Мир стремительно меняется во всех сферах, но особенно быстрые изменения мы наблюдаем в цифровых технологиях. Не стала исключением и банковская безопасность.
Резкий рост кибератак вызывает серьёзную обеспокоенность Банка России.
Информационная безопасность. Требования Банка России-2017
1. Евгений Эсселевич
Заместитель директора
Агентство «ВЭП»
Е-mail Evgeny_essel@vep.ru
PHONE 8 912 255 75 76
Сотрудники, как самое уязвимое место
в ИБ банка.
Рекомендации по выполнению
требований Банка России
WWW.VEP.RU
2. ТЕКУЩИЕ РЕАЛИИ
WWW.VEP.RU
Резкий рост кибератак вызывает серьезную обеспокоенность
Правительства РФ:
• В 2016 году на информационные ресурсы РФ совершено более 70
миллионов компьютерных атак. По сравнению с 2015 годом, их число
возросло почти в три раза
• За год пресечена работа 1130 источников вредоносного воздействия
внутри страны и почти 500 за рубежом
• В 2016 году также резко возросла активность
хакеров против банков. Так, в начале ноября пять
крупных российских банков из топ-10 подверглись
DDoS-атакам
• Суммы реальных потерь банков больше, чем
официально озвученные.
4. ПОЧЕМУ УЯЗВИМЫ СОТРУДНИКИ?
WWW.VEP.RU
Слабости человеческого фактора:
Любопытство
Страх
Беспечность
Желание помочь
Успешность проведения атак методом
социальной инженерии растёт!
6. Документы, содержащие ТРЕБОВАНИЯ
по осведомлению персонала
WWW.VEP.RU
Акты федерального законодательства
Федеральный закон от 27.07.2006 г. №152-ФЗ "О персональных данных"
Документы общего применения
Положение Банка России от 09.06.2012 г. №382-П (защита информации при
осуществлении переводов денежных средств)
Письмо Банка России от 24.03.2014 N 49-Т (защита от вредоносного кода)
Документы по Стандартам Банка России
СТО БР ИББС-1.0-2014: Стандарт Банка России (Общие положения)
СТО БР ИББС-1.2-2014: Стандарт Банка России (Методика оценки соответствия)
РС БР ИББС-2.5-2014: Рекомендации (Менеджмент инцидентов информационной
безопасности)
РС БР ИББС-2.1-2007: Рекомендации (Руководство по самооценке соответствия)
Дополнительная нормативная база.
Нормативные документы, на которые опираются политики безопасности
в отдельных областях ИБ (на основании общей политики ИБ конкретного банка)
7. КАК ВЫПОЛНИТЬ ТРЕБОВАНИЯ ПО
ПОВЫШЕНИЮ ОСВЕДОМЛЁННОСТИ В
БАНКЕ?
WWW.VEP.RU
Базовые принципы эффективной
системы обучения:
1. Актуальность учебного материала
2. Доступность обучающих материалов
3. Регулярность проверки знаний
(тестирование)
4. Административный ресурс
(влияние на премирование)
нет другого способа управлять компетенциями большого
количества сотрудников, как использование курсов и тестов!
9. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
WWW.VEP.RU
1
• Классифицировать требования нормативных документов
2
• Выбрать направления обучения по ИБ
3
• Распределить компетенции по категориям работников (карта знаний)
4
• Создать актуальный учебный инструментарий - курсы, тесты, библиотеки
5
• Провести обучение персонала
6
• Проверить усвоение полученных знаний
7
• Проанализировать результаты
8
• Проводить мероприятия на регулярной основе
9
• Подготовить качественную документацию для контролирующих органов