Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (видеокурс)

Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»

Код курса БТ40-В, 3 дня

Форма обучения

Видеокурс

Статус

Авторский видеокурс Александра Велигуры

Аннотация

В курсе обобщен и систематизирован многолетний опыт автора по разработке систем обеспечения информационной безопасности, аналитических обследований организаций банковской системы Российской Федерации. Особое внимание уделяется организации обеспечения информационной безопасности на основе лучших практик, аккумулированных в стандарте Банка России, рациональному распределению функций и организации эффективного взаимодействия по вопросам защиты информации всех подразделений и сотрудников, использующих и обеспечивающих функционирование автоматизированных систем. Подробно рассматриваются вопросы разработки с учетом требований российского законодательства нормативно-методических и организационно-распорядительных документов, необходимых для реализации рассмотренной технологии обеспечения информационной безопасности.

Аудитория

• Руководители подразделений информационной безопасности; руководители, ответственные за состояние информационной безопасности в организациях банковской системы Российской Федерации и организацию работ по созданию комплексных систем защиты информации.
• Специалисты, ответственные за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения информационной безопасности в организациях банковской системы Российской Федерации.
• Специалисты, ответственные за работу с персоналом по вопросам обеспечения информационной безопасности.

Предварительная подготовка

Общие представления об информационных системах, правовых, организационных и технических аспектах обеспечения информационной безопасности автоматизированных систем.

В результате обучения

Вы сможете:

• разрабатывать основные положения концепции построения и эффективного обеспечения информационной системы в организациях банковской системы Российской Федерации;
• организовывать деятельность служб информационной безопасности в организациях банковской системы Российской Федерации;
• планировать защиту и рационально распределять соответствующие функции между подразделениями и сотрудниками организации банковской системы Российской Федерации, организовывать их взаимодействие на различных этапах жизненного цикла автоматизированных систем;
• проводить информационные обследования и анализ рисков автоматизированных банковских систем;
• разрабатывать организационно-распорядительные документы по вопросам защиты информации в организациях банковской системы Российской Федерации.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита» в электронном виде.

Программа курса

Раздел 1. Вводная часть

1. Отечественное и зарубежное законодательство в области защиты информации и документы Банка России по вопросам обеспечения информационной безопасности.

2. Документы, регламентирующие порядок обеспечения защиты информации в организациях банковской системы.

3.Стандарты по обеспечению информационной безопасности.

4. Комплекс Стандартов Банка России СТО БР ИББС и рекомендаций по стандартизации РС БР ИББС.

5. Подход, используемый в Стандарте.

6. Термины и определения с учетом специфики банковской системы.

7. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации.

8. Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации.

9. Модели угроз и нарушителей, используемые в нормативных документа и стандартах, их особенности и возможности использования при реализации.

10. Система обеспечения информационной безопасности.

11. Система информационной безопасности.

12. Система менеджмента информационной безопасности.

13. Подразделение информационной безопасности.

Раздел 2. Система информационной безопасности организаций банковской системы Российской Федерации

1. Общие положения.

2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу.

• Роли и принципы предоставления прав. Процедуры контроля деятельности работников. Процедуры приема на работу. Проверка профессиональных навыков. Регламентирование обязанностей.

3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла (ЖЦ).

• Стадии жизненного цикла. Подход к обеспечению ИБ АБС на стадиях ЖЦ, изложенный в Стандарте. Специфика обеспечения ИБ на каждой стадии ЖЦ.

4. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрацией.

• Учет информационных активов. Требования к средствам управления доступом. Учет действий и операций. Разделение сегментов вычислительных сетей. Требования в отношении дистанционного банковского обслуживания.

5. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты.

• Организация системы антивирусной защиты. Принципы применения антивирусных средств.

6. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет.

• Определение целей использования сети Интернет. Защитные меры. Контроль использования. Использование сети Интернет для передачи данных. ДБО через интернет. Электронная почта.

7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации.

• Принципы применения. Организация и контроль. Требования к СКЗИ. Порядок применения СКЗИ. Применение СКЗИ для защиты персональных данных.

8. Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов.

• Организация обеспечения информационной безопасности банковских информационных технологических процессов. Идентификация неплатежной информации и банковских информационных технологических процессов.

9. Общие требования по обработке персональных данных в организации банковской системы Российской Федерации.

• Организация обработки персональных данных (ПДн). Необходимые действия и процедуры в отношении ПДн и их обработки. Требования к регламентации обработки ПДн. Регламентация доступа работников, учета помещений и использования носителей, связанных с обработкой ПДн. Поручение обработки ПДн третьему лицу и трансграничная передача ПДн.

10. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные.

• Уровни защищенности ПДн. Рекомендации по учету угроз утечки персональных данных по техническим каналам, а также угроз, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационных системах ПДн. Рекомендуемые меры защиты персональных данных. Сегментирование сетей и использование в сертифицированных по требованиям безопасности информации средств защиты информации.

Раздел 3. Система менеджмента информационной безопасности организаций банковской системы (СМИБ) Российской Федерации

1. Общие положения.

• Группы процессов СМИБ в виде циклической модели Дёминга.

2. Требования к организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации.

• Рекомендации по численности и бюджету службы ИБ. Минимальные полномочия службы ИБ.

3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности.

• Рекомендации по классификации и учету информационных активов и объектов среды.

4. Требования к выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности.

• Существующие подходы к оценке рисков, их сравнение и выбор подхода. Требования к методике оценки рисков. Организация деятельности по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ и по оценке рисков нарушения ИБ.

5. Требования к разработке планов обработки рисков нарушения информационной безопасности.

• Содержание обработки рисков и рекомендации по ее организации.

6. Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности.

• Содержание рекомендаций по стандартизации Банка России РС БР ИББС-2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Состав и содержание системы внутренних документов. Организация разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ.

7. Требования к принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности.

• Вопросы обеспечения ИБ, требующие оформленного решения руководства организации. Требования к планам реализации требований ИБ, планов обработки рисков нарушения ИБ и внедрения защитных мер.

8. Требования к организации реализации планов внедрения системы обеспечения информационной безопасности.

9. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности.

• Содержание обучения и повышения осведомленности в области информационной безопасности. Свидетельства выполнения программ обучения и повышения осведомленности в области ИБ.

10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности.

• Инциденты ИБ и их обработка. Обзор содержания рекомендаций по стандартизации Банка России РС БР ИББС-2.5 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности».

11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний.

• Рекомендации по планированию обеспечения непрерывности бизнеса и его восстановления после возможного прерывания, требования по поддержке и актуализации плана.

12. Требования к мониторингу информационной безопасности и контролю защитных мер.

13. Требования к проведению самооценки и аудита информационной безопасности.

• Самооценка и аудит, их сходство и различие. Регламентация организации и проведения самооценки и аудита.
• Обзор требований стандартов Банка России СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».

14. Требования к анализу функционирования системы обеспечения информационной безопасности (СОИБ).

• Состав процедур анализа функционирования СОИБ. Содержание анализа функционирования СОИБ.

15. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации

• Состав информации, предоставляемой руководству организации БС РФ с целью проведения анализа СОИБ. Планирование деятельности по контролю и анализу СОИБ.

16. Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности.

• Содержание тактических улучшений. Исходные данные для принятия решений, связанных с тактическими улучшениями СОИБ. Организация и оформление деятельности по принятию и реализации тактических улучшений.

17. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности.

• Содержание стратегических улучшений. Исходные данные для принятия решений, связанных с стратегическими улучшениями СОИБ. Организация и оформление деятельности по принятию и реализации стратегических улучшений.

18. Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации.

• Цели проверки и оценки ИБ организаций банковской системы Российской Федерации. Процессы проверки и оценки ИБ организаций банковской системы Российской Федерации, их взаимосвязь. Рекомендуемая периодичность проведения аудита и самооценки.

Последующее обучение

• Оценка соответствия состояния обеспечения информационной безопасности организации банковской системы Российской Федерации требованиям Стандарта Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» на основе рекомендаций стандартов Банка России СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
• Основные требования Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Преподаватель

Александр Велигура, известный эксперт в области информационной безопасности, председатель комитета по банковской безопасности Ассоциации российских банков, кандидат физ.-мат. наук, CISA, участник разработки и внедрения комплекса стандартов Банка России по информационной безопасности. Имеет богатый практический опыт внедрения и оценки выполнения требований стандарта Банка России в крупнейших российских банках.

Кроме этого, читает ряд курсов на факультете Кибернетики и информационной безопасности МИФИ и в системе повышения квалификации специалистов по информационной безопасности Банка России.