Программа семинара

1 день.

  1. Совершенствование системы управления информационной безопасности:
    - контроль ИБ со стороны руководства;
    - корректировка политики ИБ.
  2. Нормативные и методические документы, регламентирующие вопросы информационной безопасности в коммерческом банке:
    - федеральные законы, ведомственные акты.
  3. Риски информационной безопасности, операционные риски, информационно-технологические риски и их связь (соотношение):
    - нормативные документы и стандарты, регулирующие вопросы управления операционными рисками: новое Базельское соглашение (Базель II), ключевые принципы для системнозначимых платежных систем;
    - взаимодействие служб банка в целях управления рисками информационной безопасности, операционными и информационно-технологическими рисками.
  4. Проблемные вопросы реализации рекомендаций стандарта СТО БР ИББС-1.0 по опыту проведения аудитов.
  5. Создание системы менеджмента непрерывности бизнес-процессов в ИТ-среде:
    - настройка, организация и непрерывное управление обеспечением непрерывности бизнеса.
  6. Процессы менеджмента непрерывности бизнеса :
    - процесс создания системы обеспечения непрерывности бизнеса и настройки ее работы;
    - текущее управление и обслуживание системы обеспечения непрерывности бизнеса;
    - действия по созданию и настройке системы: проектирование, реализация, управление, обслуживание, поддержание постоянно действующей системы обеспечения непрерывности бизнеса.
  7. Задание требований к непрерывности бизнеса с учетом целей организации, ее обязательств и юридических ограничений:
    - бизнес-цели и планы обеспечения непрерывности;
    - границы обеспечения непрерывности бизнеса в терминах его результатов и сервисов.
  8. Обзор документации СМНБ организации:
    - политика непрерывности бизнеса;
    - область применения СМНБ и процедур поддержки и контроля СМНБ;
    - отчет по анализу воздействия нарушений непрерывности на бизнес-процессы;
    - отчет по оценке риска;
    - регламенты обеспечения эффективного планирования, выполнения и контроля процессов поддержания непрерывности бизнеса организации;
    - планы обеспечения непрерывности бизнеса и управления инцидентами, процедуры контроля изменений, программа обучения персонала, регламенты реагирования на инциденты.
  9. Основные риски в банковской сфере.
  10. Закон 152-ФЗ «О персональных данных»:
    - основание для обработки (передачи) персональных данных;
    - перечень персональных данных.
  11. Нормативные акты, регулирующие обработку персональных данных:
    - приказ ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 г. № 55/86/20 «Об утверждении порядка проведения классификации ИС ПДн»;
    - приказ № 153 от 28.03.2008 г. Россвязохранкультуры «Об утверждении формы уведомления об обработке персональных данных».
  12. Действия, которые необходимо предпринять для легитимной обработки персональных данных:
    - инвентаризация ресурсов и формирование перечня ПДн;
    - получение согласия субъектов на обработку, включая пересмотр договоров с субъектами ПДн;
    - установление сроков обработки ПДн;
    - документальная регламентация работы с ПДн, в частности, ограничение доступа работников банка к ПДн;
    - формирование модели угроз ПДн;
    - классификация ИС ПДн;
    - приведение системы защиты ПДн в соответствие с требованиями регуляторов;
    - получение лицензии на техническую защиту конфиденциальной информации;
    - создание подсистемы ИБ ИС ПДн и аттестация (сертификация), ее направление в уполномоченный орган уведомления;
    - организация эксплуатации ИС ПДн и контроля за безопасностью;
    - итоги и обсуждение первой межбанковской конференции «Вопросы обеспечения информационной безопасности организаций банковской системы РФ», наработки по решению актуальных проблем информационной безопасности в банковской сфере.

2 день

  1. Мифы и заблуждения информационной безопасности.
  2. Как вынести безопасность на уровень топ-менеджмента.
  3. Место службы ИБ в штатной структуре банка:
    - кому должна подчиняться служба ИБ и почему;
    - структура идеальной службы ИБ;
    - как теория групп и структура управления в компании влияют на ИБ;
    - роль CISO в деятельности банка;
    - измерение эффективности ИБ, для бизнеса и регулятора, включая KPI и BSC SLA безопасности;
    - модель зрелости метрик и их классификация;
    - текущее отношение сотрудников и руководства банка к службе ИБ, причины «такого» отношения, как изменить ситуацию;
    - коммуникативная практика в области ИБ;
    - внутренний маркетинг ИБ в банке, можно ли увязать ИБ с бизнесом.
  4. Психология ИБ:
    - о чем думает руководство банка и что хочет бизнес от ИБ.
  5. Безопасность, или что нас ждет через 5-10 лет:
    - сравнение PCI DSS, ISO 2700x и СТО ИББР-1.2-2007(ISO, ISM3, ISF и другие);
    - финансирование проектов по ИБ, жизненный цикл инвестирования и факторы влияния;
    - как бюджетируется ИБ, сколько тратить на ИБ от ИТ бюджета;
    - откуда брать деньги на ИБ, источники финансирования и финансовые модели ROI, NPV, PbP в области ИБ;
    - повышение эффективности использования информационных технологий и сокращения ИТ-издержек.
  6. Порядок проведения классификации информационных систем персональных данных:
    - классификация информационных систем;
    - организация доступа пользователей к обработке персональных данных.
  7. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных:
    - построение подсистемы ИБ для информационных систем персональных данных;
    - рекомендации и основные мероприятия по обеспечению информационной безопасности персональных данных.
  8. Контроль и надзор в области исполнения закона со стороны надзорных органов. Законодательная база:
    - предпосылки возникновения законодательства о персональных данных;
    - «подводные камни» реализации законодательства о персональных данных;
    - какие требования регуляторов, как избежать административного и уголовного преследования за нарушение ФЗ «О персональных данных», какие методы контроля используют регуляторы;
    - как выбрать надежную и экономически эффективную систему защиты персональных данных;
    - каковы юридические основания для организации работы с персональными данными внутри организации, как часто могут проводиться проверки;
    - «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» № 687.

3 день

  1. Аудит информационной безопасности:
    - уровни контроля;
    - соответствие нормативным документам и стандартам;
    - подготовка к внешнему аудиту.
  2. Система внутреннего контроля информационных технологий в коммерческом банке:
    - история организации внутреннего контроля информационных технологий;
    - компьютерный аудит, аудит информационных систем и аудит информационных технологий, в чем отличия;
    - организация аудита информационных технологий в коммерческом банке.
  3. Организация процесса аудита:
    - организация ИТ-аудита;
    - ресурсы ИТ-аудита;
    - планирование ИТ-аудита;
    - риск-анализ;
    - внутренний контроль;
    - проведение ИТ-аудита, аудиторский отчет, контроль исполнения рекомендаций.
  4. Аудит управления информационными технологиями:
    - стратегия развития ИТ;
    - политики и процедуры;
    - практики управления ИТ;
    - организационная структура ИТ и распределение полномочий.
  5. Аудит информационных систем:
    - виды бизнес-приложений;
    - разработка, приобретение, внедрение и поддержка информационных систем, контроль в информационных системах.
  6. Аудит ИТ-сервисов и поддержки ИТ-архитектуры:
    - оборудование информационных систем;
    - архитектура информационных систем;
    - сетевая инфраструктура информационных систем;
    - операции по поддержке и сопровождению информационных систем;
    - аудит информационных систем и операций.
  7. Практика проведения ИТ-аудита:
    - организация мониторинга ИТ-операций и ИТ-архитектуры;
    - проведение мониторинга ИТ в коммерческом банке и его филиалах;
    - организация проверок ИТ в филиалах банка;
    - организация аудита ИТ по COBIT, практика проведения аудита;
    - практика проведения аудита операций коммерческого банка, смежных с информационными технологиями, организация мониторинга операций с банковскими картами.
  8. Банковское обслуживание в рамках Интернет-банкинга:
    - источники и факторы банковских рисков, связанные с Интернет-банкингом;
    - принципы пруденциальной организации внутрибанковских процессов и процедур, относящихся к дистанционному банковскому обслуживанию;
    - документарное обеспечение дистанционного банковского обслуживания;
    - технологические решения при реализации Интернет-банкинга;
    - особенности организации и функционирования системы внутреннего контроля в кредитных организациях, применяющих Интернет-банкинг.
  9. Проблемы осуществления финансового мониторинга в условиях применения технологии Интернет-банкинга:
    - принципы аутсорсинга и отношения кредитных организаций с провайдерами;
    - специфика корпоративного управления в условиях применения Интернет- банкинга;
    - направления и перспективы развития дистанционного банковского обслуживания;
    - взаимоотношения с провайдерами при применении кредитными организациями технологий Интернет-банкинга;
    - использование технологий Интернет-банкинга для противоправных действий;
    - обеспечение безопасности и управление Интернет-банкингом;
    - мошенничество в Интернет-банкинге.

4 день

  1. Рискоориентированный подход к построению системы управления информационной безопасности (СМИБ):
    - определение области действия СМИБ;
    - идентификация активов;
    - оценка и принятие рисков, эффективность управления рисками;
    - распределение ролей.
  2. Политика информационной безопасности:
    - платежные технологии, информационные технологии, дистанционное банковское обслуживание, работа с персоналом.
  3. Управление инцидентами:
    - регламентация подконтрольных процедур;
    - мониторинг;
    - информирование и реагирование на инциденты;
    - планирование действий в нештатных ситуациях.
    3.1. Требования стандарта PCI DSS.
    3.2. Работа с клиентами в части обеспечения безопасности.
    3.3. Требования по безопасности в системах дистанционного банковского обслуживания банковских платежных карт.
  4. Обеспечение непрерывности деятельности организации:
    - роль безопасности в планировании непрерывности деятельности;
    - планирование действий в нештатных ситуациях.
  5. Проект новых стандартов и нормативов Банка России по обеспечению информационной безопасности.
  6. Контроль и надзор. Рекомендации ЦБ РФ.
  7. Информационная безопасность проведения платежей в системе БЭСП.
    7.1. Соответствие техническим требованиям к обмену электронными сообщениями с системой БЭСП и требованиям по информационной безопасности при проведении платежей и осуществлении расчетов в системе БЭСП.
    7.2. Система БЭСП с учетом изменения системы обработки платежей (РАБИС-НП).

По окончании обучения слушателям выдается удостоверение государственного образца о краткосрочном повышении квалификации (Свидетельство о государственной аккредитации № 0085 от 15 ноября 2006 г.).

Стоимость участия составляет 24900 руб. Для членов АРБ – скидка 10%. Для постоянных участников предусмотрены скидки до 30%. В стоимость семинаров включены раздаточные материалы, кофе-паузы, обеды.

Регистрация по телефонам: (495) 234-57-99 – многоканальный 365-01-07, 365-11-07; e-mail: registration@ibdarb.ru