Финансовая система
<<  Международные стандарты финансовой отчетности для Малого и Среднего Бизнеса 1. АНАЛИЗ отчета о ФИНАНСОВЫХ Результатах  >>
ТК122 «Стандарты финансовых операций»
ТК122 «Стандарты финансовых операций»
Наши ориентиры
Наши ориентиры
План презентации
План презентации
Состояние дел (историческая справка )
Состояние дел (историческая справка )
Состояние дел (результаты работ)
Состояние дел (результаты работ)
Перечень национальных стандартов, разработанных в период с 2004 по
Перечень национальных стандартов, разработанных в период с 2004 по
Состояние дел (проблемы и ожидания)
Состояние дел (проблемы и ожидания)
Цели образования специализированного подкомитета по безопасности
Цели образования специализированного подкомитета по безопасности
Структура, органы, принципы участия в работе (предложения)
Структура, органы, принципы участия в работе (предложения)
Форма взаимодействия и работы (предложения)
Форма взаимодействия и работы (предложения)
Структура, органы, принципы участия в работе (предложения)
Структура, органы, принципы участия в работе (предложения)
Организация работ в рамках систем стандартизации
Организация работ в рамках систем стандартизации
Примерный состав членов подкомитета
Примерный состав членов подкомитета
Примерный состав членов подкомитета (продолжение)
Примерный состав членов подкомитета (продолжение)
Направления работ
Направления работ
Направления работ (разработка профильных национальных стандартов)
Направления работ (разработка профильных национальных стандартов)
Направления работ (Гармонизация международных стандартов)
Направления работ (Гармонизация международных стандартов)
Перечень действующих документов (стандартов и технических отчетов),
Перечень действующих документов (стандартов и технических отчетов),
Перечень действующих документов (стандартов и технических отчетов),
Перечень действующих документов (стандартов и технических отчетов),
Организация работы подкомитета «Безопасность финансовых (банковских)
Организация работы подкомитета «Безопасность финансовых (банковских)
Организация работы подкомитета «Безопасность финансовых (банковских)
Организация работы подкомитета «Безопасность финансовых (банковских)
Составляющие деятельности, публичность
Составляющие деятельности, публичность
Спасибо за внимание
Спасибо за внимание

Презентация на тему: «Стандарты финансовых операций». Автор: kap1. Файл: «Стандарты финансовых операций.ppt». Размер zip-архива: 1242 КБ.

Стандарты финансовых операций

содержание презентации «Стандарты финансовых операций.ppt»
СлайдТекст
1 ТК122 «Стандарты финансовых операций»

ТК122 «Стандарты финансовых операций»

Подкомитет «Безопасность финансовых (банковских) операций». Предлагаемая структура и основные направления работ, ПК №1 «Безопасность финансовых (банковских) операций».

Курило Андрей Петрович, Банк России Главное управление безопасности и защиты информации

2 Наши ориентиры

Наши ориентиры

«Весь бизнес представляет собой вопрос доверия. Доверие может развиться только в том случае, когда участники сделки ощущают надежность и безопасность. Таким образом, безопасность, с точки зрения бизнеса, должна рассматриваться как способствующий бизнесу фактор, а не как его цена.»

«Доверие информационной безопасности для руководящих работников», 7 октября 2003 г. Консультативный комитет ОЭСР по предпринимательству и промышленности (BIAC), Международная торговая палата (ICC)

2

3 План презентации

План презентации

Состояние дел (за истекшие 10 лет) Цели создания подкомитета Структура, органы, принципы участия в работе Состав членов подкомитета Направления работ Организация работ по созданию стандартов безопасности финансовых (банковских) операций

3

4 Состояние дел (историческая справка )

Состояние дел (историческая справка )

2000 год. Начаты работы по созданию Стандартов 2003 год. Создан специализированный подкомитет ПК 3 «Защита информации в кредитно-финансовой сфере» (в структуре ТК 362 «Защита информации») для отработки Стандарта и последующих документов 2004 год. Принята первая редакция Стандарта 2006 год. Подготовлена и введена в действие вторая редакция Стандарта 2006 год. Создана ассоциация ABISS (аналог отраслевой системы оценки соответствия ИБ) 2006 год. Открыта специализированная страничка на сайте Банка России (официальное представительство ) Интернет 2007 год. Открыт специализированный сайт подкомитета ПК 3 «Защита информации в кредитно-финансовой сфере» в сети Интернет 2007 год. Приняты четыре документа – сформирован первичный блок Комплекса 2009 год. Введена в действие третья редакция Стандарта. 2010 год. Введена в действие четвертая редакция Стандарта, разработанная с учетом ФЗ №152 «О персональных данных» 2011 год. Прорабатываются подходы по совершенствованию требований ИБ при дистанционном банковском обслуживании

4

5 Состояние дел (результаты работ)

Состояние дел (результаты работ)

Документы, прошедшие ПК3 – Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» СТО БР ИББС-1.0 «…Общие положения» СТО БР ИББС-1.1 «…Аудит информационной безопасности» СТО БР ИББС-1.2 «…Методика оценки соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0» РС БР ИББС-2.0 «…Методические рекомендации по документации в области обеспечения ИБ в соответствии с требованиями СТО БР ИББС-1.0» РС БР ИББС-2.1 «…Руководство по самооценке соответствия ИБ организаций БС РФ требованиям СТО БР ИББС-1.0» РС БР ИББС-2.2 «…Методика оценки рисков нарушения ИБ» РС БР ИББС-2.3 «…Требования по обеспечению безопасности персональных в информационных системах персональных данных организаций БС РФ» РС БР ИББС-2.4 «…Отраслевая частная модель угроз безопасности персональных данных»

5

6 Перечень национальных стандартов, разработанных в период с 2004 по

Перечень национальных стандартов, разработанных в период с 2004 по

2010 годы

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности . Менеджмент инцидентов информационной безопасности ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности ГОСТ Р ИСО/МЭК 24762-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности ГОСТ Р ИСО/МЭК 27005-2009 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности ГОСТ Р ИСО/МЭК 27004-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения ГОСТ Р ИСО/МЭК 27033-1-2010 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

6

7 Состояние дел (проблемы и ожидания)

Состояние дел (проблемы и ожидания)

Существующая инфраструктура подготовки отраслевых (банковских) решений обеспечения информационной безопасности в рамках ТК 362 Росстандарта исчерпала свой потенциал Остро ощущается необходимость структурных и общеметодологических преобразований, расширения сферы регулирования Востребована более явная структуризация работ по общесистемному (унифицированным решениям) и отраслевому (финансовый сектор) направлениям обеспечения безопасности

7

8 Цели образования специализированного подкомитета по безопасности

Цели образования специализированного подкомитета по безопасности

Ощущается дефицит разумных (в соотношениях цена/качество, польза/издержки эксплуатации и т.п.) предложений банковскому сектору в условиях лавинообразного роста рыночных предложений по новым технологиям организации и реализации деятельности в области информационной безопасности и роста числа успешных мошеннических действий Образование специализированного подкомитета по безопасности способствует: Повышению доверия к банковской системе (БС) РФ; Достижению адекватности мер по обеспечению ИБ реальным угрозам; Установлению единых требований по обеспечению ИБ организаций БС РФ; Повышению эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ. Совершенствованию контрольных и надзорных функций банковского регулирования.

8

9 Структура, органы, принципы участия в работе (предложения)

Структура, органы, принципы участия в работе (предложения)

Структура Председатель подкомитета (Банк России, ГУБиЗИ, Курило Андрей Петрович) Заместитель Председателя подкомитета (представитель Технического комитета «Криптографическая защита информации» ТК 26) Организация-секретариат (НПФ «Кристалл», отв. Секретарь Голованов В.Б.) Члены (на базе коллектива, участвовавшего в разработке стандартов Банка России) Привлекаемые ресурсы ГУБиЗИ: Работа в рамках специализированного отдела двух специалистов, принимающих также участие в деятельности международного комитета JTC1 ISO/IEC в рамках рабочих групп WG1 «Information Security Management Systems» (Системы управления информационной безопасностью) и WG5 «Identity management and privacy technologies» (Управление идентификационной информацией и технологии обеспечения приватности) подкомитета SC27«IT Security techniques» (Методы и средства обеспечения безопасности информационных технологий)

9

10 Форма взаимодействия и работы (предложения)

Форма взаимодействия и работы (предложения)

Принципы участия (в соотв. с ГОСТ Р 1.1 «ТК по стандартизации. Порядок создания и деятельности») Добровольность Активность позиции (регулирование членства) Безвозмездность (отсутствие членских взносов) Очно-заочная форма: Организации-члены ПК 3 ТК 362 ПК1 ТК 122

Заседания Обсуждение внесенных в документы изменений

Через сайт Интернет Голосования в закрытом режиме (доступ возможен только членам подкомитета)

10

11 Структура, органы, принципы участия в работе (предложения)

Структура, органы, принципы участия в работе (предложения)

Компетенция и опыт руководящих органов подкомитета: Председатель: с 2003 осуществляет руководство по планированию и организации работ действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Осуществление координации работ по стандартизации с уполномоченными федеральными органами власти в области безопасности и защиты информации. Организация-секретариат: с 2003 осуществляет функции секретариата действующей структуры в рамках: отраслевой, национальной и международной стандартизации; Отв. секретарь имеет компетенцию «эксперта по стандартизации» (в соотв. с ГОСТ Р 1.1, сертиф. № СЭN0000549 в РОСС RU.Е177.04ЭР00).

11

12 Организация работ в рамках систем стандартизации

Организация работ в рамках систем стандартизации

Банк россии

Национальная система

Международная система

ISO/IEC JTC1 «Information technology»

ТС 68 «financial services»

WG 1

WG 5

SC 2

ТК 122 «Стандарты финансовых операций»

Пк

1

Участие в работе

Участие в форме наблюдения

Регуляторы

Совершенствование универсальных стандартов ИБ

12

ТК 362 «Защита информации»

ТК 26 «Криптографическая защита информации»

ТК 22 «Информационные технологии»

Финансовые стандарты

ПК 127 «Методы и средства обеспечения безопасности информационных технологий

«Безопасность

Финансовых

(

Банковских

)

Операций»

Кредитные

Организации

Международные и

Национальные

Аудиторские компании

Поставщики продукции

и услуг ИТ и ИБ

13 Примерный состав членов подкомитета

Примерный состав членов подкомитета

Федеральные органы и ассоциации Банк России; Федеральная таможенная служба Российской Федерации; Федеральная служба безопасности Российской Федерации Федеральная служба по техническому и экспортному контролю Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Ассоциация Российских банков; Ассоциация Региональных Банков России; Институт банковского дела Ассоциации российских банков;

Кредитные организации Акционерный коммерческий сберегательный банк РФ; Россельхозбанк; АБ «ГАЗПРОМБАНК» (ОАО); Альфа-банк; ОАО Банк «Возрождение»; Внешэкономбанк; ОАО «Банк Российский кредит»; АКБ «Промсвязьбанк» (ОАО); ОАО «БАНК УРАЛСИБ»; Филиал «Центральный» АКБ «Инвестбанк» (ОАО);

13

14 Примерный состав членов подкомитета (продолжение)

Примерный состав членов подкомитета (продолжение)

Агентства и аудиторские компании ОАО «Агентство по ипотечному жилищному кредитованию»; ЗАО «КПМГ Лимитед»; Компания «Эрнст энд Янг (СНГ) Б.В.»; ЗАО «ПрайсвотерхаусКуперс Аудит»; ООО «ФБК»;

Поставщики продукции и услуг ООО НПФ «Кристалл»; ООО «Линс-М»; ЗАО «Андэк Консалтинг»; ООО «Криптоком»; ООО «Эр-Стайл»; ЗАО «Позитив Текнолоджиз»; ООО «Сиско Системс»;

14

15 Направления работ

Направления работ

Разработка национальных стандартов обеспечения безопасности финансовых (банковских) операций на основе документов в области стандартизации Банка России СТО/РС БР ИББС «Обеспечение информационной безопасности организаций БС РФ» (как действующих, так и новых) Гармонизация международных стандартов, изданных в рамках юрисдикции ISO/TC 68/SC 2 «Security management and general banking operations». Продвижение отечественного опыта Гармонизация профессиональных стандартов обеспечения информационной безопасности банковской и платежной индустрий (стандарты PCI Council/PCI DSS, рекомендации EPC/Европейский платежный совет и т.п.)

15

16 Направления работ (разработка профильных национальных стандартов)

Направления работ (разработка профильных национальных стандартов)

На основе документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (БР ИББС).

Общие положения СТО БР ИББС – 1.0

Аудит информационной безопасности СТО БР ИББС – 1.1

Методика оценки соответствия СТО БР ИББС – 1.2

Документы по обеспечению информационной безопасности РС БР ИББС – 2.0

Методика оценки рисков РС БР ИББС – 2.2

Руководство по самооценке РС БР ИББС – 2.1

Требования по обеспечению безопасности СКЗИ РС БР ИББС – 2.5

Требования по обеспечению безопасности ПДн в ИСПДн РС БР ИББС – 2.3

Отраслевая модель угроз РС БР ИББС – 2.4

Методика классификации активов РС БР ИББС – Х.Х

Методика назначения и описания ролей РС БР ИББС – Х.Х

16

17 Направления работ (Гармонизация международных стандартов)

Направления работ (Гармонизация международных стандартов)

Гармонизация изданных под юрисдикцией ISO/TC 68/SC 2 «Security management and general banking operations» международных стандартов (19), востребованных в деятельности российских банков Продвижение на уровень ИСО отдельных национальных решений и технологий безопасности

17

18 Перечень действующих документов (стандартов и технических отчетов),

Перечень действующих документов (стандартов и технических отчетов),

принятых в рамках подкомитета ISO SC2/TK68

ISO 9564?1:2002 «Banking -- Personal Identification Number (PIN) management and security -- Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems» (Банковское дело – Управление и безопасность персональных цифровых идентификаторов – Часть 1: Основные принципы и требования к оперативной обработке PIN в системах банкоматов (ATM) и торговых терминалов (POS)); ISO 9564?2:2005 «Banking -- Personal Identification Number management and security -- Part 2: Approved algorithms for PIN encipherment» (…. Часть 2: Одобренные алгоритмы шифрования личного идентификационного номера (PIN)); ISO 9564?3:2003 «Banking -- Personal Identification Number management and security -- Part 3: Requirements for offline PIN handling in ATM and POS systems» (… Часть 3: Требования к оперативной обработке PIN-кода в системах банкоматов (ATM) и торговых терминалов (POS)); ISO/TR 9564?4:2004 «Banking -- Personal Identification Number (PIN) management and security -- Part 4: Guidelines for PIN handling in open networks» (… Часть 4: Руководящие указания по его обработке в открытых сетях); ISO 11568?1:2005 «Banking -- Key management (retail) -- Part 1: Principles» (Банковское дело – Управление ключами (розница) – Часть 1: Принципы); ISO 11568?2:2005 «Banking -- Key management (retail) -- Part 2: Symmetric ciphers, their key management and life cycle» (… Часть 2: Симметричные алгоритмы шифрования, управление ключами и их жизненный цикл); ISO 11568?4:2007 «Banking -- Key management (retail) -- Part 4: Asymmetric cryptosystems -- Key management and life cycle» (…Часть 4: Асимметричные криптосистемы – Управление ключами и их жизненный цикл); ISO 13491?1:2007 «Banking -- Secure cryptographic devices (retail) -- Part 1: Concepts, requirements and evaluation methods» (Банковское дело – Доверенные криптографические устройства (розница) – Часть 1: Понятия, требования и методы оценки); ISO 13491?2:2005 «Banking -- Secure cryptographic devices (retail) -- Part 2: Security compliance checklists for devices used in financial transactions» (…Часть 2: Контрольные перечни соответствия требованиям безопасности для устройств, используемых в финансовых транзакциях); ISO 13492:2007 «Financial services -- Key management related data element -- Application and usage of ISO 8583 data elements 53 and 96» (Финансовые услуги – Управление ключами относящееся к элементам данных – Применение и использование элементов данных 53 и 96 из ISO 8583);

18

19 Перечень действующих документов (стандартов и технических отчетов),

Перечень действующих документов (стандартов и технических отчетов),

принятых в рамках подкомитета ISO SC2/TK68 (продолжение)

ISO/TR 13569:2005 «Financial services -- Information security guidelines» (Финансовые услуги – Руководства по информационной безопасности); ISO/TR 14742:2010 «Financial services -- Recommendations on cryptographic algorithms and their use» (Финансовые услуги – Рекомендации по криптографическим алгоритмам и их использованию); ISO 15668:1999 «Banking -- Secure file transfer (retail)» (Банковское дело – Защищенная передача файлов (розница)); ISO 15782?1:2009 «Certificate management for financial services -- Part 1: Public key certificates» (Управление сертификатами для финансовых услуг – Часть 1: Сертификаты открытых ключей); ISO 15782?2:2001 «Banking -- Certificate management -- Part 2: Certificate extensions» (…Часть 2: Расширения сертификатов); ISO 16609:2004 «Banking -- Requirements for message authentication using symmetric techniques» (Банковское дело – Требования к аутентификации сообщений с использованием алгоритмов симметричного шифрования); ISO/TR 19038:2005 «Banking and related financial services -- Triple DEA -- Modes of operation -- Implementation guidelines» (Банковское дело и сопутствующие финансовые услуги – Тройной DEA – Модель процесса – Руководство по реализации); ISO 19092:2008 «Financial services -- Biometrics -- Security framework» (Финансовые услуги – Биометрия – Структура безопасности); ISO 21188:2006 «Public key infrastructure for financial services -- Practices and policy framework» (Инфраструктура открытых ключей для финансовых услуг – Структура практик и политики). Среди данных документов только 1 был гармонизирован в РФ как ГОСТ Р ИСО/ТО 13569?2007 «Финансовые услуги. Рекомендации по информационной безопасности».

19

20 Организация работы подкомитета «Безопасность финансовых (банковских)

Организация работы подкомитета «Безопасность финансовых (банковских)

операций»

Разработка проекта стандарта в рамках НИР Банка России или силами членов ПК Апробация на выбранных участках или организациях Доработка проекта стандарта силами специалистов Банка России Обсуждение проекта в подкомитете (2-3 итерации) Публичное обсуждение проекта в соответствии с нормами Росстандарта Согласование проекта стандарта с заинтересованными сторонами Подготовка к утверждению и утверждение стандарта установленным в РФ порядком

20

21 Организация работы подкомитета «Безопасность финансовых (банковских)

Организация работы подкомитета «Безопасность финансовых (банковских)

операций» (продолжение)

Особенности: Безопасность с использованием средств криптографической защиты информации, в частности в розничных услугах (управление ключами, криптография в системах банкоматов (ATM) и торговых терминалов (POS) и др.) При разработке стандартов необходимо взаимодействие ПК 1 с ПК 4 «Стандартизация процессов расчетов с использованием банковских карт и инструментов розничных платежей» и ПК 5 «Стандартизация технологий осуществления мобильных платежей» Необходимо установление отношений между подкомитетами в рамках ТК 122

21

22 Составляющие деятельности, публичность

Составляющие деятельности, публичность

Кон

Конф

Конф

Разработка стандарта

Выявление и оценка проблемы

Внедрение

Предложения по доработке

Ввод в действие

Обсуждение

Оценка возможности стандартизации

Обсуждение результата

22

23 Спасибо за внимание

Спасибо за внимание

А.П.Курило +7(495) 771 91 61 kap1@cbr.ru

«Стандарты финансовых операций»
http://900igr.net/prezentacija/ekonomika/standarty-finansovykh-operatsij-70548.html
cсылка на страницу

Финансовая система

11 презентаций о финансовой системе
Урок

Экономика

125 тем
Слайды
900igr.net > Презентации по экономике > Финансовая система > Стандарты финансовых операций