Важная тема

Важная тема

16 сентября Банк России опубликовал «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019-2021 годов». Что говорить: документ концептуальный, комплексный, где-то спорный (например, насколько намерение Банка России стать «связующим звеном… для создания условий подготовки специалистов в области ИБ нового типа» является профильным и посильным). Документ, по моему мнению, запоздавший лет на 5-7, но, тем не менее, очень нужный – систематизирующий и, как говорится, придающий новые стимулы.

ПРОБЕЛЫ, ПРОБЕЛЫ…

В данной заметке хотелось бы кратко прокомментировать «Основные направления» с точки зрения близкой мне проблематики повышения осведомлённости в области ИБ, её текущего состояния и возможного развития в свете вышедшего документа. Поскольку в том, что документ задал направления перспективного развития ИБ не только в финансовой сфере, но и в целом в РФ, сомневаться не приходится. При этом здесь я имею ввиду повышение осведомлённости в самом широком прикладном смысле – применительно и к персоналу организаций, и к клиентам, и даже к населению страны (для чего чаще используются термины «повышение киберграмотности» и «повышение кибергигиены»).

Проблематика повышения осведомлённости сегодня в нашей стране, по большей части, характеризуется пробелами в её методологическом и методическом аспектах: необходимость повышения осведомленности вопросов уже не вызывает, слово «геймификация» знают почти все, некоторые даже научились рисовать правильные «весёлые картинки» для игр с курсами-тестами. А вот как это всё применять так, чтобы повышение не было формальностью или/и статьёй трудно обосновываемых затрат – тут пока каждый действует как понимает и как может. При том, что ощутимый на практике эффект от повышения осведомлённости можно ожидать только при правильном планировании мероприятий. Причём, с учётом специфики организации, с последующей ресурсообеспеченной реализацией непрерывного процесса работы с людьми и корректировками оного процесса на основе обратной связи. Можно и не усложнять, можно и «без этого» – конечно,если вас не интересует результат.

Однако, вернёмся к обсуждаемому документу…

НЕТ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ!

Во введении «Основных направлений» декларируются цели и задачи развития ИБ и киберустойчивости – обеспечение ИБ, киберустойчивости, операционной надёжности и непрерывности деятельности организаций финансового рынка, противодействие компьютерным атакам, защита прав потребителей финансовых услуг. Нет сомнений в том, что повышение осведомлённости как метод обеспечения ИБ способно внести весомый вклад в достижение каждой из этих целей, а потому считать его второстепенным в сравнении с техническими методами обеспечения ИБ – серьёзное упущение.

Далее, в «Основных направлениях» говорится о том, что Банк России «…разрабатывает методологию и обеспечивает развитие ИБ … по следующим основным направлениям:

1) Стандартизация… разработка стандартов (включая разработку ГОСТ) в области ИБ и киберустойчивости…

… 6) Создание условий для развития культуры ИБ и кибергигиены в кредитно-финансовой сфере».

Необходимо отметить отсутствие в РФ в настоящее время какого-либо нормативного регулирования повышения осведомлённости – ни стандарта, ни методических рекомендаций, ни «лучших практик» пока нет. А оно нужно – и в силу актуальности темы, и в силу прямой зависимости результатов повышения от того, как и кем оно выполняется. Потому видится уместной разработка стандарта либо методических рекомендаций по повышению осведомлённости в области ИБ (киберграмотности) с привлечением профильных государственных органов и экспертного сообщества. За основу можно, например, взять адаптированный перевод американского стандарта NISTSP 800-50, разработанного в далёком 2003 году и успешно используемого до сих пор как в мире, так и у нас.

УРОВЕНЬ ЧЕЛОВЕКА-ПОЛЬЗОВАТЕЛЯ, АУ!

Досадно видеть, что далее в «Основных направлениях» под общим принципом ИБ и киберустойчивости организаций кредитно-финансовой сферы понимается реализация ИБ на трёх уровнях – инфраструктурном, уровне приложений и уровне технологий обработки данных. И совершенно забыт уровень человека-пользователя! На каком уровне будут создаваться вышеупомянутые условия для развития культуры ИБ и кибергигиены – на инфраструктурном или на уровне технологий обработки данных?

Некоторое утешение вызывает приведённое в главе «Подготовка кадров и обеспечение доверия граждан к цифровой среде» намерение «… сформировать направления обучения и разработать соответствующие программы обучения:

– разработать профессиональный стандарт «Специалист в области ИБ организаций кредитно-финансовой сферы»;

… – разработать примерную программу профессиональной переподготовки «Обеспечение ИБ в организациях кредитно-финансовой сферы».

ХОЧЕТСЯ НАДЕЯТЬСЯ

Хочется надеяться, что необходимость учёта «человеческого фактора» при обеспечении ИБ и основные принципы разработки эффективных программ повышения осведомлённости в данных разработках не будут забыты.

«Департамент ИБ является информационно-координационным хабом процессов и мероприятий по повышению финансовой киберграмотности населения и привлекает для решения этой задачи другие структурные подразделения Банка России, участников рынка, а также профильные федеральные органы исполнительной власти…» – потребность в обмене опытом в «Основных направлениях» запечатлена прямым текстом. Возможно, за этим последует и формирование соответствующей рабочей группы. Хочется надеяться, не только с привлечением «теоретиков», но и «практиков» – тех немногочисленных специалистов, кто имеет практический опыт разработки методологически обоснованных комплексных программ повышения осведомлённости для крупных корпоративных клиентов и государственных учреждений и организаций.

В заключение хотелось бы выразить надежду, что изложенные в «Основных направлениях» тезисы получат продолжение в виде конкретных своевременных тактических шагов, в том числе, и в части систематизации и формализации принципов создания эффективных программ повышения осведомлённости/киберграмотности.