«Прочитал с пристрастием, и кое-что нашел…»

Поговорим о Профстандарте «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».

В 2018 году я уже писал на тему профессиональных стандартов и программ обучения специалистов по ИБ. Тогда завершение статьи было весьма приподнятое:

«Благодаря стандарту специальности мы знаем, кто мы есть.

Благодаря стандарту образования мы знаем, как нас надо готовить.

Благодаря обоим стандартам у нас есть, куда еще развиваться».

И вот новый Стандарт: «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».

 

ПЕРВАЯ И ВТОРАЯ РЕАКЦИЯ

Первая реакция: УРА! Процесс идет, и это не может не радовать.

Первое впечатление: стандарт описывает примерно от 20 до 60% необходимых трудовых функций для обеспечения ИБ-организаций кредитно-финансовой сферы, документ проработанный, целостный, и, безусловно, является существенным шагом вперед в области стандартизации профессиональной деятельности в нашей не простой области.

Макет стандарта выполнен в полном соответствии с принятыми требованиями к таким документам, разделы проработаны, охват реальных потребностей довольно высок, описание трудовых действий могут быть положены в основу учебных программ и курсов, описания видов трудовой деятельности, единиц профессионального стандарта (трудовые функции, трудовые действия, необходимые знания и умения) разработаны с учетом квалификационных уровней. Во всем документе чувствуется рука специалистов по ИБ с практическим опытом.

Спасибо разработчикам.

Вместе с тем, вторая реакция после углубленного прочтения более сложная: есть много чего, над чем надо поработать.

 

ПРО БАЗОВЫЕ ОРИЕНТИРЫ

Начнем прямо с первых абзацев. Цитирую:

«Основная цель вида профессиональной деятельности:

Организация и обеспечение системы информационной безопасности в кредитно-финансовой сфере; реализация процессов информационной безопасности при осуществлении банковских и финансовых операций; проведение контроля состояния информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы»

Прочитал и призадумался. А тому ли я учу наше молодое пополнение?Нас самих учили, что есть три понятия: Система информационной безопасности как совокупность организационных мер, Система менеджмента информационной безопасности как подсистема управления (менеджмента) организации в части информационной безопасности, и, наконец, Система обеспечения информационной безопасности, которая объединяет первые две. На рисунке 1 я попытался изобразить это более наглядно.

Рисунок 1.  СОИБ=СИБ+СУИБ

 

После этого возникает вопрос: а о чем идет речь в новом Стандарте? Похоже, авторам документа необходимо еще раз внимательно перечитать свои определения.

 

ПРО ТРУДОВЫЕ ФУНКЦИИ

Читаем дальше. Может, я сразу не всё понял и пойму через «Описание трудовых функций, входящих в профессиональный стандарт».

Описание начинается с «Методологического обеспечения информационной безопасности в организациях кредитно-финансовой сферы».

О, Радость! Это именно то, чего не хватает в 75% организаций кредитно-финансовой сферы. Теперь мы узнаем, какие должны быть специалисты по методологии ИБ!

  • Методологическое обеспечение управления риском реализации информационных угроз в организациях кредитно-финансовой сферы
  • Методологическое обеспечение защиты информации организаций кредитной-финансовой сферы
  • Методологическое обеспечение защиты информации для непрерывности выполнения бизнес- и технологических процессов организаций кредитно-финансовой сферы
  • Методологическое обеспечение управления риском реализации информационных угроз при аутсорсинге и использовании сторонних информационных сервисов в организациях кредитно-финансовой сферы

Ну… Наверное, такие знания специалистам по ИБ нужны. Но выделить хотя бы одну штатную единицу на это все сразу я точно не смогу. Это просто небольшая часть повседневной работы примерно 0,25 штатной единицы.

Вспомним цикл Деминга в редакции ГОСТ Р ИСО/МЭК 27001-2006 (рисунок 2).

Рисунок 2.  Цикл Деминга

 

Сложить Цикл и раздел «Методологическое обеспечение» в единую систему у меня не получилось.

 

ПРО СООТВЕТСТВИЕ ПОТРЕБНОСТЯМ

Слова про процессное управление, разработку состава и структуры нормативно-распорядительной документации, основы поддержки актуальности этого самого методологического обеспечения, методологическую поддержку оценки эффективности обеспечения информационной безопасности на основе оценки риска информационной безопасности нашлись лишь в одном пункте Трудовых действий, на задворках, так сказать. А ведь это и есть основа деятельности руководителя ИБ. Если попробовать сделать экспертную оценку соответствия всех трудовых действий для функции Методологическое обеспечение защиты информации организаций кредитной-финансовой сферы с реальными потребностями малого/среднего (после 70) банка, получится вот такая диаграмма (рисунок 3).

Рисунок 3. Диаграмма соответствия трудовых действий потребностям

 

ПРО ДРУГИЕ СООТВЕТСТВИЯ

Идем дальше.

Реализация процессов информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы:

  • Разработка состава технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы
  • Реализация технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы
  • Контроль применения технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы

Первый дефис сам просится в предыдущий раздел, но ему и здесь вполне уместно быть. Давайте вспомним, о чем здесь идет речь.

В соответствии с ГОСТ 57580.1-2017 в базовый набор мер входят такие направления деятельности по защите информации:

  • Обеспечение защиты информации при управлении доступом
  • Обеспечение защиты вычислительных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Защита от вредоносного кода
  • Предотвращение утечек информации
  • Управление инцидентами защиты информации
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
  • Управление системой ИБ
  • Контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС

Трудовые функции охватывают в разной степени эти направления (рисунок 4).

Рисунок 4. Диаграмма охвата базового набора мер

 

РЕЗЮМЕ

Можно было бы и дальше продолжить подобное рассмотрение. Каждый это может попробовать сделать сам для себя.Я бы отметил еще один момент, который бросается в глаза. Создается впечатление, что этот документ ориентирован в первую очередь на Банк России и очень крупные банки, и он совершенно не учитывает специфику работы малых и средних банков, хотя и предназначен для всех организаций кредитно-финансовой сферы.

***

Тем не менее, при всех шероховатостях, упомянутых выше, такой документ представляется очень нужным для формирования информационной безопасности как полноценной отрасли.

 

Автор: Василий Окулесский, ОАО "Возрождение"

10.06.2020

Смотрите также:

Мы все учились понемногу… Эссе на тему статьи В.А. Окулесского «Прочитал с пристрастием, и кое-что нашел…»

Прочитал статью уважаемого Автора. Прочитал и призадумался. Начать полемику? Да вроде и не с чем. Это твердая позиция Автора. Правильная она или нет? Не знаю, это позиция преподавателя. Спорить с преподавателем? Зачем. Поэтому решил просто высказать свою точку зрения. Так сказать, взгляд с другой стороны.
11.06.2020

Действовать по всем направлениям

Одной из самых обсуждаемых тем в сфере информационной безопасности в течение последних двух лет является острая нехватка квалифицированных специалистов. Данная проблема актуальна как для государственных структур, так и для коммерческих организаций.
05.06.2020

Создавать, чтобы использовать

Одной из самых обсуждаемых тем в сфере информационной безопасности в течение последних двух лет является острая нехватка квалифицированных специалистов. Данная проблема актуальна как для государственных структур, так и для коммерческих организаций.
04.06.2020

Бритва Оккама и ИБ

Дежурный тезис ИБ-евангелистов в последние год-два – утверждение о том, что отрасль ИБ должна черпать свои кадровые резервы из сферы ИТ, а путь специализированного ИБ-образования – путь ложный. Удивительно, однако, что эта истина часто подаётся как откровение. Ведь подобный подход соответствует и здравому смыслу, и традициям инженерной культуры.
29.05.2020

«В теории нет разницы между теорией и практикой. А на практике есть»

НТЦ «Вулкан» представил свою методику киберучений.
17.06.2019