НБ и ИБ в любой ЧС

Информационная безопасность (ИБ) является важным, одним из ключевых аспектов системы обеспечения непрерывности бизнеса (НБ). В настоящее время ведущие образовательные центры страны переходят к подготовке специалистов по информационной безопасности в контексте более широкого обучения обеспечению непрерывности бизнеса. Предлагаются комплексные учебные программы профильного вузовского образования по этим специальностям, отвечающие современным кадровым потребностям компаний, включая кредитно-финансовые организации.

ИБ КАК ЭЛЕМЕНТ НБ

Организации и компании, работающие в важнейших отраслях, в том числе банки, должны учитывать существующие риски, которым в настоящее время подвергается их деятельность. Нарушить и даже надолго прервать работу могут сбои энергетического обеспечения, нарушения функционирования компьютерных и телекоммуникационных систем, стихийные бедствия или техногенные катастрофы, ущерб от преднамеренных действий или ошибок сотрудников, уход ключевого персонала, и, конечно, информационные атаки.

Во второй половине 1990-х годов появился термин «непрерывность бизнеса» (НБ), который стали употреблять для обозначения бесперебойной деятельности организации в целом, в первую очередь – всех бизнес-процессов, основных и вспомогательных. Процесс обеспечения НБ должен гарантировать восстановление функционирования организации в случае нежелательного инцидента, способного нарушить непрерывность функций и подфункций и даже прервать весь бизнес-процесс.

Для подержания НБ организации очень важен высокий уровень обеспечения информационной безопасности. Неслучайно опыт лучших практик, подытоженный в таких стандартах как 180/1ЕС 27002, свидетельствует: обеспечение ИБ нацелено на поддержание непрерывности бизнеса в целом и его развитие. Защита информационных активов от различного вида угроз способна минимизировать риски, максимально способствовать эффективности инвестиций и росту прибыльности бизнеса.

Поэтому сегодня очевидно: для успешного ведения любого бизнеса необходимо обладать специалистами в двух взаимозависимых областях – НБ и ИБ. Всё больше востребованы профессионалы, обладающие такими интегрированными знаниями, умениями и навыками. В связи с этим актуальными становятся ответы на вопросы, какими квалификационными характеристиками должны обладать эти профессионалы, как быстро можно насытить ими рынок труда, и как для этого можно использовать уже существующую отечественную систему профессионального образования.

КЛАССИФИКАЦИЯ ПРОФЕССИОНАЛЬНЫХ ТРЕБОВАНИЙ

Квалификационные требования к профессионалам в области обеспечения НБ и ИБ могут быть определены по видам профессиональной деятельности сотрудников конкретных организаций и задачам, которые они должны решать по своей работе.

Сегодня можно выделить 3 вида организаций, имеющих отношение к рассматриваемому виду деятельности:

  • организации, создающие и эксплуатирующие системы обеспечения НБ и ИБ своих бизнес-процессов (например, банки);
  • организации, разрабатывающие такие системы (интеграторы);
  • организации, осуществляющие контрольные функции по оценке уровня обеспечения НБ и ИБ (аудиторы).

Создание и эксплуатация систем НБ и ИБ – организационно-управленческая деятельность. Персонал организации может быть вовлечён в решение следующих задач:

  • создание систем управления НБ и ИБ основных бизнес-процессов организации;
  • разработка проектов методических и нормативных документов, предложений и мероприятий по их обеспечению;
  • организация и проведение контрольных мероприятий оценки эффективности систем НБ и ИБ;
  • организация работы по их модернизации и унификации в соответствии с нормативными актами и требованиями.

Разработка систем относится к проектной деятельности персонала организации, который связан с:

  • системным анализом прикладной области;
  • выявлением угроз и оценкой уязвимости информационных систем;
  • разработкой требований и критериев обеспечения НБ и ИБ;
  • концептуальным проектированием сложных систем, комплексов средств и технологий;
  • обоснованием выбора функциональной структуры, принципов организации технического, программного и информационного обеспечения;
  • разработкой систем и технологий обеспечения НБ и ИБ и их адаптацией в конкретной организации на основе отечественных и международных стандартов.

Осуществление контрольных функций предполагает:

  • разработку планов проведения контрольно-аналитических мероприятий;
  • контроль эффективности применяемых мер обеспечения НБ и ИБ;
  • выполнение программ аудита систем обеспечения НБ и ИБ и документирование контрольно-аналитических мероприятий.

КВАЛИФИКАЦИОННЫЕ ТРЕБОВАНИЯ

Персонал организации должен обладать квалификационными характеристиками (уровнем знаний, умений и навыков), достаточными для решения вышеперечисленных задач.

К базовым квалификационным характеристикам необходимо отнести:

  • умение на практике применять существующую нормативную базу;
  • способности проводить анализ рисков ИБ, связанных с чрезвычайными ситуациями (ЧС);
  • устанавливать критерии оценки возможности перерастания инцидента в ЧС, определять её возможные сценарии;
  • определять стратегии и средства, разрабатывать скоординированные планы обеспечения НБ и ИБ в случае ЧС.

Особенностью настоящего момента является дефицит таких профессионалов на рынке труда и большая динамика изменения задач, которые они должны решать. Ситуация осложняется тем, что в национальной системе высшего профессионального образования нет как таковой развернутой подготовки специалистов в области обеспечения НБ и ИБ бизнеса. Правда, имеется система подготовки в области ИБ, но в её программах вопросы обеспечения НБ практически игнорируются.

Частичное удовлетворение потребностей рынка труда происходит на уровне дополнительного профессионального образования, преимущественно программами повышения квалификации. Переподготовка позволяет ориентироваться на потребности конкретной организации и даёт возможность быстро реагировать на изменение квалификационных требований.

Большинство программ дополнительного образования строится на изучении базовых процессов обеспечения НБ, а ИБ рассматривается как одно из направлений работы. Основой формирования программ являются материалы известных стандартов, например, Б8 25999. В некоторых случаях обучение направлено на получение международных сертификатов определённого уровня.

СПЕЦИАЛИЗИРОВАННАЯ УЧЕБНАЯ ПРОГРАММА

Сейчас учебных центров, способных решить задачу насыщения рынка труда такими специалистами, сравнительно немного, но темпы быстрого увеличения их количества настораживают. Кадровый дефицит и жесткость новых условий проверки субъектов предпринимательства рождают у работодателей искушение поскорее приобрести работника, как говорится, числом поболее, ценою подешевле. А спрос, разумеется, рождает и предложение. Таким образом, возникает риск, что некоторые учебные центры фактически станут просто торговать сертификатами.

Однако это не более чем болезнь роста. Такое всегда происходит на развивающихся рынках. В данном случае, к счастью, область НБ и ИБ слишком сложна для непрофессионала. Поэтому недобросовестные учебные центры отсеются достаточно быстро по мере роста действительно авторитетных организаций – таких, как МГТУ им. Н.Э.Баумана, НИЯУ МИФИ и другие ведущие вузы. Уже сегодня они делом подтвердили свой высокий авторитет: их выпускники практически всегда сразу находят выгодную и престижную работу.

В частности, подготовка специалистов в области ИБ в Национальном исследовательском ядерном университете МИФИ базируется на опыте образовательной деятельности по этому профилю с 1991 года. Первый выпуск специалистов по защите информации состоялся в 1995 году, а с 2003 года ежегодно выпускается по 60–100 таких профессионалов. Накопленный за много лет опыт обучения позволил кафедре информационной безопасности банковских систем НИЯУ МИФИ начать в сентябре этого года подготовку магистров по учебной программе «Обеспечение непрерывности и ИБ бизнеса», направление 090900 – «Информационная безопасность».

Программа обучения рассчитана на поступающих в НИЯУ МИФИ в 2012 году с квалификацией «бакалавр» для получения высшего профессионального образования или «специалист» для получения второго высшего образования. Длительность обучения составляет 2 года, режим обучения – преимущественно вечерний.

Дополнительная информация – на сайте НИЯУ МИФИ www.mephi.ru или по телефону +7 (499) 324-97-35.

Михаил Сенаторов -- Заведующий кафедрой информационной безопасности банковских систем, доктор технических наук (НИЯУ МИФИ)

BIS Journal №3(6)/2012

7 августа, 2012

Смотрите также