среда, 28 ноября 2012 г.

Вопросы обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы

   Как разобраться в большом объеме информации и нормативных документов регуляторов, включая документы Банка России, в области обеспечения безопасности при переводе денежных средств в рамках Национальной платежной системы?
   В последнее время помимо уже действующих документов Банка России подготовлены следующие указания:
  1. Указание о внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
  2. Указание о внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».
   С целью разъяснения положений законодательства и нормативных документов органов исполнительной власти РФ по указанным вопросам в Академии Информационных Систем с 03 декабря 2013 года стартует новый трек курсов:
   1. Курс НПС010 «Введение в основные нормы национальной платежной системы и защиту информации при осуществлении переводов денежных средств организаций участников национальной платежной системы Российской Федерации».
  Даты проведения: 3-4 декабря 2012 года.
   2. Курс НПС020 «Реализация национального законодательства и требований Банка России по защите информации при осуществлении переводов денежных средств в рамках национальной платежной системы».
  Даты проведения: 5-7 декабря 2012 года.
   3. Курс НПС 031 «Контроль, оценка соответствия и самооценка соблюдения требований к защите информации при осуществлении переводов денежных средств».
  Даты проведения: 10 декабря 2012 года.
   Подробная информация по курсамhttp://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/national_payment_system.html

   Курсы разработаны экспертами Академии Информационных Систем с большим практическим опытом внедрения Стандарта Банка России по вопросам информационной безопасности на базе передового Российского и международного опыта в кредитных и не кредитных организациях. Общий объем учебных материалов достигает 1000 листов (это без учета презентационного материала).
   В материалах курсов, помимо необходимых документов Банка России, рассматривается официальный перевод стандарта PCI DSS, выполненный по заказу Банка России.
   Эксперты Академии Информационных Систем активно участвуют в рабочей группе по безопасности при Некоммерческом Партнерстве «Национальный платежный совет» по разработке проектов рекомендаций к документам Банка России и имеют непосредственное отношение к разрабатываемым рекомендациям.
   Несмотря на то, что с момента выхода в свет нормативных документов Банка России прошло менее года, специалисты АИС уже приобрели значительный практический опыт в реализации их требований и смогут ответить на все основные вопросы.

   По всем вопросам обучения просьба обращаться по следующим контактам:
  Филимоненкова Ольга,
  Тел. 8(495)231-3049,

вторник, 20 ноября 2012 г.

НП «АБИСС» формирует реестр экспертов по контролю качества


   В настоящее время Некоммерческое партнерство «Сообществопользователей стандартов по информационной безопасности АБИСС» проводит формирование реестра экспертов по контролю качества. Экспертная деятельность необходима для работы комитета по контролю качества, который будет осуществлять плановые и внеплановые проверки качества деятельности членов НП «АБИСС».
   Основной целью системы контроля качества является создание условий для обеспечения и постоянного повышения качества аудиторской деятельности членов НП «АБИСС» на рынке аудиторских услуг, выполнение правил независимости аудиторов и аудиторских организаций, в том числе:
   - установление степени соответствия работы членов НП «АБИСС» требованиям Комплекса БР ИББС в области аудита и требованиям внутренних регламентирующих документов НП «АБИСС»; 
   - оказание содействия членам НП «АБИСС» во внедрении и поддержании надлежащей системы контроля качества услуг, в том числе правил внутреннего контроля качества работы аудиторских организаций, индивидуальных аудиторов; 
   - анализ степени профессиональной компетенции членов НП «АБИСС»; 
   - анализ соблюдения членами НП «АБИСС» кодекса профессиональной этики аудиторов и правил независимости аудиторов и аудиторских организаций; 
   - формирование общественного мнения о НП «АБИСС», как об организации, объединяющей профессионалов высокого уровня в сфере аудита.
   Участие в проверках по контролю качества засчитывается экспертам как практический опыт работ в области СТО БР ИББС. Длительность проверок – не более 5 рабочих дней.

Требования к кандидатам в эксперты:
   1. Наличие сертификата ABISS, свидетельствующего о прохождении курсов СБР010-040 с литерой «А»;
   2. Опыт проведения работ по аудиту по СТО БР ИББС 1.0 не мене, чем на 3 (трех) проектах за последние 2 (два) года;
   3. Письмо от организации-работодателя, о согласии с привлечением сотрудника в качестве эксперта по контролю качества НП «АБИСС».
   Заявки на присоединение к реестру экспертов по контролю качества НП «АБИСС» просьба высылать на abiss@abiss.ru до 25 ноября 2012 г.

АкадемияИнформационных Систем проводит подготовку специалистов по внедрению положений Стандарта Банка России СТО БР ИББС-1.0-2010, а также аудиторов СТО БР ИББС-1.0-2010:
   1. Внедрение Стандарта Банка России СТО БР ИББС-1.0-2010 (продолжительность 9 очных дней);
   2. Аудит информационной безопасности организаций банковской системы Российской Федерации (продолжительность 5 очных дней).
   Особое внимание в курсах уделяется практическим аспектам внедрения положений Комплекса Стандартов Банка России, вопросам оценки соответствия применяемых мер, оценке рисков нарушения информационной безопасности.
   Многие курсы в АИС проводятся с использованием перспективных дистанционных технологий без отрыва от производства.
   По окончании обучения выдаются Сертификаты ABISS и Государственные удостоверения о краткосрочном повышении квалификации.
   Качество и эффективность обучения в АИС гарантируется более чем 5-летним опытом подготовки специалистов по Стандарту Банка России, а также наличием в штате АИС семи аттестованных аудиторов по СТО БР ИББС-1.0-2010. Эти специалисты имеют большой практический опыт работы, как в банковской системе РФ, так и в крупных интеграторах международного уровня и являются сертифицированными специалистами CISA, CIMS, CISSP, LAC27001, LAC25999, а также QSA-аудиторами.

   Всю необходимую информацию можно получить на сайте АИС www.infosystems.ru, а также запросить у менеджеров АИС по электронной почте security@infosystem.ru или по телефону +7(495)231-3049.

четверг, 8 ноября 2012 г.

Профессиональная переподготовка в области информационной безопасности. Как спланировать длительное обучение в объеме более 500 часов?

   В соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденным Постановлением Правительства РФ №313 от 16 апреля 2012 года, при осуществлении лицензионной деятельности выдвигаются достаточно жесткие квалификационные требования к персоналу лицензиата (соискателя лицензии).
   Жесткость требований никто не оспаривает, т.к. речь идет о защите конфиденциальной информации. Вопрос в том, что эти требования должны быть физически реализуемыми.
   Если мы внимательно посмотрим на лицензионные требования, то можем увидеть следующие противоречия и не соответствия. Требования к образованию руководителей и инженерно-технических работников лицензируемого вида деятельности на оказание услуг шифрования информации, технического обслуживания СКЗИ, а также распространения СКЗИ являются не выполнимыми. Указанным требованиям отвечают выпускники вузов только 2009 года, т.к. действующая редакция общероссийского классификатора специальностей принята в 2004 году. Срок базового обучения по направлению «Информационная безопасность» − 5(6) лет. В настоящее время отсутствует какой-либо нормативный документ, относящийся к специальностям, полученным при обучении до 2009 года.
   Требования к инженерно-техническому работнику при осуществлении лицензируемого вида деятельности распространение СКЗИ выше, чем к его руководителю, что не соответствует требованиям Трудового кодекса РФ.
   Требования к инженерно-техническому работнику по распространению СКЗИ противоречат требованиям к техническому персоналу, непосредственно осуществляющему деятельность по созданию и выдаче сертификатов в соответствии с пп. 4 п. 3 с. 16 федерального закона 63-ФЗ от 06.04.2011 «Об электронной подписи» (иметь высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи).

   Если сравнивать с требованиями к квалификации персонала, выдвигаемыми предыдущим Постановлением Правительства РФ № 957, то там мы не наблюдали никаких противоречий. Например, для инженерно-технических работников требовалось высшее профессиональное образование или переподготовка (повышение квалификации) в области информационной безопасности.

   Также, согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года для получения (продления) лицензии ФСБ России соискатель лицензии (лицензиат) представляет (направляет) в лицензирующий орган копии документов государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению "Информационная безопасность"…
   Требований наличия государственных документов о повышении квалификации в ПП РФ №957 не было.

   С целью обратить внимание на указанные выше проблемы банковское сообщество в лице НП «Национальный платежный совет» подготовило и направило на имя Председателя Правительства Д.А. Медведева письмо (http://platsovetrf.ru/ru/news/index.php?id=75), в котором было отмечено:
   - Отмечается наличие проблемных вопросов у кредитных организаций в процессе выполнения требований ПП №313,
   - Требования ПП №313 более жесткие, чем были в ПП №957. Некоторые нормы нового Положения требуют уточнения,
   - Отмечается, что ранее действующий Общероссийский классификатор специальностей по образованию ОК 009-93, утвержденный в 1993 году, не содержал такого направления ВПО, как информационная безопасность,
   - Общероссийский классификатор ОК 009-2003, утвержденный в 2003 году, введен в действие 1.1.2004г. Срок обучение по направлению «Информационная безопасность» 5 и более лет. При этом порядок соотношения специальностей, полученных до 2009 года, со специальностями по данному направлению не установлен.
   Также в письме приводятся рекомендации по новым формулировкам требований к квалификации персонала.

   Для реализации требований в части профессиональной переподготовки по направлению «Информационная безопасность» Академия Информационных Систем разработала и проводит обучение по соответствующей программе в объеме 530 часов.

   Краткая информация по курсам профессиональной переподготовки Академии Информационных Систем:
   Формы обучения: очная аудиторная (вечерние занятия) без отрыва от производства и смешанная (с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи) без отрыва от производства.
   Продолжительность обучения – 1 месяц (106 часов) и 4 месяца (530 часов).
   При очной форме обучения занятия проводятся в вечернее время ежедневно и по субботам. При смешанной форме обучения занятия проводятся с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи с очными вечерними сессиями и вебинарами (согласно утвержденного расписания).

Программы профессиональной переподготовки согласованы с ФСТЭК России и ФСБ России.

   При разработке учебной программы профессиональной переподготовки соблюдена преемственность по отношению к Федеральным Государственным образовательным стандартам высшего образования (ФГОС ВПО) по направлению подготовки "Информационная безопасность" (в том числе к ФГОС ВПО по направлению подготовки 090900 «Информационная безопасность»), а также квалификационные требования, указанные в квалификационных справочниках, утверждаемых в порядке, устанавливаемом Правительством Российской Федерации, по соответствующим должностям, профессиям, специальностям (в соответствии с Общероссийским классификатором специальностей).
   Также соблюдены требования профессиональных стандартов (включая международные) в области информационной безопасности и обеспечения непрерывности бизнеса, действующие на момент формирования учебной программы.
   По окончании обучения по программе профессиональной переподготовки и успешном прохождении аттестационных испытаний (написание и защита выпускной аттестационной работы) слушателям выдается Государственный Диплом.
   Данный Диплом удостоверяет право (соответствие квалификации) специалиста на ведение профессиональной деятельности (включая ведение нового вида деятельности) в сфере «Информационная безопасность», согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года.

   Основные темы, рассматриваемые в программах профессиональной переподготовки:
Модуль 1: «Вводные замечания. Законодательное и нормативно-правовое регулирование вопросов защиты информации в Российской Федерации»;
Модуль 2: «Построение комплексной системы обеспечения информационной безопасности в организации»;
Модуль 3: «Системы управления защитой информации и обеспечение бесперебойности и непрерывности бизнеса»;
Модуль 4: «Техническая защита конфиденциальной информации»;
Модуль 5: «Криптографическая (с помощью шифровальных средств) защита конфиденциальной информации»;
Модуль 6: «Особенности обеспечения информационной безопасности ПДн в ИСПДн организации»;
Модуль 7: «Особенности обеспечения информационной безопасности в кредитно-финансовой сфере».

По всем вопросам относительно обучения просьба обращаться:
Менеджер отдела информационной безопасности
Филимоненкова Ольга Николаевна,
+7(495) 231 3049,