BIS Journal №4(35)/2019

27 января, 2020

Важная тема

16 сентября Банк России опубликовал «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019-2021 годов». Что говорить: документ концептуальный, комплексный, где-то спорный (например, насколько намерение Банка России стать «связующим звеном… для создания условий подготовки специалистов в области ИБ нового типа» является профильным и посильным). Документ, по моему мнению, запоздавший лет на 5-7, но, тем не менее, очень нужный – систематизирующий и, как говорится, придающий новые стимулы.

 

ПРОБЕЛЫ, ПРОБЕЛЫ…

В данной заметке хотелось бы кратко прокомментировать «Основные направления» с точки зрения близкой мне проблематики повышения осведомлённости в области ИБ, её текущего состояния и возможного развития в свете вышедшего документа. Поскольку в том, что документ задал направления перспективного развития ИБ не только в финансовой сфере, но и в целом в РФ, сомневаться не приходится. При этом здесь я имею ввиду повышение осведомлённости в самом широком прикладном смысле – применительно и к персоналу организаций, и к клиентам, и даже к населению страны (для чего чаще используются термины «повышение киберграмотности» и «повышение кибергигиены»).

Проблематика повышения осведомлённости сегодня в нашей стране, по большей части, характеризуется пробелами в её методологическом и методическом аспектах: необходимость повышения осведомленности вопросов уже не вызывает, слово «геймификация» знают почти все, некоторые даже научились рисовать правильные «весёлые картинки» для игр с курсами-тестами. А вот как это всё применять так, чтобы повышение не было формальностью или/и статьёй трудно обосновываемых затрат – тут пока каждый действует как понимает и как может. При том, что ощутимый на практике эффект от повышения осведомлённости можно ожидать только при правильном планировании мероприятий. Причём, с учётом специфики организации, с последующей ресурсообеспеченной реализацией непрерывного процесса работы с людьми и корректировками оного процесса на основе обратной связи. Можно и не усложнять, можно и «без этого» – конечно,если вас не интересует результат.

Однако, вернёмся к обсуждаемому документу…

 

НЕТ НОРМАТИВНОГО РЕГУЛИРОВАНИЯ!

Во введении «Основных направлений» декларируются цели и задачи развития ИБ и киберустойчивости – обеспечение ИБ, киберустойчивости, операционной надёжности и непрерывности деятельности организаций финансового рынка, противодействие компьютерным атакам, защита прав потребителей финансовых услуг. Нет сомнений в том, что повышение осведомлённости как метод обеспечения ИБ способно внести весомый вклад в достижение каждой из этих целей, а потому считать его второстепенным в сравнении с техническими методами обеспечения ИБ – серьёзное упущение.

Далее, в «Основных направлениях» говорится о том, что Банк России «…разрабатывает методологию и обеспечивает развитие ИБ … по следующим основным направлениям:

1) Стандартизация… разработка стандартов (включая разработку ГОСТ) в области ИБ и киберустойчивости…

… 6) Создание условий для развития культуры ИБ и кибергигиены в кредитно-финансовой сфере».

Необходимо отметить отсутствие в РФ в настоящее время какого-либо нормативного регулирования повышения осведомлённости – ни стандарта, ни методических рекомендаций, ни «лучших практик» пока нет. А оно нужно – и в силу актуальности темы, и в силу прямой зависимости результатов повышения от того, как и кем оно выполняется. Потому видится уместной разработка стандарта либо методических рекомендаций по повышению осведомлённости в области ИБ (киберграмотности) с привлечением профильных государственных органов и экспертного сообщества. За основу можно, например, взять адаптированный перевод американского стандарта NISTSP 800-50, разработанного в далёком 2003 году и успешно используемого до сих пор как в мире, так и у нас.

 

УРОВЕНЬ ЧЕЛОВЕКА-ПОЛЬЗОВАТЕЛЯ, АУ!

Досадно видеть, что далее в «Основных направлениях» под общим принципом ИБ и киберустойчивости организаций кредитно-финансовой сферы понимается реализация ИБ на трёх уровнях – инфраструктурном, уровне приложений и уровне технологий обработки данных. И совершенно забыт уровень человека-пользователя! На каком уровне будут создаваться вышеупомянутые условия для развития культуры ИБ и кибергигиены – на инфраструктурном или на уровне технологий обработки данных?

Некоторое утешение вызывает приведённое в главе «Подготовка кадров и обеспечение доверия граждан к цифровой среде» намерение «… сформировать направления обучения и разработать соответствующие программы обучения:

– разработать профессиональный стандарт «Специалист в области ИБ организаций кредитно-финансовой сферы»;

… – разработать примерную программу профессиональной переподготовки «Обеспечение ИБ в организациях кредитно-финансовой сферы».

 

ХОЧЕТСЯ НАДЕЯТЬСЯ

Хочется надеяться, что необходимость учёта «человеческого фактора» при обеспечении ИБ и основные принципы разработки эффективных программ повышения осведомлённости в данных разработках не будут забыты.

«Департамент ИБ является информационно-координационным хабом процессов и мероприятий по повышению финансовой киберграмотности населения и привлекает для решения этой задачи другие структурные подразделения Банка России, участников рынка, а также профильные федеральные органы исполнительной власти…» – потребность в обмене опытом в «Основных направлениях» запечатлена прямым текстом. Возможно, за этим последует и формирование соответствующей рабочей группы. Хочется надеяться, не только с привлечением «теоретиков», но и «практиков» – тех немногочисленных специалистов, кто имеет практический опыт разработки методологически обоснованных комплексных программ повышения осведомлённости для крупных корпоративных клиентов и государственных учреждений и организаций.

В заключение хотелось бы выразить надежду, что изложенные в «Основных направлениях» тезисы получат продолжение в виде конкретных своевременных тактических шагов, в том числе, и в части систематизации и формализации принципов создания эффективных программ повышения осведомлённости/киберграмотности.

Смотрите также

15.08.2022
Agile-подход: «культура семьи» VS «культура армии»
15.08.2022
«Банки надо обязать предоставить клиенту возможности настройки профиля безопасности»
15.08.2022
Первая массовая волна кибератак немного стихает
15.08.2022
«Новый институт должен способствовать доверительной атмосфере на рынке»
15.08.2022
Китайский бигтех показал, что у него в карманах
12.08.2022
Dragos: Число кибератак на промсектор снизилось
12.08.2022
Корпоративные данные Lockheed Martin были опубликованы хакерами из Killnet
12.08.2022
VK Видео или Rutube — кто придёт на место YouTube?
12.08.2022
«Расширение возможностей телемедицинских технологий». «Сколково» и «Ростех» держат руку на пульсе
11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»