Подготовка отчетности 0403202 по самооценке выполнения требований 382-П

Преамбула

Согласно указанию ЦБ РФ от 9 июня 2012 г. N 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" все банки обязаны сдавать отчетность по форме 0403202 “Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств". Отчетность носит нерегулярный характер и должна сдаваться в ЦБ не реже одного раза в два года, либо по требованию ЦБ, не позднее 30 дней с момента проведения самооценки выполнения требований 382-П. Первый раз такую самооценку банки должны были провести не позднее 31 декабря 2013 года.

Как провести самооценку

1. Выпускается приказ по банку о создании Комиссии на проведение самооценки.
В состав комиссии лучше всего включить следующих сотрудников:
- сотрудника Службы информационной безопасности;
- сотрудника Управления информационных технологий;
- сотрудника юридического отдела;
- представителя Службы внутреннего контроля (СВК).

2. Представители Комиссии должны проанализировать всю имеющуюся нормативно-распорядительную документацию банка на предмет выполнения требований 382-П. Обязательно должны учитываться свидетельства проведения деятельности по требуемым направлениям (акты обучения сотрудников, заявки на получение доступа, приказы, акты проверок, тестирования и т.п.).

3. Результаты заносятся в таблицу (318 Кб). В последнюю графу "Факторы, учитываемые при оценке..." необходимо занести обоснование выставленной оценки. Обоснованием являются ссылки на нормативно-распорядительную документацию (пункты в документах), регламентирующие требования данного пункта самооценки, свидетельства проведения деятельности, краткое описание проводимых технических мероприятий.
Важное замечание: с 1 января 2014 г. добавляется несколько новых требований к обеспечению безопасности переводов денежных средств, так что если вы хотите заполнить таблицу сведениями до этого дня, необходимо выставить системное время на компьютере не позднее 2013 года и для новых пунктов поставить 1 в графе "нет оценки".

4. После заполнения всех данных необходимо данные со второго листа "Результат" оформить в качестве официального документа (принять приказом, утвердить Председателем Правления - как это принято по документообороту в банке).

5. Значения обобщающих показателей EV1 и EV2 с третьего листа "Показатели" необходимо внести в 202 форму и отправить данные в ЦБ.

Как повысить показатели

Как правило, деятельность по защите платежной информации по большинству пунктов самооценки в банках ведется, а вот регламентация, а в особенности свидетельства выполняемой деятельности или отсутствуют или весьма незначительны. Для требований категории проверки 1 отсутствие регламентации деятельности, даже если она ведется в полном объеме, однозначно влечет за собой нулевую оценку. Поэтому надо стараться найти хоть какую-то, даже косвенную регламентацию деятельности по данному требованию, чтобы было основание повысить оценку.

Если по какому-то пункту самооценки кроме 0 нельзя ничего выставить, постарайтесь подвести данный пункт под "нет оценки". Это позволит повысить удельный вес других оценок при расчете обобщающего показателя этого раздела. Естественно, при этом должна быть четкая аргументация, почему именно была проведена такая оценка. Рассмотрим, например, п.50 "В случае обнаружения вредоносного кода или факта воздействия вредоносного кода оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают информирование оператора платежной системы ". Пункт является требованием категории проверки 3. И если вы ни разу не уведомляли оператора платежной системы о фактах обнаружения вредоносного кода, то, по логике, необходимо поставить 0 (в случае, если деятельность не выполняется). Однако, если не было фактов заражения объектов платежных информационных систем (или сведения о таких заражениях в логах уже удалены за давностью лет), можно смело выставлять "нет оценки" аргументируя это тем, что фактов заражения зафиксировано не было.

Исходя из предыдущего, в банках, где нет филиалов, банкоматов и платежных терминалов, все пункты их касающиеся должны быть оценены как "нет оценки". В качестве факторов указываем, что в банке отсутствуют филиалы (банкоматы, платежные терминалы).

Заключение

По результатам самооценки желательно получить по обоим обобщающим показателям значения больше 0,7. Однако не стоит слишком усердствовать в "подгонке данных под ответ" и стремиться получить максимально близкие к единице значения. Не забывайте, что самооценка должна проводиться не реже одного раза в два года, главное, чтобы при следующей самооценке была положительная динамика по уровню защищенности платежных систем в банке.