Специалист по информационной безопасности (в банке, применяющем положения СТО). Спецификация профессионального стандарта

1. Общие сведения
2. Характеристика вида профессиональной деятельности
3. Функциональная карта вида профессиональной деятельности
4. Источники знаний по виду профессиональной деятельности

1.Общие сведения 

   Настоящий ПС разработан　для специалистов банка, применяющего положения СТО, по информационной безопасности на основе документов Банка России, содержащих требования к специалистам, осуществляющим данный вид деятельности.
   Основная цель вида профессиональной деятельности: Обеспечение защищенности компьютерных систем от вредоносных программно-технических и информационных воздействий.

2.Характеристика вида профессиональной деятельности 

• Проектирование и внедрение специальных технических и программно-математических средств защиты информации, обеспечение организационных и инженерно-технических мер защиты информационных систем
• Участие в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации
• Сопоставительный анализ данных исследований и испытаний
• Изучение возможных источников и каналов утечки информации
• Разработка технического обеспечения системы защиты информации, техническое обслуживание средств защиты информации
• Участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации
• Составление предложений по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технических средств защиты информации
• Участие в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности
• Проведение контрольных проверок работоспособности и эффективности действующих систем и технических средств защиты информации
• Анализ результатов проверок и разработка предложений по совершенствованию и повышению эффективности принимаемых мер

3.Функциональная карта вида профессионально деятельности 

• Нормативные документы. Ответственность за правонарушения в сфере информационной безопасности
• Термины и определения
• Документация в области обеспечения информационной безопасности
• Общие требования к системе информационной безопасности банка. Модель угроз и нарушителей
• Менеджмент информационной безопасности
• Менеджмент инцидентов информационной безопасности
• Менеджмент непрерывности бизнеса
• Информационная безопасность при использовании систем Интернет-банкинга
• Информационная безопасность при осуществлении переводов денежных средств
• Информационная безопасность при использовании технологии виртуализации
• Информационная безопасность на стадиях жизненного цикла АБС
• Информационная безопасность при приеме-передаче сообщений в целях ПОД/ФТ, передаче сообщений налоговому органу
• Обмен информацией с НКЦКИ, ГосСОПКА и иными лицами
• Применение средств защиты от вредоносного кода
• Требования к защите персональных данных
• Организационные и технические меры, необходимые для выполнения установленных требований к защите ПДн
• Средства защиты информации и их сертификация
• Предотвращение утечек информации
• Применение электронной подписи
• Риски информационной безопасности и операционная надежность
• Взаимодействие с платформой цифрового рубля

4.Источники знаний по виду профессиональной деятельности

Кодексы РФ

• Гражданский Кодекс РФ
• Кодекс Российской Федерации об административных правонарушениях
• Уголовный кодекс РФ

Законы РФ

• Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"

• Федеральный закон от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"

Документы Банка России

Положения

• Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
• Положение Банка России от 07.09.2007 N 311-П "О порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета"
• Положение Банка России от 20.09.2017 N 600-П "О представлении кредитными организациями по запросам Федеральной службы по финансовому мониторингу информации об операциях клиентов, о бенефициарных владельцах клиентов и информации о движении средств по счетам (вкладам) клиентов"
• Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
• Положение Банка России от 04.06.2020 N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
• Положение Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг"
• Положение Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России"
• Положение Банка России от 07.12.2023 N 833-П "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля"

Указания

• Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных"
• Указание Банка России от 15.07.2021 N 5861-У "О порядке представления кредитными организациями в уполномоченный орган сведений и информации в соответствии со статьями 7 и 7.5 Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"
• Указание Банка России от 09.01.2023 N 6354-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента"
• Указание Банка России от 25.09.2023 N 6540-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой"
• Указание Банка России от 25.09.2023 N 6541-У "О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами"

Разъяснения

• Письмо Банка России от 30.01.2009 N 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
• Письмо Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
• Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"
• Письмо Банка России от 05.08.2013 N 146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет"

Прочие нормативные документы

• Постановление Правительства РФ от 26.06.1995 N 608 "Положение о сертификации средств защиты информации"
• Постановление Правительства РФ от 01.11.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных"
• Информационное сообщение ФСТЭК России от 30.07.2012 N 240/24/3095 "Об утверждении Требований к средствам антивирусной защиты"
• Приказ ФСБ России от 19.06.2019 N 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"
• Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
• Приказ ФСБ от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности"
• Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
• Приказ ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации"
• Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
• Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"
• "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации" (утв. Банком России 14.02.2019 N 4-МР)
• Постановление Правительства РФ от 29.06.2021 N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" (вместе с "Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных")
• "Регламент по операционно-техническому взаимодействию Финансового посредника и Банка России при осуществлении операций на Платформе цифрового рубля" (утв. Банком России)
• "ЦВЦБ. Стандарт. Порядок подключения Финансового посредника к Платформе Цифрового Рубля. Версия 1.2" (утв. Банком России)

Нормативные документы по информационной безопасности

ГОСТы, рекомендации по стандартизации

• Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации. (утв. Приказом Ростехрегулирования от 06.04.2005 N 77-ст)
• Р 50.1.056-2005 Техническая защита информации. Основные термины и определения. (утв. Приказом Ростехрегулирования от 29.12.2005 N 479-ст)
• ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса. Часть 1 Практическое руководство (утв.Приказом Федерального агентства по техническому регулированию и метрологии от 15.12.2009 N 998-ст)

• ГОСТ Р 57580.1-2017 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утв. и введен в действие Приказом Росстандарта от 08.08.2017 N 822-ст)

• ГОСТ Р 57580.3-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие 01.02.2023)
• ГОСТ Р 57580.4-2022 "Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" (утв. и введен в действие 01.02.2023)

Стандарты, рекомендации по стандартизации Банка России

• Стандарт Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 17.05.2014 N Р-399)
• "Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)
• Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 (приняты и введены в действие распоряжением Банка России от 28.04.2007 N Р-348)
• Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" (приняты и введены в действие распоряжением Банка России от 11.11.2009 N Р-1190)
• Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (приняты и введены в действие распоряжение Банка России от 17.05.2014 N Р-400)
• Рекомендации в области стандартизации Банка России РС БР ИББС-2.6-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем" (приняты и введены в действие распоряжением Банка России N Р-556 от 10.07.2014 г.)
• Рекомендации в области стандартизации Банка России РС БР ИББС-2.8-2015 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации" (приняты и введены в действие Приказом Банка России от 19.02.2015 N ОД-393)
• Рекомендации в области стандартизации Банка России РС БР ИББС 2.9-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" (приняты и введены в действие Приказом Банка России от 11.04.2016 N ОД-1205)

• Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности" СТО БР БФБО-1.5-2023" (принят и введен в действие приказом Банка России от 08.02.2023 N ОД-215)

• Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств" СТО БР БФБО-1.7-2023" (принят и введен в действие Приказом Банка России от 01.03.2023 N ОД-335)

Ненормативные документы (Комментарии, словари, руководства, периодика и т.д.)

• "Комментарий к Уголовному кодексу Российской Федерации" (постатейный), 4-е издание, под ред. Г.А. Есакова, "Проспект", 2012
• И.Луканин Аналитическая записка "Актуальные требования по информационной безопасности, распространяющиеся на операторов информационных систем персональных данных"

Литература по информационной безопасности

• Основы информационной безопасности : учебное пособие / Ю.Г. Крат, И.Г. Шрамкова. Хабаровск : Изд-во ДВГУПС, 2008
• Основы информационной безопасности: Курс  лекций. Учебное пособие / Галатенко В. А.; Под редакцией члена-корреспондента РАН В. Б. Бетелина. - 2-е изд., - М.: ИНТУИТРУ Интернет-университет Информационных Технологий, 2004. - 264 с.

 и другие документы