2 декабря, среда 06:39
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

382-П и БПА

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • 382-П и БПА

    Коллеги, добрый день

    в соотв. с абз. 2 п. 1.2 382-П:
    Оператор по переводу денежных средств обеспечивает контроль соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств.
    Мы реализовали у себя таким образом:
    Во внутренних доках и договорах мы всё всё прописали: и обязанность БПА соблюдать требования по ИБ, и порядок контроля, также предусмотрели возможность выездных проверок с составление отчета.

    Теперь как это выглядит на практике: есть письмо к БПА с приложением. В приложении - таблица с требованиями из 382-П, в которой БПА ставит отметки: выполняется/не выполняется/примечание. Данную таблицу БПА направляет нам.
    В итоге, я имею кучу отчетов с пометками "ДА" по всем позициям. Очевидно, что скорее всего это простые отписки. Такое чувство, что необходимо осуществлять выездной контроль. Но часть БПА вообще в других регионах, а если ещё и учесть, что в службе ИБ я единственный сотрудник, то чтобы проводить контроль БПА должным образом - необходимо бросить все текущие дела, ездить и проверять.

    Поделитесь пожалуйста опытом, как вы выходили из подобного положения? Может быть, существуют более оптимальные способы контроля? Или необходимо как то изменять существующую методику? И как вообще на это смотрит ЦБ?

  • #2
    Если Вы все продумали - "порядок контроля, также предусмотрели возможность выездных проверок с составление отчета", а результатом не довольны, то наверное что-то сделано не так и методику надо менять.

    Я бы сделал так:
    1. Сопоставил требования 382-П технологии работы БПА, и оставил бы подходящие требования. Например, если БПА не имеет носителей защищаемой информации, то п. 2.6.8 не применим.
    2. Спрашивал бы не да/нет, а как выполняется, плюс документальные подтверждения выполнения, в том числе схемы, логи, скриншоты и т.п.
    Если Вы понимаете технологию работы Ваших БПА, то этого уже достаточно что бы понять отписка или нет.
    Плюс выборочные проверки.

    Это конечно при условии, что Вашему банку реально нужна ИБ у БПА и есть возможность на них влиять.

    Комментарий


    • #3
      Если у Вас служба ИБ состоит из 1 человека, то может Вам и не надо никаких проверок устраивать, а достаточно просто официального письма от БПА о выполнении требований по ИБ?

      Комментарий


      • #4
        да дело даже не в проверках, а в том, устроит ли такой контроль ЦБ

        Комментарий


        • #5
          Сообщение от junglets Посмотреть сообщение
          да дело даже не в проверках, а в том, устроит ли такой контроль ЦБ
          Наврядли, но практика показывает, что результаты проверки ЦБ - это единственный способ заставить руководство выделять ресурсы на выполнение требований, особенно штатные. Сожалею.

          P.S. Правда знаю и другой вариант - ИБэшника после такого обвинили во всех смертных грехах и уволили. Что поделать, признавать свои ошибки из властьпридержащих мало кто способен.

          Комментарий

          Обработка...
          X