BIS Journal №2(37)/2020

25 мая, 2020

«Прочитал с пристрастием, и кое-что нашел…»

Поговорим о Профстандарте «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».

В 2018 году я уже писал на тему профессиональных стандартов и программ обучения специалистов по ИБ. Тогда завершение статьи было весьма приподнятое:

«Благодаря стандарту специальности мы знаем, кто мы есть.

Благодаря стандарту образования мы знаем, как нас надо готовить.

Благодаря обоим стандартам у нас есть, куда еще развиваться».

И вот новый Стандарт: «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».

 

ПЕРВАЯ И ВТОРАЯ РЕАКЦИЯ

Первая реакция: УРА! Процесс идет, и это не может не радовать.

Первое впечатление: стандарт описывает примерно от 20 до 60% необходимых трудовых функций для обеспечения ИБ-организаций кредитно-финансовой сферы, документ проработанный, целостный, и, безусловно, является существенным шагом вперед в области стандартизации профессиональной деятельности в нашей не простой области.

Макет стандарта выполнен в полном соответствии с принятыми требованиями к таким документам, разделы проработаны, охват реальных потребностей довольно высок, описание трудовых действий могут быть положены в основу учебных программ и курсов, описания видов трудовой деятельности, единиц профессионального стандарта (трудовые функции, трудовые действия, необходимые знания и умения) разработаны с учетом квалификационных уровней. Во всем документе чувствуется рука специалистов по ИБ с практическим опытом.

Спасибо разработчикам.

Вместе с тем, вторая реакция после углубленного прочтения более сложная: есть много чего, над чем надо поработать.

 

ПРО БАЗОВЫЕ ОРИЕНТИРЫ

Начнем прямо с первых абзацев. Цитирую:

«Основная цель вида профессиональной деятельности:

Организация и обеспечение системы информационной безопасности в кредитно-финансовой сфере; реализация процессов информационной безопасности при осуществлении банковских и финансовых операций; проведение контроля состояния информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы»

Прочитал и призадумался. А тому ли я учу наше молодое пополнение?Нас самих учили, что есть три понятия: Система информационной безопасности как совокупность организационных мер, Система менеджмента информационной безопасности как подсистема управления (менеджмента) организации в части информационной безопасности, и, наконец, Система обеспечения информационной безопасности, которая объединяет первые две. На рисунке 1 я попытался изобразить это более наглядно.

Рисунок 1.  СОИБ=СИБ+СУИБ

 

После этого возникает вопрос: а о чем идет речь в новом Стандарте? Похоже, авторам документа необходимо еще раз внимательно перечитать свои определения.

 

ПРО ТРУДОВЫЕ ФУНКЦИИ

Читаем дальше. Может, я сразу не всё понял и пойму через «Описание трудовых функций, входящих в профессиональный стандарт».

Описание начинается с «Методологического обеспечения информационной безопасности в организациях кредитно-финансовой сферы».

О, Радость! Это именно то, чего не хватает в 75% организаций кредитно-финансовой сферы. Теперь мы узнаем, какие должны быть специалисты по методологии ИБ!

  • Методологическое обеспечение управления риском реализации информационных угроз в организациях кредитно-финансовой сферы
  • Методологическое обеспечение защиты информации организаций кредитной-финансовой сферы
  • Методологическое обеспечение защиты информации для непрерывности выполнения бизнес- и технологических процессов организаций кредитно-финансовой сферы
  • Методологическое обеспечение управления риском реализации информационных угроз при аутсорсинге и использовании сторонних информационных сервисов в организациях кредитно-финансовой сферы

Ну… Наверное, такие знания специалистам по ИБ нужны. Но выделить хотя бы одну штатную единицу на это все сразу я точно не смогу. Это просто небольшая часть повседневной работы примерно 0,25 штатной единицы.

Вспомним цикл Деминга в редакции ГОСТ Р ИСО/МЭК 27001-2006 (рисунок 2).

Рисунок 2.  Цикл Деминга

 

Сложить Цикл и раздел «Методологическое обеспечение» в единую систему у меня не получилось.

 

ПРО СООТВЕТСТВИЕ ПОТРЕБНОСТЯМ

Слова про процессное управление, разработку состава и структуры нормативно-распорядительной документации, основы поддержки актуальности этого самого методологического обеспечения, методологическую поддержку оценки эффективности обеспечения информационной безопасности на основе оценки риска информационной безопасности нашлись лишь в одном пункте Трудовых действий, на задворках, так сказать. А ведь это и есть основа деятельности руководителя ИБ. Если попробовать сделать экспертную оценку соответствия всех трудовых действий для функции Методологическое обеспечение защиты информации организаций кредитной-финансовой сферы с реальными потребностями малого/среднего (после 70) банка, получится вот такая диаграмма (рисунок 3).

Рисунок 3. Диаграмма соответствия трудовых действий потребностям

 

ПРО ДРУГИЕ СООТВЕТСТВИЯ

Идем дальше.

Реализация процессов информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы:

  • Разработка состава технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы
  • Реализация технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы
  • Контроль применения технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы

Первый дефис сам просится в предыдущий раздел, но ему и здесь вполне уместно быть. Давайте вспомним, о чем здесь идет речь.

В соответствии с ГОСТ 57580.1-2017 в базовый набор мер входят такие направления деятельности по защите информации:

  • Обеспечение защиты информации при управлении доступом
  • Обеспечение защиты вычислительных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Защита от вредоносного кода
  • Предотвращение утечек информации
  • Управление инцидентами защиты информации
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
  • Управление системой ИБ
  • Контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС

Трудовые функции охватывают в разной степени эти направления (рисунок 4).

Рисунок 4. Диаграмма охвата базового набора мер

 

РЕЗЮМЕ

Можно было бы и дальше продолжить подобное рассмотрение. Каждый это может попробовать сделать сам для себя.Я бы отметил еще один момент, который бросается в глаза. Создается впечатление, что этот документ ориентирован в первую очередь на Банк России и очень крупные банки, и он совершенно не учитывает специфику работы малых и средних банков, хотя и предназначен для всех организаций кредитно-финансовой сферы.

***

Тем не менее, при всех шероховатостях, упомянутых выше, такой документ представляется очень нужным для формирования информационной безопасности как полноценной отрасли.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных