Календарь мероприятий



Сотрудники, как самое уязвимое место в ИБ банка. Рекомендации по выполнению требований Банка России

Агентство "ВЭП" стало медиа-партнёром Форума "ТЕХНОЛОГИЧНЫЕ РЕШЕНИЯ ДЛЯ БАНКОВ", который состоялся 7 апреля 2016 г. в г..Казань. Предлагаем ознакомиться с кратким обзором доклада и презентацией выступления нашего спикера на сессии "Информационная безопасность банка".

 

1. Вступление

2. Текущие реалии

Мир стремительно меняется во всех сферах, но особенно быстрые изменения мы наблюдаем в цифровых технологиях. Не стала исключением и банковская безопасность

Резкий рост кибератак вызывает серьёзную обеспокоенность Банка России. 
 
  • Только за 4 квартал 2015г. похищено 1,5 млрд. рублей со счетов клиентов кредитно-финансовых организаций (озвучено Банком России)
  • С начала 2016 года усилиями регулятора и правоохранительных органов пресечено хищение более 500 млн. рублей
  • Суммы реальных потерь банков больше, чем официально озвученные.  
 
Вчера киберпреступники воровали миллионы, сегодня уже миллиарды, а если не принять срочных мер, то завтра потери будут исчисляться десятками миллиардов.
 
3. Угрозы
Теперь посмотрим на оценку влияния различных угроз на ущерб - на диаграмме.
Первые 4 строки в этом рейтинге напрямую связаны с действиями персонала - причём, в большинстве случаев сотрудники даже не осознают, что нарушают требования информационной безопасности и помогают кибер-мошенникам.
Почему это становится возможным?
Из-за недостаточного внимания банков к вопросам обучения персонала в вопросах информационной безопасности!
 
Система ИБ банка состоит из 2-х базовых компонент:
 
  1. Установка средств защиты (программных, аппаратных). 
  2. Выполнение организационных мероприятий (создание комплекта организационно-распорядительной документации, осведомление сотрудников, контроль за выполнением прописанных процедур).
 
Обычно, основное внимание уделяется средствам защиты - сюда направляются бюджеты и специалисты. На организационных  мероприятиях, банк предпочитает сэкономить, поэтому часто многие вопросы здесь выполняются формально и только на бумаге.  
Но недооценивать  это направление нельзя, ведь это и есть Ахиллесова пята - самое уязвимое место в защите вашего Банка!
 

4. Почему уязвимы сотрудники?

Человек имеет слабости: 
  • Любопытство
  • Страх 
  • Беспечность
  • Желание помочь
Слабости людей - это цели для социальной инженерии, которую активно используют мошенники. 
  • Они посылают сотрудникам письма, которые хочется немедленно открыть.
  • Они подбрасывают флешки, которую хочется прочитать.
  • Они совершают не вызывающие сомнений звонки под видом сотрудника платёжной системы, и предлагают протестировать новую опцию.

 

Методы обмана постоянно совершенствуются, точки их приложения сложно предугадать. Успешность проведения атак методом социальной инженерии растёт!
 

5. Как противодействовать?

Вы не сможете на 100% оградить всех сотрудников от попыток воздействия кибермошенников, путём тотальных запретов.  Да и такие запреты, без понимания сотрудниками их сути, будут нарушаться под разными предлогами (производственная необходимость, хотел как быстрее и т.п.).
Есть только один правильный путь - повышать осведомлённость персонала в вопросах информационной безопасности.
Этого требуют от банка и нормативные документы. Какие-же?
 
6. Документы, содержащие требования по осведомлению персонала
Перед вами список документов, содержащих  требования по осведомлению персонала.
Здесь документы, обязательные для исполнения (152- ФЗ, 382-П, 49-Т), так и требования стандартов, являющихся обязательными для банков, присоединившихся к СТО (таких большинство - 530). 
В начале этого года руководство Банка России обозначило намерение ужесточить практические требования к информационной безопасности и контроль за их исполнением. ЦБ РФ прежде всего активизирует меры, предназначенные для постепенного ухода от "условно бумажной" безопасности и перевода ее в более практическую плоскость. Кроме того, в ближайших планах у ЦБ перевести СТО БР ИББС в формат ГОСТа, также сделав его обязательным.
Все эти документы содержат конкретные требования по категориям персонала  и направлениям обучения. Банку остаётся обеспечить их практическое выполнение.
 

7. Как выполнить требования по повышению осведомлённости  в банке?

Вам нужно создать систему обучения и тестирования по вопросам информационной безопасности. Так как нет другого способа управлять компетенциями большого количества сотрудников, как использование курсов и тестов!
 
Базовыми принципами эффективной системы обучения являются:
  1. Актуальность учебного материала
  2. Доступность обучающих материалов 
  3. Регулярность проверки знаний (тестирование)
  4. Административный ресурс (влияние на премирование) 
 
Почему важен  административный ресурс? Как показывает опыт, что при овладении непрофильными знаниями (а здесь как раз такой случай) самомотивации уже недостаточно. Поэтому, только регулярная проверка знаний помноженная на административный ресурс - делают обучение эффективным!
 

8. Структура системы

Перед вами (на блок-схеме) структура типовой системы дистанционного обучения на примере корпоративной системы обучения "Большие Банковские Тесты" (КСО ББТ). 
Вы можете приобрести эту систему вместе с готовыми учебными материалами и их сопровождением (актуализация+расширение). Или купить оболочку и создавать контент самостоятельно. А можете реализовать всё это своими силами - всё зависит от ваших ресурсов и сроков.
Важно то, чем вы наполните программу, качество учебных материалов (курсов/тестов/библиотек). 
 

9. Создание системы обучения ? практические рекомендации

Ну и наконец, самое главное - как практически реализовать систему обучения по информационной безопасности в вашем банке. Обычно, все представляют ЧТО нужно сделать, но мало кто знает КАК.
Основные этапы - перед вами на диаграмме.  
Важно систематизировать все требования нормативки и обучать персонал в соответствии с категориями работников.   
Ну и в завершение, я хочу показать результаты выполнения некоторых ключевых этапов.
 

10. Классификация (этап 1)

Перед вами итоговая карта требуемых курсов и тестов по информационной безопасности.
 

11. Карта знаний (этап 3)

Распределение областей знаний по категориям работников (карта знаний).
 

12. Назначение и обучение (этап 5)

Назначение курсов и тестов по категориям персонала.
 

13. Спасибо за внимание!


Сведения, содержащиеся в докладе, основаны на многолетнем опыте Агентства "ВЭП" в области практического обучения банковских специалистов с использованием корпоративной системы обучения "Большие Банковские Тесты" (КСО "ББТ").   

 Как познакомиться с полным перечнем учебно-информационных материалов системы дистанционного обучения ББТ?

Вы можете заказать демо-версию непосредственно раздела "ББТ - Информационная безопасность банка", где представлен полный перечень учебно-информационного наполнения раздела на текущую дату

В Демо-версии блока ИБ представлены практически все возможности рабочей программы.

Как получить демо-версию?

Для получения Демо-версии необходимо направить запрос по адресу: info@vep.ru

В сообщении необходимо указать:

  • полное и краткое наименование вашего банка;
  • ФИО, должность и координаты (телефон, электронный адрес) лица, осуществляющего запрос от имени банка;
  • указать, что запрашивается именно демо-версия "ББТ - Информационная безопасность банка".

Мы направим на Ваш e-mail адрес информацию о порядке получения и установке  демо-версии, а также некоторые свои рекомендации и коммерческое предложение.

 

      
 

 



Новости для банков
21.06.2017
ЦБ поддержал использование дронов при инкассации
20.06.2017
Cнижение ключевой ставки простимулирует кредитную активность банков
20.06.2017
В мае нормативы ЦБ нарушили 16 кредитных организаций Все новости
Новости ББТ
26.04.2017
Обновление раздела ББТ "Внутренний контроль" от 27.04.2017
26.04.2017
Обновление раздела ББТ "Налогообложение" от 27.04.2017
24.04.2017
Обновление раздела ББТ "Бухгалтерский учет" от 27.04.7017 г.
24.04.2017
Обновление раздела ББТ "Операционная работа в банке" от 27.04.2017
24.04.2017
Обновление раздела ББТ "Кредитные операции" от 27.04.2017 Все новости
Новости библиотеки
29.05.2017
Очередное обновление Электронной Библиотеки Банка от 30.05.2017
07.04.2017
Очередное обновление Электронной Библиотеки Банка от 07.04.2017. Все новости