В пояснительной записке к ведомственному акту указывается, что становится все более очевидной необходимость гармонизации многосторонних представлений о профессии специалиста информационной безопасности в кредитно-финансовой сфере и ее функциональных особенностях посредством принятия документа в статусе профессионального стандарта.
Основной целью вида профессиональной деятельности является управление рисками информационной безопасности, обеспечение защиты информации, операционной надежности (киберустойчивости) в организациях кредитно-финансовой сферы.
Основными задачами профессиональной деятельности являются управление инцидентами информационной безопасности в организациях кредитно-финансовой сферы, контроль обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях кредитно-финансовой сферы. Также к важным задачам относятся методологическое обеспечение процессов информационной безопасности в организациях кредитно-финансовой сферы, аналитическое сопровождение деятельности по управлению рисками информационной безопасности в организациях кредитно-финансовой сферы и организация процессов обеспечения информационной безопасности в организациях кредитно-финансовой сферы.
Руководитель отдела аналитики "СёрчИнформ" Алексей Парфентьев отмечает, что представители банковской отрасли говорили о необходимости введения профстандарта. Это хоть и не исчерпывающий документ и априори не может идеально поспевать за изменениями в отрасли, но дает ориентиры как для представителей профессии, так и для работодателей, считает Алексей Парфентьев. Иначе банкам сложно оценить квалификацию специалистов.
То, что стандарт учитывает требования ЦБ и новые понятия, связанные с КИИ, показывает, что у разработчиков стоит задача сделать его актуальным, отмечает Алексей Парфентьев. Кроме того, стандарт выстроен вокруг передового рискового подхода, что я полностью поддерживаю. Другое дело снова вижу, что вопрос инсайдерских рисков не отражен в числе требований по обеспечению киберустойчивости. Это вызывает озабоченность, т.к. риски внутренней безопасности остаются самыми опасными для банков.
"Отрасль испытывает очень большой кадровый голод. Недавно мы проводили банковскую конференцию, где собрались представители крупнейших организаций, – все говорят о большом дефиците специалистов. И это при том, что банки платежеспособны и могут позволить себе нанять в штат ИБ-специалистов, найти их в достаточном количестве у них не получается. На ситуацию влияет пандемия, которая сделала удаленку привычным делом. Если раньше условный ИБ-специалист в Пензе мог работать только на родине, сейчас – где угодно в России и даже за рубежом, если позволяет знание языков. Проблему также усугубляет то, что в отрасли ужесточаются требования регуляторов, банки стали объектами КИИ, обязаны отчитываться перед НЦКИ, ФСБ, ЦБ – работы прибавилось, тогда как и так рабочих рук не хватало", - подчеркивает Алексей Парфентьев.
Проблему нужно решать изменением образовательных программ, и в процесс обучения обязательно должны быть включены ИТ-компании, чтобы сокращать оторванность вузов от реальной жизни, считает Алексей Парфентьев. Так, к слову, больше шансов, что в профессии задержится больше вчерашних студентов.
Руководитель блока специальных сервисов infosecurity a Softline company Сергей Трухачев отмечает, что Сама по себе идея введения такого профстандарта весьма неплоха. Учреждения кредитно-финановой сферы всегда находятся под ударом, при этом реальный уровень информационной безопасности во многих из них оставляет желать лучшего.
"Сказывается и нехватка квалифицированных кадров, ведь реально хороший специалист в области ИБ – это не тот, кто получил образование, а тот, кто имеет опыт и непрерывно развивается в профессиональном плане; и высокие затраты на ИБ при отсутствии видимого результата. В любом случае, в России сейчас наблюдается нехватка квалифицированных специалистов в данной области, так что готовить их действительно надо", - подчеркивает Сергей Трухачев.
Старший консультант по информационной безопасности "Т1 Интеграция" Роман Романов считает, что новый профстандарт актуален: он позволит навести порядок в крайне востребованной сегодня сфере, помогая не только регуляторам данной сферы, но и организациям (участникам кредитно-финансовой сферы), их руководителям, кадровым службам и самим специалистам по информационной безопасности. Этот стандарт даст всем более полное понимание тех проблем, которые стоят перед специалистами по ИБ в кредитно-финансовой сфере.
"В первую очередь стоит отметить несомненную пользу, которую принесет этот стандарт. Конечно, чувствуется направленность документа, в первую очередь, на работу с инцидентами информационной безопасности. Однако такой акцент не только соответствует позиции Центробанка, но и является общегосударственной и даже международной тенденцией. На мой взгляд, стандарту не хватает внимания к такой функции, важной для кредитно-финансовой отрасли, как криптографическая защита. К сильным сторонам стандарта можно отнести темы управления рисками и методологического обеспечения", - отмечает Роман Романов.
В основном проблемы в кредитно-финансовой сфере больше связаны не со специалистами по информационной безопасности, а со стандартизацией их деятельности, подчеркивает Роман Романов. Именно поэтому новый стандарт является необходимой частью той планомерной работы, которую в этом направлении проводит Банк России.
Директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов на данный момент выделяет пять открытых профессиональных стандартов в сфере информационной безопасности (ИБ). Четыре из них относятся к видам профессиональной деятельности, связанным с обеспечением безопасности информации в автоматизированных системах, телекоммуникационных системах и сетях, с технической защитой информации, пятый относится к автоматизации информационно-аналитической деятельности в сфере безопасности.
"Новый стандарт разработан не просто для специалистов по информационной безопасности, он, одновременно, специализирован в конкретной – кредитно-финансовой сфере, регулятором которой является Банк России. В нем отражены не только функции защиты информации и управления рисками ИБ, но и обеспечения операционной надежности, впервые для ПС применяется понятие "киберустойчивость". Стандарт гармонизирован с нормативными и методическими документами Банка России.
Считаю, что это важный шаг в укреплении безопасности критической информационной инфраструктуры России, база для разработки профессиональных образовательных стандартов, программ повышения квалификации и переподготовки", - считает Михаил Смирнов.
Елизавета Неупокоева