top-image

Спецпредложения

Акции от Microsoft «Больше плюсов» и «Купон удачи»

Бесплатное обучение Microsoft по программе Software Assurance

Дистанционное обучение

Перейти на портал системы дистанционного обучения (СДО)

Новости

09 Апр 2012
Как правильно оценить риски нарушения информационной безопасности в соответствии с рекомендациями в области стандартизации Банка России

04 Апр 2012
Microsoft – партнёр конференции Russian Open Source Summit 2012

04 Апр 2012
Академия Информационных Систем совместно с Московским отделением ISACA 3 апреля 2012 года успешно провели открытый семинар на тему «Автоматизация Службы внутреннего контроля организации»

Все новости АИС

Контакты

(495) 231-30-49

info infosystem.ru

Москва, Первомайская, 126 (схема проезда)

Теги

IT (15) Microsoft (60) Академия Информационных Систем (108) ИТ (37) защита (23) информационная безопасность (69) информационные технологии (81) конференции (34) конференция (36) майкрософт (24)

Все метки

Конференция Инфоберег 2012

Второй межбанковский форум «Информационная безопасность в кредитных и финансовых организациях Республики Казахстан». Информационная безопасность
Главная » Библиотека » Статьи » Информационная безопасность » Подготовка специалистов по информационной безопасности организаций банковской системы РФ

Подготовка специалистов по информационной безопасности организаций банковской системы РФ

Хайров И.Е.,

Малинин Ю.В.

Под общей редакцией Гениевского П.В.

Одним из ключевых отраслевых документов, регламентирующих обеспечение безопасности в организациях банковской системы Российской Федерации (БС РФ), является Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (Далее – Стандарт банка России), а также сопутствующие методики и рекомендации. Внедрение положений данного стандарта процесс достаточно ответственный, сложный и интеллектуально трудоемкий. От того, как будет организован процесс внедрения, зависит эффективность и адекватность системы обеспечения информационной безопасности всего банка. Не следует забывать, что информационная безопасность (ИБ) — это не продукт, а сложный многомерный процесс. Ее нельзя купить раз и навсегда. Эффективность методов и средств обеспечения информационной безопасности необходимо постоянно совершенствовать и актуализировать, также необходимо постоянно повышать уровень квалификации персонала, иначе в условиях непрерывного развития информационных технологий (ИТ) даже самая современная система обеспечения ИБ очень быстро устареет, уровень информационной безопасности в компании снизится.

Одним из основных условий эффективного функционирования системы обеспечения ИБ в банковской организации является наличие подготовленного персонала подразделения ИБ, ИТ, службы внутреннего контроля и непрерывно функционирующая программа повышения осведомленности сотрудников всех уровней.

Помимо того, что обученный сотрудник допускает минимальное количество ошибок, но и руководство кредитно-финансовой организации сможет по достоинству оценить работу такого специалиста. Не целесообразно требовать с работника соблюдения правил обеспечения информационной безопасности, если в доходчивой форме не рассказать ему, в чем эти правила заключаются и почему информационная безопасность банка зависит не только от службы информационной безопасности, но и от него лично.

Обучение должно строиться по модели PDCA. Работа с работниками банка в части обучения и повышения осведомленности должна оформляться документально и утверждаться руководством. Необходимо обязательно указывать в соответствующих документах периодичность обучения. Как показывает практика, разовое обучение не эффективно.

Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли.

Обучение персонала можно разделить на две составляющие - внутреннее и внешнее обучение.

К внутреннему обучению относят:

- Ознакомление работников организации с документами, регламентирующими деятельность по обеспечению ИБ;

- Проведение различных инструктажей и тестирований;

- Дистанционное обучение с использованием внутреннего портала обучения.

В организации БС РФ должен быть определен перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими документами могут являться:

- Документы (журналы), подтверждающие прохождение руководителями и работниками организации БС РФ обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;

- Документы, содержащие результаты проверок обучения работников организации БС РФ;

- Документы, содержащие результаты проверок осведомленности в области ИБ в организации БС РФ.

Внешнее обучение проводится сторонними организациями зачастую с отрывом от производства. Такое обучение проводит НОУ «Академия Информационных Систем».

В НОУ «Академия Информационных Систем» обучение проводится по следующим программам повышения квалификации, согласованным с Советом Сообщества ABISS:

1. СБР010 «Введение в Стандарт Банка России СТО БР ИББС-1.0-2010»;

2. СБР020 «Внедрение Стандарта Банка России СТО БР ИББС-1.0-2010»;

3. СБР030 «Проведение самооценки информационной безопасности по требованиям Стандарта Банка России СТО БР ИББС-1.0-2010»;

4. СБР040 «Аудит информационной безопасности организаций банковской системы Российской Федерации»;

5. СБР050 «Информационная безопасность банков (Согласовано с Банком России, ФСТЭК России и ФСБ России)».

Каждый из этих курсов направлен на решение определенных задач. Рассмотрим их вкратце.

Линейка курсов СБР010-030 готовит специалистов, способных внедрить в своем банке Стандарт Банка России и провести самооценку.

Цель данной линейки курсов - изучение принципов и подходов к обеспечению информационной безопасности в организациях БС РФ на основе положений и рекомендаций Стандарта Банка России, овладение практическими приемами построения эффективной системы обеспечения информационной безопасности, основанными на опыте внедрения Комплекса Стандартов Банка России в кредитно-финансовых учреждениях РФ.

К основным рассматриваемым вопросам в данной линейке курсов относятся такие вопросы как, организация защиты персональных данных в организациях БС РФ, управление рисками нарушения ИБ, управление активами и ключевыми процессами обеспечения ИБ, проведение самооценки.

По окончании обучения и успешной сдачи итогового тестирования слушатели получают Государственное удостоверение о краткосрочном повышении квалификации и Сертификат ABISS, удостоверяющий, что слушатель является аттестованным специалистом по внедрению Стандарта Банка России.

Курс СБР040 направлен на подготовку аудиторов по Стандарту Банка России.

Цель данного курса - изучение принципов и подходов, а так же овладение практическими навыками проведения аудитов ИБ в организациях БС РФ.

В курсе подробно рассматриваются вопросы, связанные с особенностями проведения аудитов в организациях БС РФ, особенностями взаимодействия аудиторской компании и проверяемой организации БС РФ, методика оценки соответствия ИБ организаций БС РФ требованиям Банка России, примеры свидетельств оценки текущего состояния ИБ, менеджмента ИБ, уровня осознания ИБ, особенности оценки степени выполнения требований Банка России, регламентирующих защиту персональных данных в информационных системах персональных данных, а также вопросы оформления результатов аудита и применения инструментальных средств автоматизации проведения оценки соответствия ИБ.

По окончании обучения и успешном прохождении рубежного экзамена слушатели получают Государственное удостоверение о краткосрочном повышении квалификации и Сертификат ABISS, удостоверяющий, что слушатель является аттестованным аудитором по Стандарту Банка России. Наличие обученных сертифицированных ABISS аудиторов является одним из условия вступления организации в Сообщество ABISS.

Программа курса СБР050, в отличии от предыдущих обозначенных программ, расширена разделами по национальному и зарубежному законодательству в области обеспечения ИБ. В курсе, помимо Комплекса Стандарта Банка России, рассматривается лучший зарубежный опыт. Данная учебная программа прошла успешное согласование с такими надзорно-контрольными органами как ФСТЭК России и ФСБ России. По окончании обучения выдается Государственное удостоверение о краткосрочном повышении квалификации.

Все курсы проводятся практикующими экспертами по Стандарту Банка России, включая экспертов из Совета Сообщества ABISS.

Для организаций имеющих территориально разветвленную сеть филиалов целесообразнее проводить обучение с использованием современных дистанционных технологий. В НОУ «Академия Информационных Систем» разработаны следующие дистанционные курсы, для руководителей и специалистов организаций БС РФ:

1. «Повышение осведомленности в области ИБ»;

2. «Информационная безопасность банков»;

3. «Обеспечение информационной безопасности с использованием шифровальных (криптографических) средств». Программа курса согласована с ФСБ России.

Все эти курсы проводятся без отрыва от производства в удобное для слушателя время дня и ночи.

Основными преимуществами дистанционного обучения являются:

1. Экономия денежных средств за счет отсутствия командировочных затрат, затрат на проезд/перелет и проживание слушателей в Москве;

2. Каждый слушатель изучает курс в оптимальном для себя темпе;

3. Круглосуточный доступ к материалам курса предоставляется на любой согласованный промежуток времени (обычно от 1 до 2 месяцев). При необходимости доступ может быть продлен;

4. Имеется возможность получения консультаций у экспертов НОУ «Академия Информационных Систем» по электронной почте, как в течение обучения, так и после него.

По окончании дистанционного обучения специалистам выдается Свидетельство Академии Информационных Систем, а после успешного прохождения очного итогового тестирования выдается Государственное удостоверение о краткосрочном повышении квалификации.

Таким образом, существует достаточно много возможностей повышения квалификации сотрудников компании и поддержания уровня их компетентности и осведомленности на актуальном уровне, что является залогом эффективно функционирующей системы обеспечения ИБ.