письмо ЦБ от 19 сентября 2013 года https://www.cbr.ru/press/PR/?file=130919_180547prs.htm О размещении ответов на вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года № 382-П https://cbr.ru/Content/Document/Page/83282 (текст письма) Там есть: Вопрос: В каких случаях допускается назначение ответственных сотрудников вместо создания службы информационной безопасности? Ответ: Согласно девятому абзацу пункта 2.2 Положения № 382-П под службой информационной безопасности (далее – служба ИБ) понимается подразделение, ответственное за организацию и контроль обеспечения защиты информации, или работники, ответственные за организацию и контроль обеспечения защиты информации. При этом решение о формировании службы ИБ или о назначении ответственных лиц принимается оператором по переводу денежных средств, банковским платежным агентом (субагентом), являющимся юридическим лицом, оператором услуг платежной инфраструктуры самостоятельно. Так что мы самостоятельно решили назначить ответственного за ЗИ в филиале. У проверяющего вопросов не возникло (запрашивали приказы о назначении, должностные, штатку)

                  Комментарий


                  • Сообщение от Airat_Kzn Посмотреть сообщение
                    Так что мы самостоятельно решили назначить ответственного за ЗИ в филиале. У проверяющего вопросов не возникло (запрашивали приказы о назначении, должностные, штатку)
                    А числится он филиале? Проблема в том, что считается, что он должен быть назначен из числа сотрудников филиала, а с этим проблема.

                    Комментарий


                    • Сообщение от Zuz Посмотреть сообщение
                      а с этим проблема
                      Ага, я вчера пытался на кого-то из ИТ филиала повесить роль "ответственного за защиту".
                      Чуть не съели.
                      Придется заставлять палкой.

                      Комментарий


                      • Zuz, Да, числится в филиале. И да, проблема выбора и назначения имеется)))

                        Комментарий


                        • Аудитор вместе с отчетом сделал и форму 0403202. Реально эту форму должен делать аудитор, а не сотрудник Банка? Т.е. отчетности в графе "Исполнитель" указывается ФИО сотрудника аудиторской конторы?

                          Комментарий


                          • Точно возможно уже не помню, но, если не ошибаюсь, у нас СВК утверждала на год перечень видов отчетности с ФИО ответственных исполнителей. Форму подписывал исполнитель и один из зампредов. А сам отчет с оригиналами форм 202/203 хранился в ИБ и периодически демонстрировался проверяющим.

                            Комментарий


                            • Александр Четвертый
                              1. 2831-У + 4753-У от 30.03.2018:
                              13.1. Отчет принимается территориальным учреждением Банка России, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.
                              Отчет принимается:
                              до 1 июля 2013 года - на бумажном носителе в экспедицию территориального учреждения Банка России;
                              с 1 июля 2013 года - в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

                              13.2. При предоставлении Отчета на бумажном носителе дополнительно предоставляется Отчет в электронном виде на машинном носителе (дискеты, flash-память).
                              Данные Отчета, предоставляемого отчитывающимся оператором в электронном виде, должны быть идентичны данным Отчета, предоставляемого отчитывающимся оператором на бумажном носителе.
                              Отчет отчитывающегося оператора, предоставляемый в территориальное учреждение Банка России на бумажном носителе, подписывается руководителем организации либо его заместителем, уполномоченным подписывать отчетность, и исполнителем.


                              При передаче отчётности у нас в графе исполнитель указано лицо, которое непосредственно формирует форму в ПТК ПСД. Обязанность установлена приказом (у нас это сотрудник ИБ, но не принципиально, суть в том, кто готовил форму того и указываем).

                              2. В целях документирования согласно требованиям 382-П + 4793-У от 07.05.2018:
                              6. Для документирования результатов вычисления обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств используется следующая форма:
                              Форма 2. Документирование результатов вычислений обобщающих показателей выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств

                              Поэтому форма 0403202 для данных целей не используется (она применяется для отчётности и заполняется не позднее тридцати рабочих дней со дня завершения проведения оценки)!

                              Как это будет выглядеть у вас не принципиально, часто для упрощения жизни заполняют форму 202, т.к. она содержит нужную табличку, но по мне это не совсем корректно, т.к., в этот же день вы тогда должны направить отчетность в ЦБ, раз заполнили такую форму и подписали.
                              У нас это отдельный отчёт с общими выводами, обобщающими показателями, порядком их расчёта, статистикой по всем группам требований (с диаграммами распределения по оценкам, что выполняется, а что нет, что не оценивалось). Утвержденный как руководителем, так и представителем аудитора. Нужно ли тут указывать ФИО конкретных исполнителей от аудитора, зависит от того, как он у оформляет документы. Требований таких нет.

                              Комментарий


                              • Я вот тоже считаю, что от аудитора нужен только отчет, предусмотренный 382-П (все требования к нему описаны в положении). Отчетность 0403202 - это банковская отчетность и никакими документами ЦБ не предусмотрено заполнение этой формы аудитором.

                                Комментарий

                                Обработка...
                                X