

BIS-СПРАВКА
Оценка внешним аудитом степени соответствия информационной безопасности в АКБ «Московский Индустриальный банк» (ОАО) требованиям СТО БР ИББС-1.0-2010 и законодательства РФ в области персональных данных составляет 4 уровень по пятиуровневой шкале методики оценки СТО БР ИББС 1.0-2010. Этот уровень является рекомендуемым Банком России для организаций отечественной банковской системы.
Также банк успешно завершил аудит соответствия международному стандарту информационной безопасности PCI DSS v.2.0, разработанному международными платёжными системами VISA и MasterCard, и получил соответствующий сертификат.
В полном объёме выполняются требования стандартов, предъявляемые к обучению и повышению осведомлённости работников банка в вопросах информационной безопасности.
Для минимизации рисков, связанных с человеческим фактором, необходимо организовать документально оформленную и утвержденную руководством банка работу с персоналом в направлении повышения осведомленности и обучения в области информационной безопасности. Включая разработку и реализацию планов, программ обучения и повышения осведомленности в области информационной безопасности, а также контроль результатов выполнения указанных планов.
Существенную помощь в организации системы обучения банкам окажет внедрение Стандарта Банка России СТО БР ИББС 1.0, которое является комплексным решением в области информационной безопасности.
Обучение персонала в области информационной безопасности необходимо в следующих целях:
Необходимость обучения и повышения осведомленности персонала в вопросах информационной безопасности регламентируется ФЗ-152 «О персональных данных», стандартом СТО БР ИББС 1.0 2010, стандартом PCI DSS 2.0, ФЗ-98 «О коммерческой тайне», стандартом Ассоциации российских банков «Система управления непрерывностью деятельности кредитных организаций».
Обучение в области информационной безопасности должно включать следующие направления (Таблица 1):
Систему обучения и повышения осведомленности работников банка в области информационной безопасности схематично можно представить следующим образом (Схема 1).
Основными формами обучения являются:
В соответствии с нормами Стандарта Банка России СТО БР ИББС-1.0 в планах обучения и повышения осведомленности должны устанавливаться требования к периодичности обучения и повышения осведомленности.
В программы обучения и повышения осведомленности следует включать следующую информацию:
Также необходимо определить перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области информационной безопасности.
Индивидуальное обучение (инструктажи) должно завершаться проверкой знаний устным опросом, а также оценкой приобретенных навыков безопасных способов работы. Знания проверяет работник, проводивший инструктаж.
При распределенной структуре банка имеет смысл возложить обязанности проведения обучения и повышения осведомленности в области информационной безопасности на специального работника (администратора информационной безопасности), назначенного в каждом удаленном подразделении.
В рамках самооценки внутренним аудиторам банка необходимо регулярно контролировать уровень осведомленности работников проверяемых подразделений, полноту и правильность оформления документов по обучению, своевременность доведения новых требований по информационной безопасности.
Служба информационной безопасности должна отслеживать эффективность обучения, в том числе путем количественного и качественного анализа действий работников банка, последовавших в ответ на определенные события.
Рассматриваемая система обучения является масштабируемым процессом, направленным на постоянное повышение уровня знаний, навыков и квалификации в области информационной безопасности работников банка и интегрируется с действующими кадровыми бизнес-процессами.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных