|
|
Календарь мероприятий
|
|
|
|
Руководитель службы информационной безопасности банка. Спецификация профессионального стандарта
- Общие сведения
- Характеристика должности
- Карта знаний по должности
- Источники знаний по должности
1.Общие сведения о профессиональном стандарте (ПС)
Настоящий ПС разработан для руководителей, отвечающих за организацию мероприятий по обеспечению информационной безопасности в банке.
Типовая банковская должность, для которой разработан настоящий ПС: "Руководитель службы информационной безопасности банка".
Наименование специализации ПС (формулировка специализации в сертификате): "Организация системы информационной безопасности банка".
2.Характеристика типовой должности
Цель должности: Организация и/или поддержание эффективной системы информационной безопасности банка.
Функциональные (должностные) обязанности:
- обеспечение информационной безопасности Банка, включая: выявление, прогнозирование, оценку угроз безопасности и выбор предпочтительного варианта обеспечения безопасности;
- установление порядка регулирования отношений в области информационной защиты во всех сферах деятельности Банка;
- обеспечение сохранности конфиденциальной информации, интеллектуальной, коммерческой (банковской) тайны;
- разработка подходов к формированию стратегии в сфере обеспечения информационной безопасности Банка;
- организация разработки и внедрения нормативно-распорядительных документов Банка в сфере информационной безопасности;
- организация деятельности сотрудников по линии информационной безопасности, проведение мониторинга собранной ими информации о направлениях деятельности Банка, являющихся наиболее уязвимыми;
- обеспечение соблюдения правил использования, хранения и передачи служебной информации служащими Банка при осуществлении банковских операций и других сделок в соответствии с должностными обязанностями.
3.Карта знаний ПС по типовой должности
В карту знаний стандарта включены 18 разделов специальных знаний:
- Нормативные документы в области информационной безопасности
- Внутренние документы в области информационной безопасности
- Менеджмент информационной безопасности
- Менеджмент инцидентов информационной безопасности
- Менеджмент непрерывности бизнеса
- Организация защиты от вредоносного кода
- Организация защиты информации при использовании сети Интернет
- Организация защиты персональных данных
- Организация защиты информации при осуществлении переводов денежных средств
- Организация бесперебойности функционирования ПС
- Организация обмена сообщениями с уполномоченными органами и иными субъектами
- Организация охраны конфиденциальной информации
- Организация использования СКЗИ, средств антивирусной защиты
- Организация взаимодействия с организациями по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
- Организация информационной безопасности банковских процессов
- Организация взаимодействия с платформой цифрового рубля
- Риски информационной безопасности и операционная надежность
- Ответственность за правонарушения в сфере информационной безопасности
4.Источники по карте знаний
Кодексы РФ
- Кодекс Российской Федерации об административных правонарушениях
Законы РФ
- Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
-
Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"
Документы Банка России
Положения
- Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
- Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
- Положение Банка России от 03.10.2017 N 607-П "Положение о требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков"
- Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
- Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
-
Положение Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг"
- Положение Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России"
-
Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
- Положение Банка России от 07.12.2023 N 833-П "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля"
Указания
Письма
- Письмо Банка России от 01.03.2013 N 34-Т "О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов"
- Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
- Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
- Информационное письмо Банка России от 01.03.2019 N ИН-04-13/22 "О рекомендациях при совершении банками действий, предусмотренных пунктом 5.6 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"
Документы Президента, Правительства и Государственной Думы РФ
- Постановление Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации"
- Постановление Правительства РФ от 15.06.2022 N 1067 "О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой биометрической системе с использованием мобильного приложения единой биометрической системы"
Прочие нормативные документы
- Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
- Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
- Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
- Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"
- Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"
- "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации" (утв. Банком России 14.02.2019 N 4-МР)
- "Регламент по операционно-техническому взаимодействию Финансового посредника и Банка России при осуществлении операций на Платформе цифрового рубля" (утв. Банком России)
- "Регламент взаимодействия Финансового посредника и Банка России при управлении криптографическими ключами Платформы Цифрового рубля (вторая редакция)" (утв. Банком России)
- "ЦВЦБ. Стандарт. Порядок подключения Финансового посредника к Платформе Цифрового Рубля. Версия 1.2" (утв. Банком России)
- "Стандарт платформы цифрового рубля "Требования и рекомендации к пользовательским интерфейсам при совершении операций с цифровым рублем" Версия 1.0" (утв. Банком России)
- Приказ Минцифры России от 12.05.2023 N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц"
Нормативные документы по информационной безопасности
Стандарты, рекомендации по стандартизации Банка России
- Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399)
- "Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (приняты и введены в действие распоряжением Банка России от 28.04.2007 N Р-348)
-
Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" РС БР ИББС-2.5-2014" (приняты и введены в действие Распоряжением Банка России от 17.05.2014 N Р-400)
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.7-2015 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности" (приняты и введены в действие Приказом Банка России от 19.02.2015 N ОД-392)
- Рекомендации в области стандартизации Банка России РС БР ИББС 2.9-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (приняты и введены в действие Приказом Банка России от 11.04.2016 N ОД-1205)
-
Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности" СТО БР БФБО-1.5-2023" (принят и введен в действие приказом Банка России от 08.02.2023 N ОД-215)
-
Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств" СТО БР БФБО-1.7-2023" (принят и введен в действие приказом Банка России от 01.03.2023 N ОД-335)
Рекомендации, письма АРБ, АБ "Россия" и других
- Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента (утв. АРБ)
Литература по информационной безопасности
- Основы информационной безопасности: Курс лекций. Учебное пособие / Галатенко В. А.; Под редакцией члена-корреспондента РАН В. Б. Бетелина. - 2-е изд., - М.: ИНТУИТРУ "Интернет-университет Информационных Технологий", 2004
и другие документы
|
|
|
|