Информационная безопасность в банковской сфере

1. Процедуры регулирования деятельности Сообщества ABISS. Общие требования к организациям, вступающим в ABISS IT-Security Forum: «Ключевые шаги на пути к построению эффективной и защищенной ИТ-инфраструктуры» Информационная безопасность в банковской сфере ПАВЕЛ ГЕНИЕВСКИЙ Секретарь Совета Сообщества ABISS, Исполнительный директор ЗАО «МЕТРОБАНК» г.Казань, 1 июня 2007 г.

2. Регулирование деятельности ABISS Сообщество ABISS: • не является юридическим лицом; • публично и открыто для сотрудничества со всеми организациями, заинтересованными в развитии и продвижении Стандартов; • является саморегулируемой организацией; • центральным руководящим и экспертным органом Сообщества является Совет Сообщества ABISS; • Решения осуществляются на собрании Совета ABISS путём голосования по принципу большинства голосов. Руководит деятельностью ABISS – Секретарь Совета Сообщества ABISS.

3. Членство в ABISS • Кредитные организации и образовательные учреждения: • Изучение внутренних документов ABISS (Кодекс этики, Положение об ABISS); • Интернет-заявка на вступление в ABISS; • Письмо в секретариат подписанное Председателем Правления • Другие организации: • Изучение внутренних документов ABISS (Кодекс этики, Положение об ABISS); • Предоставление презентации и других материалов, подтверждающих выполнение «Общих требования к организациям-претендентам на членство в ABISS»; • Интернет-заявка на вступление в ABISS; • Письмо в секретариат подписанное Первым руководителем.

4. Общие требования к организациям-претендентам… • Настоящий документ устанавливает общие минимальные требования к организациям-претендентам на членство в ABISS, в части подтверждения наличия соответствующей действующей системы качества, компетенции и способности получать и предоставлять квалифицированные и обоснованные результаты по услугам, связанным с использованием Стандарта. • Выполнение настоящих требований должно способствовать повышению доверия, сотрудничества и обмена опытом между организациями-членами ABISS, Банком России, банками РФ, а также способствовать гармонизации Стандарта и процедур, связанных с его использованием.

5. Квалификация персонала • Специалисты, которые могут проводить оценку соответствия Стандарту, должны удовлетворять следующим квалификационным требованиям: • иметь высшее образование; • иметь как минимум четырехлетний опыт постоянной работы в области информационных технологий и информационной безопасности, из которых, по крайней мере, два года проведения работ по аудиту (оценке) ИБ; • быть способным обосновать и подтвердить свой опыт работы и квалификацию; • пройти соответствующее формальное обучение по программе ABISS (что включает вопросы, связанные со Стандартом, общими процессами проведения аудиторской проверки, а также другие темы, связанные с внедрением Стандарта и оценкой соответствия Стандарту); • поддерживать собственные знания и квалификацию в области управления информационной безопасности, управления рисками и проведения аудиторской проверки; • соблюдать «Кодекс этики» и избегать конфликта интересов.

6. Система обеспечения качества • Руководство организации несёт ответственность за качество предоставленных услуг. • Организация должна внедрить систему обеспечения качества, в соответствие с требованиями настоящего документа, а также видом, составом и объемом выполняемых Услуг. • Организация должна обеспечить эффективное функционирование системы обеспечения качества. Из числа представителей высшего руководства должно быть назначено лицо, ответственное за создание, внедрение и поддержку системы обеспечения качества. • Руководство организации должно сформулировать и оформить в виде документа свою политику обеспечения качества, включая свои обязательства и задачи по обеспечению качества. • И т.д. (см. раздел 9 «Общих требования к организациям-претендентам на членство в ABISS»)

7. Внутренние аудиторские проверки и контроль со стороны руководства • Организация должна проводить периодические внутренние аудиторские проверки, планомерно и систематически охватывающие все процессы, связанные с оказанием Услуг, для подтверждения полноты внедрения и эффективности функционирования системы обеспечения качества. • Проверки должны проводиться подготовленным и квалифицированным персоналом, независимым от проверяемой функции и деятельности по оказанию Услуг. По результатам аудита организация должна обеспечить: • регистрацию фактов, объёма и границ аудита; • документирование результатов аудиторских проверок; • информирование персонала, ответственного за проверяемое направление, о результатах аудиторской проверки; • своевременность и надлежащее проведение исправительных мероприятий.

8. Внешний контроль качества • ABISS оставляет за собой право проведения оценки системы качества оказания услуг, а организация соглашается предоставить уполномоченному органу ABISS соответствующие комментарии, разъяснения или запрошенную документацию

9. Значок принадлежности к ABISS

10. Ответственность членов ABISS 8.1 К члену Сообщества, систематически не выполняющему или ненадлежащим образом выполняющему свои обязанности, либо нарушившему принятые на себя обязательства перед Сообществом, а также препятствующему своими действиями или бездействием работе Сообщества, могут быть применены следующие дисциплинарные меры: • Замечание; • Предупреждение; • Исключение из состава Сообщества. 8.2. Также, основанием для вынесения дисциплинарной меры может стать: • Нарушение любого из пунктов «Кодекса этики»; • Публикация недостоверной информации на вэб-сайте, маркетинговой продукции (проспекты, буклеты, реклама и.т.д.), презентациях, переписке и т.д.; • Невыполнение заданий Сообщества.

11. СПАСИБО ЗА ВНИМАНИЕ!ПОЖАЛУЙСТА, ВОПРОСЫ? Гениевский Павел Владимирович Секретарь Совета Сообщества ABISS, Исполнительный директор ЗАО «МЕТРОБАНК» E-mail: pavel@metrobank.ru Сообщество ABISS Российская Федерация, 121151,г. Москва, ул. Можайский Вал д. 8Б +7 (495) 745 7788 вн. 1108 abiss@abiss.ru 1 июня 2007 года