«Прочитал с пристрастием, и кое-что нашел…»

25/05/2020

Поговорим о Профстандарте «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».

В 2018 году я уже писал на тему профессиональных стандартов и программ обучения специалистов по ИБ. Тогда завершение статьи было весьма приподнятое:

«Благодаря стандарту специальности мы знаем, кто мы есть.

Благодаря стандарту образования мы знаем, как нас надо готовить.

Благодаря обоим стандартам у нас есть, куда еще развиваться».

И вот новый Стандарт: «Специалист по информационной (кибер) безопасности в кредитно-финансовой сфере».

 

ПЕРВАЯ И ВТОРАЯ РЕАКЦИЯ

Первая реакция: УРА! Процесс идет, и это не может не радовать.

Первое впечатление: стандарт описывает примерно от 20 до 60% необходимых трудовых функций для обеспечения ИБ-организаций кредитно-финансовой сферы, документ проработанный, целостный, и, безусловно, является существенным шагом вперед в области стандартизации профессиональной деятельности в нашей не простой области.

Макет стандарта выполнен в полном соответствии с принятыми требованиями к таким документам, разделы проработаны, охват реальных потребностей довольно высок, описание трудовых действий могут быть положены в основу учебных программ и курсов, описания видов трудовой деятельности, единиц профессионального стандарта (трудовые функции, трудовые действия, необходимые знания и умения) разработаны с учетом квалификационных уровней. Во всем документе чувствуется рука специалистов по ИБ с практическим опытом.

Спасибо разработчикам.

Вместе с тем, вторая реакция после углубленного прочтения более сложная: есть много чего, над чем надо поработать.

 

ПРО БАЗОВЫЕ ОРИЕНТИРЫ

Начнем прямо с первых абзацев. Цитирую:

«Основная цель вида профессиональной деятельности:

Организация и обеспечение системы информационной безопасности в кредитно-финансовой сфере; реализация процессов информационной безопасности при осуществлении банковских и финансовых операций; проведение контроля состояния информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы»

Прочитал и призадумался. А тому ли я учу наше молодое пополнение?Нас самих учили, что есть три понятия: Система информационной безопасности как совокупность организационных мер, Система менеджмента информационной безопасности как подсистема управления (менеджмента) организации в части информационной безопасности, и, наконец, Система обеспечения информационной безопасности, которая объединяет первые две. На рисунке 1 я попытался изобразить это более наглядно.

Рисунок 1.  СОИБ=СИБ+СУИБ

 

После этого возникает вопрос: а о чем идет речь в новом Стандарте? Похоже, авторам документа необходимо еще раз внимательно перечитать свои определения.

 

ПРО ТРУДОВЫЕ ФУНКЦИИ

Читаем дальше. Может, я сразу не всё понял и пойму через «Описание трудовых функций, входящих в профессиональный стандарт».

Описание начинается с «Методологического обеспечения информационной безопасности в организациях кредитно-финансовой сферы».

О, Радость! Это именно то, чего не хватает в 75% организаций кредитно-финансовой сферы. Теперь мы узнаем, какие должны быть специалисты по методологии ИБ!

  • Методологическое обеспечение управления риском реализации информационных угроз в организациях кредитно-финансовой сферы
  • Методологическое обеспечение защиты информации организаций кредитной-финансовой сферы
  • Методологическое обеспечение защиты информации для непрерывности выполнения бизнес- и технологических процессов организаций кредитно-финансовой сферы
  • Методологическое обеспечение управления риском реализации информационных угроз при аутсорсинге и использовании сторонних информационных сервисов в организациях кредитно-финансовой сферы

Ну… Наверное, такие знания специалистам по ИБ нужны. Но выделить хотя бы одну штатную единицу на это все сразу я точно не смогу. Это просто небольшая часть повседневной работы примерно 0,25 штатной единицы.

Вспомним цикл Деминга в редакции ГОСТ Р ИСО/МЭК 27001-2006 (рисунок 2).

Рисунок 2.  Цикл Деминга

 

Сложить Цикл и раздел «Методологическое обеспечение» в единую систему у меня не получилось.

 

ПРО СООТВЕТСТВИЕ ПОТРЕБНОСТЯМ

Слова про процессное управление, разработку состава и структуры нормативно-распорядительной документации, основы поддержки актуальности этого самого методологического обеспечения, методологическую поддержку оценки эффективности обеспечения информационной безопасности на основе оценки риска информационной безопасности нашлись лишь в одном пункте Трудовых действий, на задворках, так сказать. А ведь это и есть основа деятельности руководителя ИБ. Если попробовать сделать экспертную оценку соответствия всех трудовых действий для функции Методологическое обеспечение защиты информации организаций кредитной-финансовой сферы с реальными потребностями малого/среднего (после 70) банка, получится вот такая диаграмма (рисунок 3).

Рисунок 3. Диаграмма соответствия трудовых действий потребностям

 

ПРО ДРУГИЕ СООТВЕТСТВИЯ

Идем дальше.

Реализация процессов информационной безопасности в информационной инфраструктуре организаций кредитно-финансовой сферы:

  • Разработка состава технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы
  • Реализация технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы
  • Контроль применения технологических мер защиты информации при реализации основных бизнес и технологических процессов организаций кредитно-финансовой сферы

Первый дефис сам просится в предыдущий раздел, но ему и здесь вполне уместно быть. Давайте вспомним, о чем здесь идет речь.

В соответствии с ГОСТ 57580.1-2017 в базовый набор мер входят такие направления деятельности по защите информации:

  • Обеспечение защиты информации при управлении доступом
  • Обеспечение защиты вычислительных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Защита от вредоносного кода
  • Предотвращение утечек информации
  • Управление инцидентами защиты информации
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
  • Управление системой ИБ
  • Контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС

Трудовые функции охватывают в разной степени эти направления (рисунок 4).

Рисунок 4. Диаграмма охвата базового набора мер

 

РЕЗЮМЕ

Можно было бы и дальше продолжить подобное рассмотрение. Каждый это может попробовать сделать сам для себя.Я бы отметил еще один момент, который бросается в глаза. Создается впечатление, что этот документ ориентирован в первую очередь на Банк России и очень крупные банки, и он совершенно не учитывает специфику работы малых и средних банков, хотя и предназначен для всех организаций кредитно-финансовой сферы.

***

Тем не менее, при всех шероховатостях, упомянутых выше, такой документ представляется очень нужным для формирования информационной безопасности как полноценной отрасли.

Смотрите также

Скованные одной цепью. От отдельных уязвимостей к блокированию маршрутов атак

Подробнее

Между молотом и наковальней. Три взгляда: пользователя, государства, создателя

Подробнее

ЦБ не нужны фиктивные соответствия. О чём на самом деле говорит регулятор в 683-П

Подробнее

От кариеса до пульпита. Заметки безопасника

Подробнее

Приказано слушать. Документы о подслушивании противника во фронтовых условиях

Подробнее