Календарь мероприятий



Специалист по информационной безопасности банка. Спецификация профессионального стандарта

  1. Общие сведения
  2. Характеристика должности
  3. Карта знаний по должности
  4. Источники знаний по должности

1.Общие сведения о профессиональном стандарте (ПС)

Настоящий ПС разработан для специалистов, отвечающих за обеспечение информационной безопасности в банке.

Типовая банковская должность, для которой разработан настоящий ПС: "Специалист по информационной безопасности банка".

Наименование специализации ПС (формулировка специализации в сертификате): "Обеспечение информационной безопасности банка".

Стандарт может быть также применён: 

  • К специалистам службы безопасности, в чьи функциональные обязанности входит организация системы информационной безопасности банка.

2.Характеристика типовой должности

Цель должности: Организация и/или поддержание эффективной системы информационной безопасности банка.

Функциональные (должностные) обязанности:

  • Проектирование и внедрение специальных технических и программно-математических средств защиты информации, обеспечение организационных и инженерно-технических мер защиты информационных систем;
  • Участие в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации;
  • Сопоставительный анализ данных исследований и испытаний;
  • Изучение возможных источников и каналов утечки информации;
  • Разработка технического обеспечения системы защиты информации, техническое обслуживание средств защиты информации;
  • Участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;
  • Составление предложений по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технических средств защиты информации;
  • Участие в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности;
  • Проведение контрольных проверок работоспособности и эффективности действующих систем и технических средств защиты информации;
  • Анализ результатов проверок и разработка предложений по совершенствованию и повышению эффективности принимаемых мер.

3.Карта знаний ПС по типовой должности

Карта знаний стандарта представлена в двух вариантах – для банков, применяющих положения СТО БР ИББС, и для банков, не применяющих положения указанных стандартов.

В карту знаний стандарта для банков, применяющих СТО БР ИББС, включены 20 разделов специальных знаний.

  1. Нормативные документы. Ответственность за правонарушения в сфере информационной безопасности
  2. Термины и определения
  3. Документация в области обеспечения информационной безопасности
  4. Общие требования к системе информационной безопасности банка. Модель угроз и нарушителей
  5. Менеджмент информационной безопасности
  6. Менеджмент инцидентов информационной безопасности
  7. Менеджмент непрерывности бизнеса
  8. Методики оценки соответствия информационной безопасности установленным требованиям
  9. Информационная безопасность при использовании систем Интернет-банкинга
  10. Информационная безопасность при осуществлении переводов денежных средств
  11. Информационная безопасность при приеме-передаче ОЭС в целях ПОД/ФТ
  12. Информационная безопасность при передаче сообщений налоговому органу об открытии, закрытии, изменении реквизитов счета
  13. Информационная безопасность при использовании технологии виртуализации
  14. Информационная безопасность на стадиях жизненного цикла АБС
  15. Применение средств защиты от вредоносного кода
  16. Требования к защите персональных данных
  17. Организационные и технические меры, необходимые для выполнения установленных требований к защите ПДн
  18. Средства защиты информации и их сертификация
  19. Предотвращение утечек информации
  20. Применение электронной подписи

В карту знаний стандарта для банков, не применяющих СТО БР ИББС, включены 17 разделов специальных знаний.

  1. Нормативные документы. Ответственность за правонарушения в сфере информационной безопасности
  2. Термины и определения
  3. Документация в области обеспечения информационной безопасности
  4. Менеджмент информационной безопасности. Модель угроз информационной безопасности
  5. Менеджмент инцидентов информационной безопасности
  6. Менеджмент непрерывности бизнеса
  7. Информационная безопасность при использовании систем Интернет-банкинга
  8. Информационная безопасность при осуществлении переводов денежных средств
  9. Информационная безопасность при предоставлении розничных платежных услуг с использованием сети Интернет
  10. Информационная безопасность при приеме-передаче ОЭС в целях ПОД/ФТ
  11. Информационная безопасность при передаче сообщений налоговому органу об открытии, закрытии, изменении реквизитов счета
  12. Применение средств защиты от вредоносного кода
  13. Требования к защите персональных данных
  14. Организационные и технические меры, необходимые для выполнения установленных требований к защите ПДн
  15. Средства защиты информации и их сертификация
  16. Создание, ведение и хранение электронных баз данных
  17. Применение электронной подписи

4.Источники по карте знаний

для банков, применяющих СТО БР ИББС

Кодексы РФ
Гражданский Кодекс РФ
Кодекс Российской Федерации об административных правонарушениях от 30.12.01 г. N 195-ФЗ
Уголовный кодекс РФ от 13 июня 1996 г. N 63-ФЗ

Законы РФ
Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Документы Банка России
Положения
Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Положения Банка России от 24.08.2016 N 552-П "О требованиях к защите информации в платежной системе Банка России"
Указания
Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"
Разъяснения
"Ответы на типовые вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Письма
Письмо Банка России от 30.01.2009 N 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
Письмо Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"

Документы Президента, Правительства и Государственной Думы РФ
Постановление Правительства РФ от 26.06.1995 N 608 "Положение о сертификации средств защиты информации"
Постановление Правительства РФ от 13.06.2012 N 584 "Положение о защите информации в платежной системе"
Постановление Правительства РФ от 01.11.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных"

Документы Банка России, Президента РФ, Правительства РФ и Росфинмониторинга по ПОД-ФТ
Документы Банка России
Положения
Положение Банка России от 29.08.2008 N 321-П "О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансир

Прочие нормативные документы
Приказ ФСБ от 09.02.2005 N 66 "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации"
Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"

Нормативные документы по информационной безопасности
ГОСТы, рекомендации по стандартизации
Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации. (утв. Приказом Ростехрегулирования от 06.04.2005 г. ?77-ст)
Р 50.1.056-2005 Техническая защита информации. Основные термины и определения. (утв. Приказом Ростехрегулирования от 29.12.2005 г. ?479-ст)
ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения информации. Свод норм и правил менеджмента информационной безопасности. (утв. приказом Росстандарта от 24.09.2012 г. ?423-ст)

Стандарты, рекомендации по стандартизации Банка России
Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 г. ?Р-399)
1. Область применения
5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации
6. Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации
7. Система информационной безопасности организаций банковской системы Российской Федерации
8. Система менеджмента информационной безопасности организаций банковской системы Российской Федерации
Стандарт Банка России СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (принят и введен в действие распоряжением Банка России от 17.05.2014 г. ?Р-399)

Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (приняты и введены в действие распоряжением Банка России от 28.04.2007 г. ?Р-348)
Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" (приняты и введены в действие распоряжением Банка России от 11.11.2009 г. ?Р-1190)
Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (приняты и введены в действие распоряжение Банка России ?Р-400 от 17.05.2014 г.)
6. Рекомендации по планированию в рамках системы менеджмента инцидентов ИБ
9. Рекомендации к классификации инцидентов ИБ и использованию классификатора инцидентов ИБ в процессе их обработки
Приложение 1. Примерный перечень типов событий ИБ
Приложение 2. Примерный классификатор инцидентов ИБ
Рекомендации в области стандартизации Банка России РС БР ИББС-2.6-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем" (приняты и введены в действие распоряжением Банка России ?Р-556 от 10.07.2014 г.)
Рекомендации в области стандартизации Банка России РС БР ИББС-2.8-2015 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации" (приняты и введены в действие Приказом Банка России от 19.02.2015 N ОД-393)
Рекомендации в области стандартизации Банка России РС БР ИББС 2.9-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (приняты и введены в действие Приказом Банка России от 11.04.2016 N ОД-1205)
Приказ ФСБ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности"

Ненормативные документы (Комментарии, словари, руководства, периодика и т.д.)
"Комментарий к Уголовному кодексу Российской Федерации" (постатейный), 4-е издание, под ред. Г.А. Есакова, "Проспект", 2012
И.Луканин Аналитическая записка "Актуальные требования по информационной безопасности, распространяющиеся на операторов информационных систем персональных данных"

Интернет-ресурсы РФ
Интернет-портал Банка России - http://www.cbr.ru
Информационная безопасность организаций банковской системы РФ
Портал "ISO27000.ru Искусство управления информационной безопасностью"
Сайт "Документы по информационной безопасности"

Учебная литература
Литература по информационной безопасности
Основы информационной безопасности : учебное пособие / Ю.Г. Крат, И.Г. Шрамкова. – Хабаровск : Изд-во ДВГУПС, 2008

для банков, не применяющих СТО БР ИББС

Кодексы РФ
Кодекс Российской Федерации об административных правонарушениях от 30.12.01 г. N 195-ФЗ

Законы РФ
Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

Документы Банка России
Положения
Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Положение Банка России от 21.02.2013 N 397-П "Положение о порядке создания, ведения и хранения баз данных на электронных носителях"
Положения Банка России от 24.08.2016 N 552-П "О требованиях к защите информации в платежной системе Банка России"
Указания
Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"
Письма
Письмо Банка России от 30.01.2009 N 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
Письмо Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
Письмо Банка России от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании"

Документы Президента, Правительства и Государственной Думы РФ
Постановление Правительства РФ от 26.06.1995 N 608 "Положение о сертификации средств защиты информации"
Постановление Правительства РФ от 13.06.2012 N 584 "Положение о защите информации в платежной системе"
Постановление Правительства РФ от 01.11.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных"

Документы Банка России, Президента РФ, Правительства РФ и Росфинмониторинга по ПОД-ФТ
Документы Банка России
Положения
Положение Банка России от 29.08.2008 N 321-П "О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансир

Прочие нормативные документы
Приказ ФСБ от 09.02.2005 N 66 "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации"
Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"

Нормативные документы по информационной безопасности
ГОСТы, рекомендации по стандартизации
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (утв. и введен в действие Приказом Ростехрегулирования от 19.12.2006 г. ?317-ст)
ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности (утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2007 N 513-ст)
ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения информации. Свод норм и правил менеджмента информационной безопасности. (утв. приказом Росстандарта от 24.09.2012 г. ?423-ст)
ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 532-ст)
ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1 Практическое руководство (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 15.12.2009 N 998-ст)

Стандарты, рекомендации по стандартизации Банка России
Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 г. ?Р-399)
7. Система информационной безопасности организаций банковской системы Российской Федерации
Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Приказ ФСБ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности"

Ненормативные документы (Комментарии, словари, руководства, периодика и т.д.)
И.Луканин Аналитическая записка "Актуальные требования по информационной безопасности, распространяющиеся на операторов информационных систем персональных данных"

Международные Интернет-ресурсы
Википедия. http://ru.wikipedia.org

Интернет-ресурсы РФ
Сайт "Securelist"
Сайт компании ARinteg

Учебная литература
Литература по информационной безопасности
Основы информационной безопасности : учебное пособие / Ю.Г. Крат, И.Г. Шрамкова. – Хабаровск : Изд-во ДВГУПС, 2008.

 



Новости для банков
15.05.2017
Открытая сертификация специалистов банков и студентов финансовых вузов 15-26 мая 2017г
12.05.2017
Блеск и нищета мультимедийных технологий
10.05.2017
Банк России разработал новые методические рекомендации по формированию отчетности по форме 0409401 "Отчет уполномоченного банка об иностранных операциях" Все новости
Новости ББТ
26.04.2017
Обновление раздела ББТ "Внутренний контроль" от 27.04.2017
26.04.2017
Обновление раздела ББТ "Налогообложение" от 27.04.2017
24.04.2017
Обновление раздела ББТ "Бухгалтерский учет" от 27.04.7017 г.
24.04.2017
Обновление раздела ББТ "Операционная работа в банке" от 27.04.2017
24.04.2017
Обновление раздела ББТ "Кредитные операции" от 27.04.2017 Все новости
Новости библиотеки
07.04.2017
Очередное обновление Электронной Библиотеки Банка от 07.04.2017.
10.03.2017
Очередное обновление Электронной Библиотеки Банка от 10.03.2017 Все новости