Главная » Блоги Экспертов И ИТ-Компаний » Окончание срока проведения банками оценки соответствия выполнения требований 382-П: когда?
Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры" 7 лет назад

Окончание срока проведения банками оценки соответствия выполнения требований 382-П: когда?

Ожидаемая паника все-таки наблюдается. В небольших масштабах, пока без жертв, затоптанных бегущими, но все-таки отмечена. Итак, бессмертное: «Шеф, все пропало…».

Это я про окончание срока проведения оценки банками соответствия выполнения требований «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П). В июле прошлого года я писал, что после принятия 3007-У тема оценки соответствия и отчета из теоретической перетекла в сугубо практическую плоскость. Коллеги из банков меня тогда заверили, что беспокойство мое напрасно, все под контролем, и к проблеме они давно готовы.

Восставший после новогодних каникул кредитно-финансовый народ подтянулся в родные учреждения и вот это самое «Шеф, все пропало…» стало реальностью. Руководство банков с разной степенью вежливости интересуется, а что там у нас с отчетом и когда на самом деле надо было его отправить. О чем думали раньше и куда смотрели. Кто будет отвечать и как. Ну и так далее, вы знаете эти послепраздничные разговоры в строю.

Итак, следуя далее заявленному кинематографическому канону, «по советам моих товарищей», поскольку количество вопросов на эту тему в наше агентство уже зашкалило, мы решили изложить нашу точку зрения публично, а если будет тема для дискуссии – тем лучше. Коллективный разум, ныне именуемый краудсорсингом, – великая сила.

Итак, Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» в ст. 27 родил необходимость принятия Правительством России требований к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, проверять выполнение которых должны ФСБ и ФСТЭК (части 1 и 2), а Банком России - требований к защите информации при осуществлении переводов денежных средств, которые он же, Банк России, будет и проверять (часть 3).

Не будем сейчас обсуждать тему пересечения множеств, в частности, относится ли информация при осуществлении переводов денежных средств к подлежащей обязательной защите в соответствии с законодательством - это тема отдельной ветки обсуждения.

Отметим лишь, что ст. 27 закона родила Постановление Правительства  от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» (П-584) и «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 N 382-П (382-П).

П-584 установило, что организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры проводится участниками отношений (банками в данном случае) не реже 1 раза в 2 года самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Отсчет пошел с 1 июля 2012 года. Первая оценка должна быть закончена, соответственно, до 30 июня 2014 года включительно. Про отчетность и адрес, по которому ее надо направлять, в документе нет ни слова.

А вот 382-П родило сомнения. Оно вступило в силу также 1 июля 2012 года и в первоначальной редакции определяло, что подпадающие под его действия участники платежной системы обеспечивают проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России, и, таким образом, первая оценка должны была бы быть завершена до 30 июня 2014 года включительно, если не поступит иного указания Банка.

И оно поступило. 5 июня 2013 года Председатель Центробанка подписал Указание № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"». Указание вступало в силу в силу со дня его официального опубликования в «Вестнике Банка России», за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1, вводящих дополнительные требования к безопасности, которые вступают в силу по истечении 180 дней после дня его официального опубликования.

В соответствии с п.3 Указания организация, являющаяся на день его вступления в силу оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев с этого самого дня.

Указание опубликовано и вступило в силу 10 июня 2013 года. Значит, первую оценку соответствия надо было закончить не позже 9 января 2014 года.

Тут появляется маленький, но весьма интересный нюанс. 6 месяцев истекают 9 января, а 180 дней – 6 января. Кто не почувствовал разницу: если дата окончания оценки соответствия – 9 января (первый рабочий день нового года), то в оценку должны быть включены данные по выполнению требований п.п.28-29.4 382-П в редакции 3007-У, а если оценка закончена до 6 января (в декабре, например), то эти требования учитывать не надо.

Теперь об отчете. Пункт 2.15.3 382-П требует сформировать отчет и хранить его в порядке, установленном соответствующим оператором (банком, например).

А вот что делать с ним дальше, определяет уже Указание Банка России от 09.06.2012 N 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В соответствии с п.2 Указания, отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» предоставляется ими не позднее 30 рабочих дней со дня завершения проведения оценки требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных 382-П.

Т.е. смотрим дату утверждения отчета об оценке соответствия, отсчитываем 30 РАБОЧИХ дней и получаем дату предоставления отчета. Если отчет утвержден последним допустимым днем, 9-м января 2014 года, отчет в Банк России надо представить не позднее 20 февраля.

Вот такая арифметика Магницкого.

Итожим. Оценку соответствия 382-П надо было завершить и утвердить внутренний отчет не позднее 9 января 2014 года. Отчет в Банк России надо представить не позднее 20 февраля, причем если отчет утвержден 7-9 января, в него должна войти оценка соответствия требованиям п.п.28-29.4 382-П в редакции 3007-У.

До 30 июня этого же года надо завершить контроль и оценку выполнения требований к защите информации на собственных объектах инфраструктуры, установленных Постановлением Правительства № 584 (и, похоже, это не совсем то, что написано в оценке соответствия 382-П). Отчитываться не надо.

Но надо быть готовым к проверкам Банка России, ФСБ и ФСТЭК по всем рассмотренным требованиям.

И, в заключении, про бумажную безопасность. Государственные риски – одни из самых серьезных. Оштрафованных и лишенных лицензий больше, чем подвергнутых взлому с реальными последствиями. А бумажная безопасность – это, в том числе, и умение читать и понимать документы.

 

Если в обсуждении изложенной мною точки зрения поучаствуют представители  ГУБЗИ, Департамента национальной платежной системы и Главной инспекции кредитных организаций Банка России, укажут на возможные несоответствия и неточности или подтвердят правоту, думаю, представители банковского сообщества будут весьма благодарны.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
Управляющий партнер
+7 495 761 5865
Консалтинг включая управленческий и кадровый

Российский эксперт в области информационной безопасности, защиты персональных данных, коммерческой тайны, безопасности бизнеса, государственного регулирования охраны конфиденциальности.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>