|
|
Календарь мероприятий
|
|
|
|
Специалист по информационной безопасности банка. Спецификация профессионального стандарта
- Общие сведения
- Характеристика должности
- Карта знаний по должности
- Источники знаний по должности
1.Общие сведения о профессиональном стандарте (ПС)
Настоящий ПС разработан для молодых специалистов, принимаемых на должности, связанные с обеспечением информационной безопасности в банке.
Типовая банковская должность, для которой разработан настоящий ПС: "Специалист по информационной безопасности банка".
Наименование специализации ПС (формулировка специализации в сертификате): "Обеспечение информационной безопасности банка".
Стандарт может быть также применён:
- К специалистам службы безопасности, в чьи функциональные обязанности входит организация системы информационной безопасности банка.
2.Характеристика типовой должности
Цель должности: Организация и/или поддержание эффективной системы информационной безопасности банка.
Функциональные (должностные) обязанности:
- Проектирование и внедрение специальных технических и программно-математических средств защиты информации, обеспечение организационных и инженерно-технических мер защиты информационных систем;
- Участие в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации;
- Сопоставительный анализ данных исследований и испытаний;
- Изучение возможных источников и каналов утечки информации;
- Разработка технического обеспечения системы защиты информации, техническое обслуживание средств защиты информации;
- Участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;
- Составление предложений по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технических средств защиты информации;
- Участие в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности;
- Проведение контрольных проверок работоспособности и эффективности действующих систем и технических средств защиты информации;
- Анализ результатов проверок и разработка предложений по совершенствованию и повышению эффективности принимаемых мер.
3.Карта знаний ПС по типовой должности
В карту знаний стандарта включены 15 разделов специальных знаний.
- Законодательство в сфере информационной безопасности
- Понятие информационной безопасности
- Угрозы, уязвимости, источники информационной безопасности
- Документация в области обеспечения информационной безопасности
- Общие требования к системе информационной безопасности банка
- Обнаружение инцидентов ИБ и реагирование на инциденты ИБ
- Обеспечение непрерывности бизнеса и его восстановления после прерываний
- Информационная безопасность при использовании сети Интернет
- Информационная безопасность при осуществлении переводов денежных средств
- Информационная безопасность при приеме-передаче сообщений в уполномоченные органы
- Применение средств защиты от вредоносного кода
- Применение электронной подписи
- Средства защиты информации и их сертификация
- Требования к защите персональных данных
- Требования к защите конфиденциальной информации. Предотвращение утечек информации
- Риски информационной безопасности и операционная надежность
- Взаимодействие с платформой цифрового рубля
4.Источники по карте знаний
Кодексы РФ
- Гражданский Кодекс РФ
- Уголовный кодекс РФ
Законы РФ
- Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"
- Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
Положения
Указания
- Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"
- Указание Банка России от 09.01.2023 N 6354-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента"
- Указание Банка России от 25.09.2023 N 6540-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой"
-
Указание Банка России от 13.12.2023 N 6624-У "О требованиях к порядку представления доверенности в электронной форме, подтверждающей полномочия лица действовать от имени участников финансового рынка, указанных в части 2 статьи 17.2 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи"
Письма
- Письмо Банка России от 30.01.2009 N 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
- Письмо Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
- Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
- Письмо Банка России от 16.05.2012 N 69-Т "О рекомендациях Базельского комитета по банковскому надзору "Принципы надлежащего управления операционным риском"
- Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"
- Письмо Банка России от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании"
- Информационное письмо Банка России от 12.02.2020 N ИН-014-56/6 "О проверке кредитными организациями и некредитными финансовыми организациями принадлежности клиенту адреса электронной почты"
Документы Президента, Правительства и Государственной Думы РФ
- Постановление Правительства РФ от 26.06.1995 N 608 "Положение о сертификации средств защиты информации"
- Постановление Правительства РФ от 01.11.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных"
Прочие нормативные документы
- Приказ ФСБ от 09.02.2005 N 66 "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации"
- Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
- Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
- Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
- Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
- Приказ ФСБ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности"
- Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"
- Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
- Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"
- "Регламент по операционно-техническому взаимодействию Финансового посредника и Банка России при осуществлении операций на Платформе цифрового рубля" (утв. Банком России)
- "ЦВЦБ. Стандарт. Порядок подключения Финансового посредника к Платформе Цифрового Рубля. Версия 1.2" (утв. Банком России)
- Приказ Минцифры России от 12.05.2023 N 453 "О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц"
- Постановление Правительства РФ от 15.06.2022 N 1067 "О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой биометрической системе с использованием мобильного приложения единой биометрической системы"
Нормативные документы по информационной безопасности
ГОСТы, рекомендации по стандартизации
- Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации. (утв. Приказом Ростехрегулирования от 06.04.2005 N 77-ст)
- Р 50.1.056-2005 Техническая защита информации. Основные термины и определения. (утв. Приказом Ростехрегулирования от 29.12.2005 N 479-ст)
- ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (утв. и введен в действие Приказом Ростехрегулирования от 19.12.2006 N 317-ст)
- "ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения" (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст)
- ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности (утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
- ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 532-ст)
- ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1 Практическое руководство (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 15.12.2009 N 998-ст)
- ГОСТ Р 57580.3-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие 01.02.2023)
- ГОСТ Р 57580.4-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" (утв. и введен в действие 01.02.2023)
Стандарты, рекомендации по стандартизации Банка России
- Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399)
- "Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (приняты и введены в действие распоряжением Банка России от 28.04.2007 N Р-348)
- "Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0" РС БР ИББС-2.1-2007" (приняты и введены в действие Распоряжением Банка России от 28.04.2007 N Р-347)
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" (приняты и введены в действие распоряжением Банка России от 11.11.2009 N Р-1190)
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (приняты и введены в действие распоряжение Банка России от 17.05.2014 N Р-400)
- Рекомендации в области стандартизации Банка России РС БР ИББС 2.9-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (приняты и введены в действие Приказом Банка России от 11.04.2016 N ОД-1205)
-
"Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности" СТО БР БФБО-1.5-2023" (принят и введен в действие приказом Банка России от 08.02.2023 N ОД-215)
- Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств" СТО БР БФБО-1.7-2023" (принят и введен в действие Приказом Банка России от 01.03.2023 N ОД-335)
Литература по информационной безопасности
- Основы информационной безопасности : учебное пособие / Ю.Г. Крат, И.Г. Шрамкова. Хабаровск : Изд-во ДВГУПС, 2008.
- Информационная безопасность и защита информации: учебное пособие / В.П.Мельников, С.А.Клейменов, А.М.Петраков; под ред. С.А.Клейменова. - 3-е изд., стер. - М.:Издательский центр "Академия", 2008
- Галатенко В.А. Стандарты информационной безопасности: курс лекций. - М.: ИНТУИТ, 2006. - 264 с.
- Основы информационной безопасности: Курс лекций. Учебное пособие / Галатенко В. А.; Под редакцией члена-корреспондента РАН В. Б. Бетелина. - 2-е изд., - М.: ИНТУИТРУ Интернет-университет Информационных Технологий, 2004. - 264 с.
- Камышев Э. Н. Информационная безопасность и защита информации: Учебное пособие. - Томск: ТПУ, 2009. - 95 с.
и другие документы
|
|
|
|