Кадры по новым стандартам
Проблема нехватки кадров в области информационной безопасности характерна не только для коммерческих организаций. Даже Банк России испытывает определенные трудности в подборе квалифицированных сотрудников, которые могут работать по направлению обеспечения ИБ. С аналогичной проблемой сталкиваются и кредитно-финансовые организации. В связи с этим по инициативе и при участии Банка России создаются базовые программы для обучения и переподготовки специалистов в области обеспечения информационной безопасности организаций кредитно-финансовой сферы.
Социологические опросы показали, что проблема нехватки квалифицированных кадров в сфере информационной безопасности характерна для многих организаций кредитно-финансовой сферы (КФС). Перед Банком России встал вопрос, какие организационные мероприятия необходимо предпринять, чтобы создать условия для стабильного воспроизводства таких специалистов в нашей стране?
НЕОБХОДИМО, НО НЕДОСТАТОЧНО
В апреле 2016 г. подразделения Главного управления безопасности и защиты информации Банка России (ГУБиЗИ) начали разработку рекомендаций в области стандартизации, которые представляют собой квалификационные требования к специалистам по информационной безопасности организаций КФС. Эти рекомендации были разработаны и не раз рассматривались на подкомитете «Безопасность финансовых (банковских) операций» Технического комитета по стандартизации «Стандарты финансовых операций» (ТК122).
Осенью прошлого года проект рекомендаций РС БР ИББС-2.Х-20ХХ «Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации» был готов. Однако по итогам взаимодействия с разными сторонами, в т.ч. с уполномоченными органами в области образования, мы поняли, что этого документа для массового появления специалистов в области ИБ будет недостаточно. И было принято решение о разработке программы профессиональной переподготовки кадров на базе подготовленных ранее рекомендаций. Сейчас ведется активная работа по подготовке такой программы.
ПО СХЕМЕ ФСТЭК
Вопросы образования в области защиты информации курирует уполномоченный орган - Федеральная служба по техническому экспортному контролю (ФСТЭК). Указанный федеральный орган исполнительной власти разрабатывает примерные программы профессиональной переподготовки в определенной сфере, эти программы согласовываются, получают статус во ФСТЭК России, после чего на базе этих примерных программ конкретные учебные заведения разрабатывают свои программы профессиональной переподготовки. Которые в свою очередь проходят процесс согласования в ФСТЭК и, наконец, становятся основой для обучения слушателей.
Исходя из такой практики, мы решили сначала разработать «Примерную программу профессиональной переподготовки кадров», первая редакция которой будет готова в апреле этого года. После придания программе официального статуса мы планируем до конца 2017 г. (совместно с кадровым подразделением Банка России и при участии учебных заведений) организовать обучение слушателей на курсах, созданных на основе «Примерной программы профессиональной переподготовки кадров».
СПЕЦИФИКА КФС. СУТЬ ПРОГРАММЫ
При создании любой учебной программы возникает вопрос: чему учить будущих высококвалифицированных специалистов? Поскольку наша программа разрабатывается на базе рекомендательных документов ФСТЭК и в будущем должна быть согласована с этим ведомством, мы, безусловно, следуем его рекомендациям.
Мы вводим новый вид профессиональной деятельности – «Обеспечение информационной безопасности в кредитно-финансовой сфере». Поскольку мы готовим программу переподготовки, ее продолжительность должна быть не менее 500 часов. Если говорить о содержательной части программы, то в рамках курса есть такое понятие - объекты профессиональной деятельности. Мы полагаем, что учить специалистов в сфере обеспечения ИБ следует в рамках бизнес- и технологических процессов организаций КФС. В том числе, в рамках процесса перевода денежных средств. Усилия специалистов, которые будут учиться по новой программе, должны быть направлены на объект информационной инфраструктуры организации КФС, включая автоматизированные системы и учитывая реализацию бизнес- и технологических процессов Банка России.
Работа специалиста по ИБ в КФС должна основываться на знании действующего законодательства и нормативно-правовых актов Российской Федерации, в т.ч. нормативных актов и требований Банка России, стандартов и других документов в области стандартизации. Прошедшие переподготовку специалисты должны обладать необходимыми навыками и умениями, чтобы обеспечить реализацию процессов обеспечения ИБ, обеспечить применение средств и систем защиты информации применительно к объекту информационной инфраструктуры.
КТО БУДЕТ УЧИТЬСЯ?
Любая переподготовка кадров ведется на основе базового образования. Кто те специалисты, которые, как я полагаю, могут обучаться по новой программе? Это люди, которые получили высшее профессиональное образование по следующим направлениям:
- специалисты в области защиты информации;
- специалисты в различных областях информационных технологий IT;
- обладатели военных специальностей, которые связаны с организацией мероприятий по защите информации или использованием вычислительных сетей.
ЧЕМУ? ДВА ПОДХОДА
Согласно регламентирующим документам ФСТЭК России, на которые опирается ГУБиЗИ при создании программы переподготовки, все виды профессиональной деятельности делятся на организационно-управленческую, проектную и эксплуатационную. В документах Банка России, в т.ч. в рекомендациях по ресурсному обеспечению, используется несколько иной подход. Мы рассматриваем вопросы методологии, реализации сопровождения и контроля. Поэтому в программе переподготовки кадров мы попробуем совместить и отразить оба подхода.
В части организационно-управленческой методологической деятельности подготовленный специалист должен обладать знаниями, навыками и умениями в следующих областях:
- организация и контроль работы службы ИБ организации КФС;
- установление и контроль целей ИБ;
- управление рисками ИБ организации КФС;
- вопросы ресурсного обеспечения ИБ;
- управление проектами и договорная деятельность;
- планирование и реализация контроля совершенствования процессов обеспечения ИБ;
- организация взаимодействия с причастными сторонами (что очень важно с точки зрения обеспечения киберустойчивости);
- назначение и управление ролями, связанными с обеспечением ИБ, и повышение осведомленности персонала и причастных лиц и клиентов организаций КФС.
Следующий блок вопросов - проектная деятельность, которая в первую очередь решает вопросы реализации сопровождения и обеспечения ИБ. Сюда входят:
- концептуальное, архитектурное и техническое проектирование реализации процессов обеспечения ИБ в информационной инфраструктуре организаций КФС;
- установка функционально-технических требований к средствам систем обеспечения ИБ;
- выбор средств и систем обеспечения ИБ для применения в рамках процессов обеспечения ИБ;
- контроль реализации средств и систем обеспечения ИБ в информационной структуре организации КФС;
- контроль обеспечения информационной безопасности на этапах жизненного цикла автоматизированных систем.
И последний блок вопросов - эксплуатационная деятельность. В терминологии Банка России – это контроль и совершенствование обеспечения ИБ:
- обеспечение комплаенс-контроля, в первую очередь, на соответствие законодательству и отраслевым и перспективным национальным стандартам;
- организация и реализация контроля защищенности;
- оперативный мониторинг, обнаружение вторжений и сетевых атак;
- управление инцидентами ИБ, взаимодействие с подразделением ФинЦЕРТ Банка России, сбор и обработка технических данных, связанных с инцидентами, взаимодействие с правоохранительными органами (форензика);
- организация проведения самооценок и внешних аудитов ИБ.
КЛЮЧЕВЫЕ ПРОЦЕССЫ
Если говорить о тех ключевых процессах обеспечения ИБ, которым будут обучаться новые кадры, то это вопросы:
- обеспечения защиты информации при управлении доступом;
- обеспечения защиты вычислительных сетей;
- контроля целостности и защищенности информационной инфраструктуры;
- обеспечения защиты от воздействия вредоносного кода;
- предотвращения утечек информации, защита машинных носителей информации;
- менеджмента инцидентов защиты информации;
- защиты среды виртуализации;
- защиты информации при осуществлении логического доступа с использованием мобильных (переносных) устройств.
Эти процессы подробно отражены в новом национальном стандарте «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации», который планируется ввести в действие в 2017 г.
Все ключевые процессы обеспечения ИБ мы предполагаем выстроить таким образом, чтобы они не были абстрактными категориями, а оказались четко привязаны к специфике деятельности кредитных организаций, к специфике реализации бизнес-процессов и технологических процессов кредитных организаций, а также к той инфраструктуре, которая эксплуатируется кредитными организациями.
Можно констатировать, что на сегодняшний день задача по созданию условий для воспроизводства необходимого и достаточного количества компетентных специалистов в области обеспечения ИБ в организациях КФС, поставленная перед ГУБиЗИ Банка России, успешно решается, и можно надеяться, будет решена в ближайшие годы.