Поговорим о Профстандарте «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».
В 2018 году я уже писал на тему профессиональных стандартов и программ обучения специалистов по ИБ. Тогда завершение статьи было весьма приподнятое:
«Благодаря стандарту специальности мы знаем, кто мы есть.
Благодаря стандарту образования мы знаем, как нас надо готовить.
Благодаря обоим стандартам у нас есть, куда еще развиваться».
И вот новый Стандарт: «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».
ПЕРВАЯ И ВТОРАЯ РЕАКЦИЯ
Первая реакция: УРА! Процесс идет, и это не может не радовать.
Первое впечатление: стандарт описывает примерно от 20 до 60% необходимых трудовых функций для обеспечения ИБ-организаций кредитно-финансовой сферы, документ проработанный, целостный, и, безусловно, является существенным шагом вперед в области стандартизации профессиональной деятельности в нашей не простой области.
Макет стандарта выполнен в полном соответствии с принятыми требованиями к таким документам, разделы проработаны, охват реальных потребностей довольно высок, описание трудовых действий могут быть положены в основу учебных программ и курсов, описания видов трудовой деятельности, единиц профессионального стандарта (трудовые функции, трудовые действия, необходимые знания и умения) разработаны с учетом квалификационных уровней. Во всем документе чувствуется рука специалистов по ИБ с практическим опытом.
Спасибо разработчикам.
Вместе с тем, вторая реакция после углубленного прочтения более сложная: есть много чего, над чем надо поработать.
ПРО БАЗОВЫЕ ОРИЕНТИРЫ
Начнем прямо с первых абзацев. Цитирую:
«Основная цель вида профессиональной деятельности:
Организация и обеспечение системы информационной безопасности в кредитно-финансовой сфере; реализация процессов информационной безопасности при осуществлении банковских и финансовых операций; проведение контроля состояния информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы»
Прочитал и призадумался. А тому ли я учу наше молодое пополнение?Нас самих учили, что есть три понятия: Система информационной безопасности как совокупность организационных мер, Система менеджмента информационной безопасности как подсистема управления (менеджмента) организации в части информационной безопасности, и, наконец, Система обеспечения информационной безопасности, которая объединяет первые две. На рисунке 1 я попытался изобразить это более наглядно.
Рисунок 1. СОИБ=СИБ+СУИБ
После этого возникает вопрос: а о чем идет речь в новом Стандарте? Похоже, авторам документа необходимо еще раз внимательно перечитать свои определения.
ПРО ТРУДОВЫЕ ФУНКЦИИ
Читаем дальше. Может, я сразу не всё понял и пойму через «Описание трудовых функций, входящих в профессиональный стандарт».
Описание начинается с «Методологического обеспечения информационной безопасности в организациях кредитно-финансовой сферы».
О, Радость! Это именно то, чего не хватает в 75% организаций кредитно-финансовой сферы. Теперь мы узнаем, какие должны быть специалисты по методологии ИБ!
Ну… Наверное, такие знания специалистам по ИБ нужны. Но выделить хотя бы одну штатную единицу на это все сразу я точно не смогу. Это просто небольшая часть повседневной работы примерно 0,25 штатной единицы.
Вспомним цикл Деминга в редакции ГОСТ Р ИСО/МЭК 27001-2006 (рисунок 2).
Рисунок 2. Цикл Деминга
Сложить Цикл и раздел «Методологическое обеспечение» в единую систему у меня не получилось.
ПРО СООТВЕТСТВИЕ ПОТРЕБНОСТЯМ
Слова про процессное управление, разработку состава и структуры нормативно-распорядительной документации, основы поддержки актуальности этого самого методологического обеспечения, методологическую поддержку оценки эффективности обеспечения информационной безопасности на основе оценки риска информационной безопасности нашлись лишь в одном пункте Трудовых действий, на задворках, так сказать. А ведь это и есть основа деятельности руководителя ИБ. Если попробовать сделать экспертную оценку соответствия всех трудовых действий для функции Методологическое обеспечение защиты информации организаций кредитной-финансовой сферы с реальными потребностями малого/среднего (после 70) банка, получится вот такая диаграмма (рисунок 3).
Рисунок 3. Диаграмма соответствия трудовых действий потребностям
ПРО ДРУГИЕ СООТВЕТСТВИЯ
Идем дальше.
Реализация процессов информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы:
Первый дефис сам просится в предыдущий раздел, но ему и здесь вполне уместно быть. Давайте вспомним, о чем здесь идет речь.
В соответствии с ГОСТ 57580.1-2017 в базовый набор мер входят такие направления деятельности по защите информации:
Трудовые функции охватывают в разной степени эти направления (рисунок 4).
Рисунок 4. Диаграмма охвата базового набора мер
РЕЗЮМЕ
Можно было бы и дальше продолжить подобное рассмотрение. Каждый это может попробовать сделать сам для себя.Я бы отметил еще один момент, который бросается в глаза. Создается впечатление, что этот документ ориентирован в первую очередь на Банк России и очень крупные банки, и он совершенно не учитывает специфику работы малых и средних банков, хотя и предназначен для всех организаций кредитно-финансовой сферы.
***
Тем не менее, при всех шероховатостях, упомянутых выше, такой документ представляется очень нужным для формирования информационной безопасности как полноценной отрасли.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных