Календарь мероприятий


Специалист по информационной безопасности банка (в банке, НЕ применяющем положения СТО). Спецификация профессионального стандарта

  1. Общие сведения
  2. Характеристика должности
  3. Карта знаний по должности
  4. Источники знаний по должности

1.Общие сведения о профессиональном стандарте (ПС)

Настоящий ПС разработан для специалистов, отвечающих за обеспечение информационной безопасности в банке.

Типовая банковская должность, для которой разработан настоящий ПС: "Специалист по информационной безопасности банка".

Наименование специализации ПС (формулировка специализации в сертификате): "Информационная безопасность банка".

Стандарт может быть также применён: 

  • К специалистам службы безопасности, в чьи функциональные обязанности входит организация системы информационной безопасности банка.

2.Характеристика типовой должности

Цель должности: Организация и/или поддержание эффективной системы информационной безопасности банка.

Функциональные (должностные) обязанности:

  • Проектирование и внедрение специальных технических и программно-математических средств защиты информации, обеспечение организационных и инженерно-технических мер защиты информационных систем;
  • Участие в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации;
  • Сопоставительный анализ данных исследований и испытаний;
  • Изучение возможных источников и каналов утечки информации;
  • Разработка технического обеспечения системы защиты информации, техническое обслуживание средств защиты информации;
  • Участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;
  • Составление предложений по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технических средств защиты информации;
  • Участие в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности;
  • Проведение контрольных проверок работоспособности и эффективности действующих систем и технических средств защиты информации;
  • Анализ результатов проверок и разработка предложений по совершенствованию и повышению эффективности принимаемых мер.

3.Карта знаний ПС по типовой должности

В карту знаний стандарта для банков, не применяющих СТО БР ИББС, включены 17 разделов специальных знаний.

  1. Нормативные документы. Ответственность за правонарушения в сфере информационной безопасности
  2. Термины и определения
  3. Документация в области обеспечения информационной безопасности
  4. Менеджмент информационной безопасности. Модель угроз информационной безопасности
  5. Менеджмент инцидентов информационной безопасности
  6. Менеджмент непрерывности бизнеса
  7. Информационная безопасность при использовании систем Интернет-банкинга
  8. Информационная безопасность при осуществлении переводов денежных средств
  9. Информационная безопасность при предоставлении розничных платежных услуг с использованием сети Интернет
  10. Информационная безопасность при приеме-передаче ОЭС в целях ПОД/ФТ
  11. Информационная безопасность при передаче сообщений налоговому органу об открытии, закрытии, изменении реквизитов счета
  12. Применение средств защиты от вредоносного кода
  13. Требования к защите персональных данных
  14. Организационные и технические меры, необходимые для выполнения установленных требований к защите ПДн
  15. Средства защиты информации и их сертификация
  16. Создание, ведение и хранение электронных баз данных
  17. Применение электронной подписи

4.Источники по карте знаний

Кодексы РФ

Кодекс Российской Федерации об административных правонарушениях

Законы РФ

Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

Документы Банка России
Положения

Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Положение Банка России от 21.02.2013 N 397-П "Положение о порядке создания, ведения и хранения баз данных на электронных носителях"
Положение Банка России от 09.01.2019 N 672-П "О требованиях к защите информации в платежной системе Банка России"
Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
Положение Банка России от 20.09.2017 N 600-П "О представлении кредитными организациями по запросам Федеральной службы по финансовому мониторингу информации об операциях клиентов, о бенефициарных владельцах клиентов и информации о движении средств по счетам (вкладам) клиентов"
Положение Банка России от 17.10.2018 N 655-П "О порядке уведомления кредитными организациями и некредитными финансовыми организациями уполномоченного органа в соответствии с пунктами 1.3 и 1.4 статьи 6 Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"

Указания

Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"
Указание Банка России N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 09.07.2018 "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в единой биометрической системе"
Указание Банка России от 15.07.2015 N 3730-У "О порядке информирования уполномоченным банком органа финансового мониторинга об отказе в проведении операции, о проведении ранее приостановленной операции по отдельному счету, открытому головному исполнителю, исполнителю для осуществления расчетов по государственному оборонному заказу"
Указание Банка России от 20.07.2016 N 4077-У "О порядке представления кредитными организациями в уполномоченный орган сведений о случаях отказа от заключения договора банковского счета (вклада) и (или) расторжения договора банковского счета (вклада) с клиентом по инициативе кредитной организации, о случаях отказа в выполнении распоряжения клиента о совершении операции"
казание Банка России от 08.10.2018 N 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента"
Указание Банка России от 17.10.2018 N 4936-У "О порядке представления кредитными организациями в уполномоченный орган сведений и информации в соответствии со статьями 7, 7.5 Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"

Письма

Письмо Банка России от 30.01.2009 N 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
Письмо Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
Письмо Банка России от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании"
Ин-014-56/6

Документы Президента, Правительства и Государственной Думы РФ

Постановление Правительства РФ от 26.06.1995 N 608 "Положение о сертификации средств защиты информации"
Постановление Правительства РФ от 13.06.2012 N 584 "Положение о защите информации в платежной системе"
Постановление Правительства РФ от 01.11.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных"

Прочие нормативные документы

Приказ ФСБ от 09.02.2005 N 66 "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации"
Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
Приказ ФСБ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности"
Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"
Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"
Постановление Правительства РФ от 13.02.2019 N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных"
"Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации" (утв. Банком России 14.02.2019 N 4-МР)

Нормативные документы по информационной безопасности
ГОСТы, рекомендации по стандартизации

ГОСТы, рекомендации по стандартизации
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (утв. и введен в действие Приказом Ростехрегулирования от 19.12.2006 N 317-ст)
ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности (утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2007 N 513-ст)
ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения информации. Свод норм и правил менеджмента информационной безопасности. (утв. приказом Росстандарта от 24.09.2012 г. N 423-ст)
ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 532-ст)
ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1 Практическое руководство (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 15.12.2009 N 998-ст)

Ненормативные документы (Комментарии, словари, руководства, периодика и т.д.)

И.Луканин Аналитическая записка "Актуальные требования по информационной безопасности, распространяющиеся на операторов информационных систем персональных данных"

Литература по информационной безопасности

Основы информационной безопасности : учебное пособие / Ю.Г. Крат, И.Г. Шрамкова.  Хабаровск : Изд-во ДВГУПС, 2008.



Новости для банков
22.09.2020
Половина граждан готова дважды брать ипотеку
22.09.2020
Госдума обсудит в I чтении ограничения на общение коллекторов с близкими и знакомыми должников
22.09.2020
Противоречивый август: Предприятия помогали банкам деньгами, а физические лица тратили накопленное
22.09.2020
Банки начали запускать перевод зарплат по номеру телефона
22.09.2020
Европейские банки вынуждены объединяться, чтобы выжить Все новости
Новости ББТ
27.08.2020
Обновление раздела ББТ "Противодействие легализации" от 28.08.2020
27.08.2020
Обновление раздела ББТ "Банковские риски" -от 28.08.2020
27.08.2020
Обновление раздела ББТ "Кредитные операции в банке" - от 28.08.2020
27.08.2020
Обновление раздела ББТ "Операции банка с ценными бумагами" от 27.08.2020
27.08.2020
Обновление раздела ББТ "Организация банковской деятельности" от 27.08.2020 Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости