Утвержденный в России профессиональный стандарт для специалистов по информационной безопасности в финансовой сфере содержит рекомендации об уровне образования, опыте работы, перечне знаний, умений и навыков. Такой приказ Министерства труда и соцзащиты опубликован на официальном правовом портале. Эксперты оценивают появление профстандарта как первый шаг к установлению общих незыблемых правил в системе информбезопасности, однако сомневаются, что его рекомендательный характер позволит оперативно дисциплинировать банки.
Настраивать и тестировать
Документ, о необходимости которого говорили последние лет десять, Банк России разработал совместно с Федеральным учебно-методическим объединением по информационной безопасности. В дальнейшем на его основе сформируют образовательные программы по информационной безопасности в кредитно-финансовой сфере, сообщается на сайте регулятора. Стандарт вступит в силу с 1 сентября 2023 года.
В ЦБ подчеркнули, что утвержденный свод правил — это первый в своем роде документ, описывающий требования к специалистам по управлению рисками информационной безопасности, обеспечению защиты информации и операционной надежности в финансовых институтах. Стандарт учитывает несколько категорий специалистов по безопасности, включая инженера по защите информации и инженера-программиста. Таким сотрудникам банков достаточно иметь корочки бакалавра в области информбезопасности, а тем, кто отвечает за управление инцидентами информационной безопасности, необходим уже специалитет или магистратура.
В документе четко описываются компетенции таких специалистов. К примеру, в обязанности инженеров входит установка и монтаж защитных электронных систем, в том числе средств криптографической защиты. Они должны уметь не только их настраивать, но и проводить испытания оборудования и программного обеспечения и устранять выявленные недостатки.
А вот администраторы систем и средств защиты информации должны уметь управлять правами пользователей и антивирусной защитой операционных систем плюс обладать навыками оценки угроз кибербезопасности и уметь настраивать базы данных, а также прикладное программное обеспечение кредитных организаций.
Не панацея
Поможет ли профстандарт в борьбе с кибермошенниками, пока сказать трудно, важнее другое — в сфере информбезопасности банков появляется некая опора, от которой можно отталкиваться, считает заведующий кафедрой информационной безопасности Высшей школы экономики Александр Баранов. «Есть некоторая отправная точка, на которую можно ориентироваться. Этим стандарт всегда хорош. Но, к сожалению, у нас сейчас стандарты необязательны к исполнению, кроме некоторых случаев, которые предусмотрены законодательством. В данном случае, конечно, стандарт для сотрудников информбезопасности банков — это все-таки некий ориентир. Хотя при проверках, видимо, Центробанк будет учитывать исполнение этого стандарта», — уточнил он.
И если не появится приказ регулятора, который обяжет кредитные организации соблюдать стандарт, то ожидать быстрых сдвигов не приходится.
«Я думаю, что такой приказ вряд ли появится. Тем не менее считаю, что это полезная вещь. Ведь всякая фиксация направлений информационной безопасности полезна. Достаточно ли будет этого для того или иного банка и не будет ли это избыточно, это будут уже решать конкретные банки в зависимости от тех систем, которые используют», — сказал Баранов.
Но при всей полезности нововведения оно вряд ли окажет решающее воздействие на состояние систем информбезопасности в банковской сфере, добавил он.
С другой стороны, без профстандарта рассчитывать на появление высококвалифицированных специалистов в области информбезопасности вряд ли можно рассчитывать, уверен ведущий аналитик Эльдар Муртазин. «Пока это первые шаги, но они в правильном направлении. Потому что появление таких стандартов позволит оценивать, насколько коммерческий банк прикладывает или не прикладывает усилия, чтобы защитить информацию клиентов. Параллельно принимаются законы, направленные на защиту персональных данных, в том числе на защиту от автодозвона, спама и мошенников. Это разные законы и меры, но в комплексе они позволят снизить накал, который был последние два года. А с другой стороны, это автоматически приводит к тому, что образованность людей, работающих в этой сфере, вырастет», — пояснил эксперт «Парламентской газете».
Наши спецы и так лучшие
Эта образованность уже сейчас реально растет в ведущих вузах на кафедрах информационной безопасности, уверен эксперт в области кибербезопасности Александр Власов. «Специалистов готовят, программы есть и очень хорошие профессора преподают и в МИФИ, и МВТУ имени Баумана. Причем, что ценно, эти люди, даже те, кто руководит кафедрами, работают сами в различных структурах. То есть не просто так говорят, а учат молодежь на конкретных примерах, как нужно бороться с угрозами», — отметил эксперт.
По словам Власова, российские специалисты по кибербезопасности сегодня считаются одними из лучших в мире. «Надо особо отметить, что Россия — это одна из немногих стран, у которых есть собственная школа криптографии, собственная школа защиты информации и, кстати, собственные хакеры, откровенно говоря, неплохие. Смех смехом, но, между прочим, для тестирования всех систем защиты нужны так называемые белые хакеры, которые будут искать уязвимости и показывать разработчикам, где они что упустили», — сказал эксперт.
В то же время даже отечественные черные хакеры, добавил он, блюдут некий негласный кодекс, согласно которому нельзя обращать во зло своей стране полученные в российских вузах уникальные знания.
С тем, что стандартизация всегда лучше, чем ее отсутствие, особенно в такой сфере, как кибербезопасность, согласен и председатель совета Фонда развития цифровой экономики Герман Клименко. Однако эксперт видит пользу в другом: «Это точно поможет с точки зрения мобилизационных историй. У нас же мало существует документов, регламентирующих работу таких специалистов. Кто из них подлежит мобилизации? Про стандартизацию давно говорили, но эта конкретная история поможет по формальным основаниям давать отсрочку. В банках эта проблема стоит остро».