Календарь мероприятий


Руководитель службы информационной безопасности банка. Спецификация профессионального стандарта

  1. Общие сведения
  2. Характеристика должности
  3. Карта знаний по должности
  4. Источники знаний по должности

1.Общие сведения о профессиональном стандарте (ПС)

Настоящий ПС разработан для руководителей, отвечающих за организацию мероприятий по обеспечению информационной безопасности в банке.

Типовая банковская должность, для которой разработан настоящий ПС: "Руководитель службы информационной безопасности банка".

Наименование специализации ПС (формулировка специализации в сертификате): "Организация системы информационной безопасности банка".

2.Характеристика типовой должности

Цель должности: Организация и/или поддержание эффективной системы информационной безопасности банка.

Функциональные (должностные) обязанности:

  • обеспечение информационной безопасности Банка, включая: выявление, прогнозирование, оценку угроз безопасности и выбор предпочтительного варианта обеспечения безопасности;
  • установление порядка регулирования отношений в области информационной защиты во всех сферах деятельности Банка;
  • обеспечение сохранности конфиденциальной информации, интеллектуальной, коммерческой (банковской) тайны;
  • разработка подходов к формированию стратегии в сфере обеспечения информационной безопасности Банка;
  • организация разработки и внедрения нормативно-распорядительных документов Банка в сфере информационной безопасности;
  • организация деятельности сотрудников по линии информационной безопасности, проведение мониторинга собранной ими информации о направлениях деятельности Банка, являющихся наиболее уязвимыми;
  • обеспечение соблюдения правил использования, хранения и передачи служебной информации служащими Банка при осуществлении банковских операций и других сделок в соответствии с должностными обязанностями.

3.Карта знаний ПС по типовой должности

В карту знаний стандарта включены 16 разделов специальных знаний:

  • Нормативные документы в области информационной безопасности
  • Внутренние документы в области информационной безопасности
  • Менеджмент информационной безопасности
  • Менеджмент инцидентов информационной безопасности
  • Менеджмент непрерывности бизнеса
  • Методики оценки соответствия информационной безопасности установленным требованиям
  • Организация защиты от вредоносного кода
  • Организация защиты информации при использовании сети интернет
  •  Организация защиты информации при осуществлении переводов денежных средств
  • Организация защиты персональных данных
  • Организация обмена сообщениями с уполномоченными органами
  • Организация охраны конфиденциальной информации
  • Организация использования СКЗИ, средств антивирусной защиты
  • Организация взаимодействия с организациями по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
  •  Организация информационной безопасности банковских процессов
  • Ответственность за правонарушения в сфере информационной безопасности

4.Источники по карте знаний

Кодексы РФ

  • Кодекс Российской Федерации об административных правонарушениях

Законы РФ

  • Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
  • Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

Документы Банка России

Положения

  • Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
  • Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
  • Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
  • Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
  • Положение Банка России от 23.12.2020 N 747-П "О требованиях к защите информации в платежной системе Банка России"

Указания

  • Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"
  • Указание Банка России N 4859-У, Публичного акционерного общества "Ростелеком" N 01/01/782-18 от 09.07.2018 "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в единой биометрической системе"
  • Указание Банка России от 08.10.2018 N 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента"

Разъяснения

  • "Ответы на типовые вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

Письма

  • Письмо Банка России от 01.03.2013 N 34-Т "О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов"
  • Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
  • Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
  • Письмо Банка России от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании"
  • "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации" (утв. Банком России 14.02.2019 N 4-МР)

Документы Президента, Правительства и Государственной Думы РФ

  • Постановление Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации"
  • Постановление Правительства РФ от 16.03.2009 N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций"
  • Постановление Правительства РФ от 13.06.2012 N 584 "Положение о защите информации в платежной системе"

Прочие нормативные документы

  • Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
  • Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
  • Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
  • Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"
  • Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"
  • Постановление Правительства РФ от 13.02.2019 N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных"

Нормативные документы по информационной безопасности

  • ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности (утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
  • ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2007 N 513-ст)
  • ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения информации. Свод норм и правил менеджмента информационной безопасности. (утв. приказом Росстандарта от 24.09.2012 N 423-ст)
  • ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 532-ст)
  • ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1 Практическое руководство (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 15.12.2009 N 998-ст)
  • ГОСТ Р 53647.3-2015 Менеджмент непрерывности бизнеса. Часть 3 Руководство по внедрению (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 18.11.2015 г. N1857-ст)

Стандарты, рекомендации по стандартизации Банка России

  • Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399)
  • Стандарт Банка России СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399)
  • "Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (приняты и введены в действие распоряжением Банка России от 28.04.2007 N Р-348)
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.7-2015 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности" (приняты и введены в действие Приказом Банка России от 19.02.2015 N ОД-392)
  • Рекомендации в области стандартизации Банка России РС БР ИББС 2.9-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (приняты и введены в действие Приказом Банка России от 11.04.2016 N ОД-1205)
  • "Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации" СТО БР БФБО-1.5-2018" (принят и введен в действие приказом Банка России от 14.09.2018 N ОД-2403)

Рекомендации, письма АРБ, АБ "Россия" и других

  • Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента (утв. АРБ)

Литература по информационной безопасности

  • Основы информационной безопасности: Курс лекций. Учебное пособие / Галатенко В. А.; Под редакцией члена-корреспондента РАН В. Б. Бетелина. - 2-е изд., - М.: ИНТУИТРУ "Интернет-университет Информационных Технологий", 2004

 



Новости для банков
18.06.2021
За клиентов МСБ банки борются дистанционно
18.06.2021
Информация без размышления: названы основные проблемы клиентов банков
18.06.2021
Пересчет монет обложили комиссией
18.06.2021
Драгметаллы рухнули на фоне укрепления доллара
18.06.2021
Дума приняла закон о внесудебной блокировке мошеннических сайтов Все новости
Новости ББТ
29.04.2021
Обновление раздела ББТ "Кредитные операции в банке" - от 29.04.2021
29.04.2021
Обновление раздела ББТ "Информационная безопасность банка" от 29.04.2021
29.04.2021
Обновление раздела ББТ "Внутренний контроль в банке" от 29.04.2021
29.04.2021
Обновление раздела ББТ "Банковские риски" от 29.04.2021
29.04.2021
Обновление раздела ББТ "Противодействие НИИИ/МР" от 29.04.2021 Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости