Календарь мероприятий


Специалист по информационной безопасности банка. Спецификация профессионального стандарта

  1. Общие сведения
  2. Характеристика должности
  3. Карта знаний по должности
  4. Источники знаний по должности

1.Общие сведения о профессиональном стандарте (ПС)

Настоящий ПС разработан для молодых специалистов, принимаемых на должности, связанные с обеспечением информационной безопасности в банке.

Типовая банковская должность, для которой разработан настоящий ПС: "Специалист по информационной безопасности банка".

Наименование специализации ПС (формулировка специализации в сертификате): "Обеспечение информационной безопасности банка".

Стандарт может быть также применён: 

  • К специалистам службы безопасности, в чьи функциональные обязанности входит организация системы информационной безопасности банка.

2.Характеристика типовой должности

Цель должности: Организация и/или поддержание эффективной системы информационной безопасности банка.

Функциональные (должностные) обязанности:

  • Проектирование и внедрение специальных технических и программно-математических средств защиты информации, обеспечение организационных и инженерно-технических мер защиты информационных систем;
  • Участие в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации;
  • Сопоставительный анализ данных исследований и испытаний;
  • Изучение возможных источников и каналов утечки информации;
  • Разработка технического обеспечения системы защиты информации, техническое обслуживание средств защиты информации;
  • Участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;
  • Составление предложений по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технических средств защиты информации;
  • Участие в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности;
  • Проведение контрольных проверок работоспособности и эффективности действующих систем и технических средств защиты информации;
  • Анализ результатов проверок и разработка предложений по совершенствованию и повышению эффективности принимаемых мер.

3.Карта знаний ПС по типовой должности

В карту знаний стандарта включены 15 разделов специальных знаний.

  • Законодательство в сфере информационной безопасности
  • Понятие информационной безопасности
  • Угрозы, уязвимости, источники информационной безопасности
  • Документация в области обеспечения информационной безопасности
  • Общие требования к системе информационной безопасности банка
  • Обнаружение инцидентов ИБ и реагирование на инциденты ИБ
  • Обеспечение непрерывности бизнеса и его восстановления после прерываний
  • Информационная безопасность при использовании сети Интернет
  • Информационная безопасность при осуществлении переводов денежных средств
  • Информационная безопасность при приеме-передаче сообщений в уполномоченные органы
  • Применение средств защиты от вредоносного кода
  • Применение электронной подписи
  • Средства защиты информации и их сертификация
  • Требования к защите персональных данных
  • Требования к защите конфиденциальной информации. Предотвращение утечек информации.

4.Источники по карте знаний

Кодексы РФ

  • Гражданский Кодекс РФ
  • Уголовный кодекс РФ

Законы РФ

  • Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"
  • Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

Положения

  • Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
  • Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
  • Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
  • Положение Банка России от 04.06.2020 N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
  • Положение Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг"

  • Положение Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России"

Указания

  • Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"

Письма

  • Письмо Банка России от 30.01.2009 N 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
  • Письмо Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
  • Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
  • Письмо Банка России от 16.05.2012 N 69-Т "О рекомендациях Базельского комитета по банковскому надзору "Принципы надлежащего управления операционным риском"
  • Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
  • Письмо Банка России от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании"
  • Информационное письмо Банка России от 12.02.2020 N ИН-014-56/6 "О проверке кредитными организациями и некредитными финансовыми организациями принадлежности клиенту адреса электронной почты"

Документы Президента, Правительства и Государственной Думы РФ

  • Постановление Правительства РФ от 26.06.1995 N 608 "Положение о сертификации средств защиты информации"
  • Постановление Правительства РФ от 01.11.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных"

Прочие нормативные документы

  • Приказ ФСБ от 09.02.2005 N 66 "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации"
  • Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
  • Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
  • Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
  • Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
  • Приказ ФСБ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности"
  • Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"
  • Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
  • Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"

Нормативные документы по информационной безопасности

ГОСТы, рекомендации по стандартизации

  • Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации. (утв. Приказом Ростехрегулирования от 06.04.2005 N 77-ст)
  • Р 50.1.056-2005 Техническая защита информации. Основные термины и определения. (утв. Приказом Ростехрегулирования от 29.12.2005 N 479-ст)
  • ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (утв. и введен в действие Приказом Ростехрегулирования от 19.12.2006 N 317-ст)
  • "ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения" (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст)
  • ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности (утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
  • ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 532-ст)
  • ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1 Практическое руководство (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 15.12.2009 N 998-ст)
  • ГОСТ Р 57580.3-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие 01.02.2023)
  • ГОСТ Р 57580.4-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" (утв. и введен в действие 01.02.2023)

Стандарты, рекомендации по стандартизации Банка России

  • Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399)
  • "Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (приняты и введены в действие распоряжением Банка России от 28.04.2007 N Р-348)
  • "Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0" РС БР ИББС-2.1-2007" (приняты и введены в действие Распоряжением Банка России от 28.04.2007 N Р-347)
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" (приняты и введены в действие распоряжением Банка России от 11.11.2009 N Р-1190)
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (приняты и введены в действие распоряжение Банка России от 17.05.2014 N Р-400)
  • Рекомендации в области стандартизации Банка России РС БР ИББС 2.9-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (приняты и введены в действие Приказом Банка России от 11.04.2016 N ОД-1205)
  • "Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации" СТО БР БФБО-1.5-2018" (принят и введен в действие приказом Банка России от 14.09.2018 N ОД-2403)

Литература по информационной безопасности

  • Основы информационной безопасности : учебное пособие / Ю.Г. Крат, И.Г. Шрамкова. Хабаровск : Изд-во ДВГУПС, 2008.
  • Информационная безопасность и защита информации: учебное пособие / В.П.Мельников, С.А.Клейменов, А.М.Петраков; под ред. С.А.Клейменова. - 3-е изд., стер. - М.:Издательский центр "Академия", 2008
  • Галатенко В.А. Стандарты информационной безопасности: курс лекций. - М.: ИНТУИТ, 2006. - 264 с.
  • Основы информационной безопасности: Курс лекций. Учебное пособие / Галатенко В. А.; Под редакцией члена-корреспондента РАН В. Б. Бетелина. - 2-е изд., - М.: ИНТУИТРУ Интернет-университет Информационных Технологий, 2004. - 264 с.
  • Камышев Э. Н. Информационная безопасность и защита информации: Учебное пособие. - Томск: ТПУ, 2009. - 95 с.

 



Новости ББТ
31.08.2023
Обновление раздела ББТ "Внутренний контроль в банке" от 31.08.2023
31.08.2023
Обновление раздела ББТ "Сделки и операции банка на фондовом и денежном рынках" от 31.08.2023
31.08.2023
Обновление раздела ББТ "Банковские риски" от 31.08.2023
31.08.2023
Обновление раздела ББТ "Кредитные операции в банке" - от 31.08.2023
31.08.2023
Обновление раздела ББТ "Операции банка с ценными бумагами" от 31.08.2023 Все новости
Наши мероприятия
24.10.2023
Приглашение на дискуссию студенческих команд "Цифровой рубль: плюсы и минусы"
19.10.2023
19.10.2023 - Семинар "Организация операционной работы в банке"
10.10.2023
10.10.2023 - Вебинар: Основные изменения банковского законодательства в I кв. 2023 г.
03.10.2023
Словарь для ВУЗов "Имена банковской школы России"
03.10.2023
30.10-03.11.2023 - "Контроль за банком" - курс для собственников.
03.10.2023
Семинар "Определение признаков подлинности денежных знаков и платежеспособности банкнот и монеты Банка России"
28.09.2023
Приглашаем на сертификацию банковских специалистов в ноябре 2023 года Все новости
Новости для банков
04.10.2023
Банк России интегрирует ESG-подходы в пруденциальное регулирование и надзор
04.10.2023
Россияне сократили объем наличных на руках впервые за полтора года
04.10.2023
Просрочка выросла в цене: Плохие долги хорошо продаются
04.10.2023
ЦБ назвал объем облигаций, связанных с ESG, на Мосбирже
04.10.2023
Китайский платежный сервис нацелен выйти на российский рынок Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости