13 апреля, 2012, BIS Journal №2(5)/2012

Признания молодого специалиста


Гончарова Татьяна

Специалист отдела информационной безопасности (ООО «КБ «МЕЖТРАСТБАНК»)

Чтобы защищать банковскую информацию, нужно научиться работать не только с «железом» и «софтом», но также с документами и персоналом

Каким предметам во время обучения нужно уделять повышенное внимание, во многом зависит от того, где студент по окончании вуза собирается работать и в каком качестве себя видит. Но невозможно умозрительно угадать, как и в какой степени будут применяться на работе получаемые знания, умения и навыки. Чтобы сделать учёбу более эффективной, с особенностями будущей профессии лучше знакомиться ещё на студенческой скамье. В том числе и тем, кто получает высшее образование по специальностям, связанным с защитой информации.

ДОУЧИВАТЬСЯ ЗАБЛАГОВРЕМЕННО

Хотя это было не так давно, сейчас трудно вспомнить, как именно я представляла себе будущую профессию, когда выбирала в вузе учебную специализацию − кафедру «Информационная безопасность». Красивое название, ореол загадочности… Многие мои товарищи по учебной группе думали, что им предстоит научиться искусно разбираться в «железе», писать сложные коды, выявляющие вирусы. Но оказалось, что это только частные умения и навыки, связанные с защитой информации. Конкретный перечень того, что нужно знать и уметь, определяется должностными обязанностями на будущем месте работы. Учиться таким дополнительным умениям лучше заблаговременно.

Мне довелось работать в банке, и пришлось примерять полученные в вузе знания к особенностям обеспечения информационной безопасности банков. В наши дни информатизация и компьютеризация затронула почти все сферы человеческой деятельности, в том числе кредитно-финансовые организации. Внедрение автоматизированных систем обработки и передачи данных в банковском секторе сопровождается многократным возрастанием информационных рисков.

Главной задачей банковских подразделений, обеспечивающих информационную безопасность, является минимизация рисков − вероятности реализации возможных угроз. Для проведения оценки рисков необходимо установить, что защищать − классифицировать активы, от кого − определить модель нарушителей, от чего − построить модель угроз. Далее анализируется вероятность угроз и возможные последствия её осуществления, для чего используется база инцидентов за значительный промежуток времени. Затем принимаются технические и организационные меры для минимизации рисков.

В качестве мер по уменьшению рисков информационной безопасности могут быть использованы такие технические и программные средства как межсетевые экраны, антивирусы, системы обнаружения вторжений, журналирования и учета. Но полагаться только на них недостаточно, важную роль выполняют организационные мероприятия: ввод политик и положений информационной безопасности, которые регламентируют деятельность банка.

ИНФОРМИРОВАТЬ И КОНТРОЛИРОВАТЬ ПЕРСОНАЛ

По статистике, значительная доля нарушений совершается сотрудниками организации, чаще всего по незнанию или невнимательности. Поэтому специалист по информационной безопасности должен регулярно общаться с другими сотрудниками, информировать об особенностях процессов информационной защиты в банке, тем самым повышая корпоративную культуру.

Особенно важной функцией является обучение сотрудников различным аспектам информационной безопасности. Они должны быть заинтересованы соблюдать требования к защите информации, осознавая возможный ущерб и меру собственной ответственности. Инциденты выявляются постоянным мониторингом, контролем доступа, которые помогают выявить намеренные нарушения.

Выполняя служебные обязанности, специалисту подразделения информационной безопасности приходится взаимодействовать со всеми структурными подразделениями организации. Для этого требуется понимание, как функционирует бизнес в целом, какие задачи выполняет каждое подразделение, какой информацией оперирует.

Именно этому приходится учиться молодому специалисту, приходящему на работу в организацию. В банковской организации специалисту по информационной безопасности предстоит обязательное изучение актуальных для отрасли законов, нормативно-правовой базы, стандартов и регламентирующих документов государственных регуляторов.

УМЕТЬ РАБОТАТЬ С ДОКУМЕНТАЦИЕЙ

Эта деятельность регулируется сразу несколькими ведомствами. В первую очередь должен быть проработан Комплекс БР ИББС − несколько взаимосвязанных документов в области, стандартизирующих обеспечение информационной безопасности организаций банковской системы России, разработанных Банком России. Основополагающим документом Комплекса является Стандарт банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности  организаций банковской системы Российской Федерации. Общие положения», в котором формулируются основные требования к системе обеспечения информационной безопасности.

Комплекс БР ИББС также включает рекомендации, детализирующие требования стандарта по различным направлениям, в том числе к составлению документации, проведению самооценки − определению степени соответствия требованиям стандарта, проводимой собственными силами, оценке рисков и обработке персональных данных. Хотя Комплекс БР ИББС является рекомендательным, многие банки принимают его как обязательный для исполнения, тем самым применяя квинтэссенцию лучших практик информационной безопасности.

Поскольку в настоящее время почти все банки предлагают клиентам дистанционное банковское обслуживание, где безопасность платежей клиентов обеспечивается криптографией, ещё одним регулятором защиты банковской информации является ФСБ России. Следовательно, специалисту необходимо знать требования закона №63-ФЗ от 06 апреля 2011 года «Об электронной подписи», инструкции ФАПСИ, в том числе № 152. Ещё один государственный регулятор, Роскомнадзор, осуществляет надзор за обязательным для банков выполнением требований закона №152-ФЗ от 26 июля 2006 года «О персональных данных» со всеми последующими поправками.

БЫТЬ В КУРСЕ НОВОГО

Лучшие вузы, ведущие обучение специальностям, связанным с защитой информации, дают студенту хорошую теоретическую базу, учат творчески мыслить. Широкий круг учебных предметов открывает богатые возможности выбора места работы и специализации, профессионального роста и повышения квалификации. Но главная трудность для вчерашнего выпускника, а ныне молодого специалиста − нехватка практических навыков и понимания, как функционирует организация в целом и в важных мелочах. Чтобы быстрее стать полноценным сотрудником, лучше ещё студентом читать литературу о структуре и функциях бизнеса, в котором хочется работать. Уметь находить информацию об особенностях технических решений, используемых в отрасли, знакомиться с порядком их применения.

Студенту важно научиться хорошо разбираться в сетевых технологиях, средствах технической защиты, использовании средств мониторинга, организации контроля правильности настройки межсетевых экранов, ведении анализа журналов, сбора базы инцидентов и прочих смежных вопросах защиты компьютерной информации.

Но чтобы претендовать на должность администратора информационной безопасности, нужно также уметь разрабатывать регламентирующие документы, доводить их до сотрудников, контролировать понимание и исполнение. Для этого необходимо хорошо ориентироваться в терминологии, знать законодательство, нормативно-правовую базу и регламентирующие документы государственных регуляторов.

Важно быть в курсе текущих тенденций, отслеживать новшества: проходящие деловые мероприятия, свежие публикации по информационной безопасности в целом и по банковской деятельности. Желательно лично участвовать в конференциях и семинарах по информационной безопасности, посещать профильные выставки. Так можно быть в курсе предлагаемых услуг и средств защиты, знакомиться с компетентными мнениями и практикой лучших специалистов.

В каком месте и кем ни пришлось бы работать молодому специалисту, недостаток специальных знаний и практических навыков поначалу не является критичным. Главное, чтобы работодатель увидел желание кандидата работать в его организации, умение выстраивать отношения в коллективе и стремление профессионально расти. Знания, необходимые настоящему специалисту, можно наработать со временем.

 

Смотрите также

Активная защита ДБО

15 декабря, 2011

Презумпция вины

28 ноября, 2011
Подпишись на новости!
Подписаться