Документ обсуждает важность повышения информационной безопасности в банковской сфере, подчеркивая уязвимость сотрудников как главный фактор риска. Обострение ситуации с кибератаками требует внедрения эффективных программ обучения и повышения осведомленности персонала. Рекомендуются четкие стратегические действия для классификации требований и создания актуальных учебных материалов.

1. Евгений Эсселевич
Заместитель директора
Агентство «ВЭП»
Е-mail Evgeny_essel@vep.ru
PHONE 8 912 255 75 76
Сотрудники, как самое уязвимое место
в ИБ банка.
Рекомендации по выполнению
требований Банка России
WWW.VEP.RU

2. ТЕКУЩИЕ РЕАЛИИ
WWW.VEP.RU
Резкий рост кибератак вызывает серьезную обеспокоенность
Правительства РФ:
• В 2016 году на информационные ресурсы РФ совершено более 70
миллионов компьютерных атак. По сравнению с 2015 годом, их число
возросло почти в три раза
• За год пресечена работа 1130 источников вредоносного воздействия
внутри страны и почти 500 за рубежом
• В 2016 году также резко возросла активность
хакеров против банков. Так, в начале ноября пять
крупных российских банков из топ-10 подверглись
DDoS-атакам
• Суммы реальных потерь банков больше, чем
официально озвученные.

3. УГРОЗЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ БАНКА
WWW.VEP.RU
Вывод: человеческий фактор может свести на
НЕТ все усилия по созданию системы защиты

4. ПОЧЕМУ УЯЗВИМЫ СОТРУДНИКИ?
WWW.VEP.RU
Слабости человеческого фактора:
 Любопытство
 Страх
 Беспечность
 Желание помочь
Успешность проведения атак методом
социальной инженерии растёт!

5. КАК ПРОТИВОДЕЙСТВОВАТЬ?
WWW.VEP.RU
Повышать осведомлённость персонала!
Есть только
один
правильный
путь…

6. Документы, содержащие ТРЕБОВАНИЯ
по осведомлению персонала
WWW.VEP.RU
Акты федерального законодательства
Федеральный закон от 27.07.2006 г. №152-ФЗ "О персональных данных"
Документы общего применения
Положение Банка России от 09.06.2012 г. №382-П (защита информации при
осуществлении переводов денежных средств)
Письмо Банка России от 24.03.2014 N 49-Т (защита от вредоносного кода)
Документы по Стандартам Банка России
СТО БР ИББС-1.0-2014: Стандарт Банка России (Общие положения)
СТО БР ИББС-1.2-2014: Стандарт Банка России (Методика оценки соответствия)
РС БР ИББС-2.5-2014: Рекомендации (Менеджмент инцидентов информационной
безопасности)
РС БР ИББС-2.1-2007: Рекомендации (Руководство по самооценке соответствия)
Дополнительная нормативная база.
Нормативные документы, на которые опираются политики безопасности
в отдельных областях ИБ (на основании общей политики ИБ конкретного банка)

7. КАК ВЫПОЛНИТЬ ТРЕБОВАНИЯ ПО
ПОВЫШЕНИЮ ОСВЕДОМЛЁННОСТИ В
БАНКЕ?
WWW.VEP.RU
Базовые принципы эффективной
системы обучения:
1. Актуальность учебного материала
2. Доступность обучающих материалов
3. Регулярность проверки знаний
(тестирование)
4. Административный ресурс
(влияние на премирование)
нет другого способа управлять компетенциями большого
количества сотрудников, как использование курсов и тестов!

8. СТРУКТУРА СИСТЕМЫ ОБУЧЕНИЯ
WWW.VEP.RU
Эффективность обучения зависит от качества учебного материала!

9. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
WWW.VEP.RU
1
• Классифицировать требования нормативных документов
2
• Выбрать направления обучения по ИБ
3
• Распределить компетенции по категориям работников (карта знаний)
4
• Создать актуальный учебный инструментарий - курсы, тесты, библиотеки
5
• Провести обучение персонала
6
• Проверить усвоение полученных знаний
7
• Проанализировать результаты
8
• Проводить мероприятия на регулярной основе
9
• Подготовить качественную документацию для контролирующих органов

10. КЛАССИФИКАЦИЯ (этап 1)
WWW.VEP.RU

11. КАРТА ЗНАНИЙ (этап 3)
WWW.VEP.RU

12. НАЗНАЧЕНИЕ И ОБУЧЕНИЕ (этап 5)
WWW.VEP.RU

13. СПАСИБО ЗА ВНИМАНИЕ!
Евгений Эсселевич
E-mail
PHONE
Заместитель директора
Агентство «ВЭП»
Evgeny_essel@vep.ru
8 912 255 75 76
WWW.VEP.RU