Вчера Банк России опубликовал поправки к 382-П. Эксперты называют их косметическими, однако в документе имеются явно важные изменения, касающиеся сроков проведения оценки соответствия по 382-П. Срок «ужали» до конца этого года.
В вестнике Банка России от 10 июля было опубликовано Указание Банка России № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П „О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств“».
Самым серьезным изменением для банковского сообщества стал перенос сроков проведения первой оценки соответствия с 1 июля 2014 года фактически до конца текущего года.
Евгений Царев, эксперт по информационной безопасности Академии Информационных Систем, считает, что оценка соответствия непростая задача. Для правильной и адекватной оценки, по его мнению, нужен серьезный опыт, подразумевающий не только наличие знаний по информационной безопасности, но и понимание специфики платежного процесса и обладание навыками аудита.
Срок действительно крайне сжатый, — комментирует Евгений Царев. — И чтобы его не сорвать, необходимо начинать работу по проведению оценки соответствия 382-П уже сегодня.
В Указании Банка России есть также и позитивные изменения: исчезло явно невыполнимое требование использовать в платежном процессе только сертифицированные СКЗИ. Кроме того, появилось требование регистрации и хранения в течение 5 лет информации о действиях клиентов в автоматизированных системах.