Календарь мероприятий


Руководитель службы информационной безопасности банка. Спецификация профессионального стандарта

  1. Общие сведения
  2. Характеристика должности
  3. Карта знаний по должности
  4. Источники знаний по должности

1.Общие сведения о профессиональном стандарте (ПС)

Настоящий ПС разработан для руководителей, отвечающих за организацию мероприятий по обеспечению информационной безопасности в банке.

Типовая банковская должность, для которой разработан настоящий ПС: "Руководитель службы информационной безопасности банка".

Наименование специализации ПС (формулировка специализации в сертификате): "Организация системы информационной безопасности банка".

2.Характеристика типовой должности

Цель должности: Организация и/или поддержание эффективной системы информационной безопасности банка.

Функциональные (должностные) обязанности:

  • обеспечение информационной безопасности Банка, включая: выявление, прогнозирование, оценку угроз безопасности и выбор предпочтительного варианта обеспечения безопасности;
  • установление порядка регулирования отношений в области информационной защиты во всех сферах деятельности Банка;
  • обеспечение сохранности конфиденциальной информации, интеллектуальной, коммерческой (банковской) тайны;
  • разработка подходов к формированию стратегии в сфере обеспечения информационной безопасности Банка;
  • организация разработки и внедрения нормативно-распорядительных документов Банка в сфере информационной безопасности;
  • организация деятельности сотрудников по линии информационной безопасности, проведение мониторинга собранной ими информации о направлениях деятельности Банка, являющихся наиболее уязвимыми;
  • обеспечение соблюдения правил использования, хранения и передачи служебной информации служащими Банка при осуществлении банковских операций и других сделок в соответствии с должностными обязанностями.

3.Карта знаний ПС по типовой должности

В карту знаний стандарта включены 18 разделов специальных знаний:

  • Нормативные документы в области информационной безопасности
  • Внутренние документы в области информационной безопасности
  • Менеджмент информационной безопасности
  • Менеджмент инцидентов информационной безопасности
  • Менеджмент непрерывности бизнеса
  • Организация защиты от вредоносного кода
  • Организация защиты информации при использовании сети Интернет
  • Организация защиты персональных данных
  • Организация защиты информации при осуществлении переводов денежных средств
  • Организация бесперебойности функционирования ПС
  • Организация обмена сообщениями с уполномоченными органами и иными субъектами
  • Организация охраны конфиденциальной информации
  • Организация использования СКЗИ, средств антивирусной защиты
  • Организация взаимодействия с организациями по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
  • Организация информационной безопасности банковских процессов
  • Организация взаимодействия с платформой цифрового рубля
  • Риски информационной безопасности и операционная надежность
  • Ответственность за правонарушения в сфере информационной безопасности

4.Источники по карте знаний

Кодексы РФ

  • Кодекс Российской Федерации об административных правонарушениях

Законы РФ

  • Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
  • Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
  • Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"

Документы Банка России

Положения

  • Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
  • Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
  • Положение Банка России от 03.10.2017 N 607-П "Положение о требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков"
  • Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
  • Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
  • Положение Банка России от 04.06.2020 N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
  • Положение Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг"

  • Положение Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России"
  • Положение Банка России от 07.12.2023 N 833-П "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля"

Указания

  • Указание Банка России от 11.06.2014 N 3280-У "О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры"

  • Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"
  • Указание Банка России от 09.01.2023 N 6354-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента"
  • Указание Банка России от 25.09.2023 N 6540-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой"
  • Указание Банка России от 25.09.2023 N 6541-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами"

Письма

  • Письмо Банка России от 01.03.2013 N 34-Т "О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов"
  • Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
  • Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
  • Информационное письмо Банка России от 01.03.2019 N ИН-04-13/22 "О рекомендациях при совершении банками действий, предусмотренных пунктом 5.6 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"

Документы Президента, Правительства и Государственной Думы РФ

  • Постановление Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации" 
  • Постановление Правительства РФ от 15.06.2022 N 1067 "О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой биометрической системе с использованием мобильного приложения единой биометрической системы"

Прочие нормативные документы

  • Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
  • Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
  • Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
  • Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"
  • Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"
  • "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации" (утв. Банком России 14.02.2019 N 4-МР)
  • "Регламент по операционно-техническому взаимодействию Финансового посредника и Банка России при осуществлении операций на Платформе цифрового рубля" (утв. Банком России)
  • "Регламент взаимодействия Финансового посредника и Банка России при управлении криптографическими ключами Платформы Цифрового рубля (вторая редакция)" (утв. Банком России)
  • "ЦВЦБ. Стандарт. Порядок подключения Финансового посредника к Платформе Цифрового Рубля. Версия 1.2" (утв. Банком России)
  • "Стандарт платформы цифрового рубля "Требования и рекомендации к пользовательским интерфейсам при совершении операций с цифровым рублем" Версия 1.0" (утв. Банком России)
  • Приказ Минцифры России от 12.05.2023 N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц"

Нормативные документы по информационной безопасности

  • ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности (утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
  • ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 532-ст)
  • ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1 Практическое руководство (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 15.12.2009 N 998-ст)
  • ГОСТ Р 53647.3-2015 Менеджмент непрерывности бизнеса. Часть 3 Руководство по внедрению (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 18.11.2015 г. N1857-ст)
  • ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утв. и введен в действие Приказом Росстандарта от 08.08.2017 N 822-ст)

  • ГОСТ Р 57580.3-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие 01.02.2023)
  • ГОСТ Р 57580.4-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" (утв. и введен в действие 01.02.2023)

Стандарты, рекомендации по стандартизации Банка России

  • Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399)
  • "Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (приняты и введены в действие распоряжением Банка России от 28.04.2007 N Р-348)
  • Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" РС БР ИББС-2.5-2014" (приняты и введены в действие Распоряжением Банка России от 17.05.2014 N Р-400)

  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.7-2015 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности" (приняты и введены в действие Приказом Банка России от 19.02.2015 N ОД-392)
  • Рекомендации в области стандартизации Банка России РС БР ИББС 2.9-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (приняты и введены в действие Приказом Банка России от 11.04.2016 N ОД-1205)
  • Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности" СТО БР БФБО-1.5-2023" (принят и введен в действие приказом Банка России от 08.02.2023 N ОД-215)

  • Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств" СТО БР БФБО-1.7-2023" (принят и введен в действие приказом Банка России от 01.03.2023 N ОД-335)

Рекомендации, письма АРБ, АБ "Россия" и других

  • Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента (утв. АРБ)

Литература по информационной безопасности

  • Основы информационной безопасности: Курс лекций. Учебное пособие / Галатенко В. А.; Под редакцией члена-корреспондента РАН В. Б. Бетелина. - 2-е изд., - М.: ИНТУИТРУ "Интернет-университет Информационных Технологий", 2004

и другие документы



Новости ББТ
29.02.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Банковские риски" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 29.02.2024
29.02.2024
Обновление раздела ББТ "Сделки и операции банка на фондовом и денежном рынках" от 29.02.2024
29.02.2024
Обновление раздела ББТ "Валютный контроль" от 29.02.2024 Все новости
Наши мероприятия
09.04.2024
09.04.2024 - "Роль данных в современном банковском бизнесе"
05.04.2024
05.04.2024 - "Протекционизм в рыночной экономике"
19.04.2024
19.04.2024 - "Современное страхование жизни: проблемы и перспективы"
15.04.2024
15.04.2024 - "Цифровая экосистема исламских финансов"
12.04.2024
12.04.2024 - "От безналичных расчётов к цифровым валютам"
11.04.2024
11.04.2024 - "Обзор изменений банковского законодательства за IV кв 2023 г."
10.04.2024
10.04.2024 - "Современные риски мировой финансовой системы" Все новости
Новости для банков
09.04.2024
09.04.2024 - "Роль данных в современном банковском бизнесе"
10.04.2024
10.04.2024 - "Современные риски мировой финансовой системы"
29.03.2024
АСВ и ЦБ выработали типовое соглашение для применения в будущих проектах санации
29.03.2024
В ЦБ напомнили о работающих в России сервисах для безналичной оплаты
29.03.2024
Банки требуют объяснений Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости