Как повысить качество подготовки специалистов по информационной безопасности в кредитно-финансовой сфере
ИНТЕРЕСЫ ОТРАСЛИ И ГОСУДАРСТВА
Формируя миссию, цели и ценности Банка России, мы определили в числе первоочередных задач постоянное наращивание профессиональных компетенций наших сотрудников. При этом поддержание высокой квалификации работников Центрального банка – это лишь часть задачи. Не менее важно, на мой взгляд, найти пути взаимодействия с образовательными институтами, которые призваны поднять уровень квалификации специалистов, необходимых финансовому рынку России.
Немаловажно, что при этом в стране завершается формирование национальной системы квалификации, которое включает реализацию следующих задач: обеспечение качества разработки профессиональных стандартов, создание основных и дополнительных программ обучения специалистов профильного рынка, а также реализацию этих программ в ВУЗах и учреждениях дополнительного профессионального образования, организацию системы оценки квалификации.
Пути решения большей части этих задач применительно к направлению «финансы и экономика» нам уже понятны. Мы обсуждали их с профессиональным сообществом - с Ассоциацией участников финансового рынка «Совет по профессиональным квалификациям финансового рынка», с которой Банк России заключил соглашение о сотрудничестве. Тем не менее, в сфере информационной безопасности поиск оптимальных организационных и методических путей подготовки и квалификационной оценки персонала продолжается. Эта тема - одна из ключевых на X Уральском форуме по информационной безопасности финансовой сферы, и мы рассчитываем плотно проработать ее со всеми заинтересованными сторонами.
СТРАННОСТИ ДЕФИЦИТА
По данным Минобрнауки, на обучение в государственные образовательные учреждения по группе специальностей «Информационная безопасность» в 2004 году было принято 4,4 тысячи человек, а в 2015 году – 6,3 тысячи. Рост существенный – 43%. Но недостаточный. По прогнозам, при существующих объёмах подготовки в 2020 году дефицит специалистов по ИБ составит около 20 тысяч человек.
Ощутимы ли предвестники такого дефицита сегодня? Результаты опроса кредитных организаций по теме квалифицированных кадров в сфере информационной безопасности показывают, что «голод» на таких специалистов испытывают около 80% банков. Однако причиной респонденты в половине случаев называют не нехватку специалистов, а их низкую зарплату. А если обратиться к рынку труда и сравнить число вакансий в сфере информбезопасности с числом предлагаемых резюме, то обнаружится разница в два порядка в пользу предложений.
Проблема, очевидно, не в количестве специалистов, а в качестве.
ТРИ СОСТАВЛЯЮЩИХ КАЧЕСТВА ПОДГОТОВКИ
Но что такое качество в этом контексте? Качество подготовки специалистов – это результат объединения как минимум трех составляющих: адекватных требований к квалификации, учебных программ и их реализации, эффективной системы оценки квалификации.
ТРЕБУЕТСЯ НОВЫЙ ПРОФСТАНДАРТ
Сегодня требования к квалификации формулируются в виде профессиональных стандартов. В области информационной безопасности разработаны и утверждены семь таких стандартов:
- Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности;
- Специалист по технической защите информации;
- Специалист по защите информации в телекоммуникационных системах и сетях;
- Специалист по защите информации в автоматизированных системах;
- Специалист по безопасности компьютерных систем и сетей;
- Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак;
- Специалист по противодействию технической разведке.
Это достаточно качественные документы, разработанные ведущими организациями в сфере защиты информации. Но вместе с тем, с нашей точки зрения, для кредитно-финансовой сферы нужен не только технический взгляд на проблемы защиты информации, превалирующий в перечисленных стандартах, но также и взгляд из предметной области – финансовой.
Специалисты по информационной безопасности, работающие в финансовых организациях, сопровождают бизнес - и технологические процессы, напрямую связанные с движением денежных средств, и, безусловно, должны быть серьезно подготовлены в финансово-экономической области. Кроме того, работа специалиста по ИБ в кредитно-финансовой сфере должна основываться на знании действующего законодательства и нормативно-правовых актов, в том числе нормативных актов и требований Банка России.
В таком контексте наши специалисты считают необходимым разработку отдельного, специального профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере». Мы обратились к Ассоциации участников финансового рынка с предложением инициировать его разработку.
Работу над семью вышеперечисленными стандартами организовывал Совет по профессиональным квалификациям в области информационных технологий. Однако мы рассчитываем также на тесное взаимодействие с Советом по профессиональным квалификациям финансового рынка, поскольку полагаем, что в данном пограничном случае центр ответственности должен находиться в поле финансового рынка.
БАЗОВЫЕ ОСНОВАНИЯ
Обеспечение информационной безопасности и противодействие компьютерным атакам на финансовом рынке, в том числе при внедрении и использовании инновационных технологий, являются важными задачами государственного уровня. На сегодняшний день существует два базовых документа в этой сфере - «Доктрина информационной безопасности Российской Федерации» и Программа «Цифровая экономика Российской Федерации».
«Доктрина информационной безопасности Российской Федерации», утвержденная Президентом России в декабре 2016 года, констатирует, что информационные технологии приобрели глобальный трансграничный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Их эффективное применение является фактором ускорения экономического развития государства и формирования информационного общества. Также Доктрина констатирует рост масштабов компьютерной преступности, прежде всего в кредитно-финансовой сфере.
Программа «Цифровая экономика Российской Федерации», утвержденная Правительством России в июле 2017 года, предусматривает обеспечение правовых условий для внедрения и использования инновационных технологий на финансовом рынке, включая совершенствование механизмов предоставления финансовых услуг и обеспечение информационной безопасности.
В соответствии с «Доктриной информационной безопасности» Банк России является органом, входящим в систему обеспечения информационной безопасности Российской Федерации, а финансовые организации определяются в качестве участников системы обеспечения информационной безопасности Российской Федерации.
Принимая во внимание стратегический характер этих документов, а также тематическое разделение экономической и информационной безопасности, Банк России считает, что имеются веские основания для разработки отдельного Стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере.
ВТОРАЯ СОСТАВЛЯЮЩАЯ – ОБРАЗОВАНИЕ
Согласно логике внедрения профессиональных стандартов на их основе должны разрабатываться федеральные государственные образовательные стандарты, а также основные и дополнительные профессиональные образовательные программы.
Сегодня разработаны девять ФГОС по ИБ:
Информационная безопасность;
Компьютерная безопасность;
Информационная безопасность автоматизированных систем;
Информационная безопасность телекоммуникационных систем;
Информационно-аналитические системы безопасности;
Безопасность информационных технологий в правоохранительной сфере;
Криптография;
Противодействие техническим разведкам.
Эти ФГОС утверждались в 2016 году примерно в то же время, что и профессиональные стандарты. Можно предположить, что изначально профессиональные стандарты не были положены в основу образовательных стандартов. Кроме того, известно, что ни в 2016-м, ни в 2017-м году образовательные стандарты не перерабатывались в соответствии с профессиональными. Все это является серьезной недоработкой, поскольку такое соответствие должно быть обеспечено, исходя из целей и непосредственных функций профессиональных стандартов.
ОПЫТ ЕСТЬ
Что можно было бы в такой ситуации сделать образовательным учреждениям, обучающим специалистов по информационной безопасности?
Если обратиться к известному нам опыту Совета по профессиональным квалификациям финансового рынка (СПК ФП), то можно было бы прибегнуть к процедуре профессионально-общественной аккредитации образовательных программ. Не так давно СПК ФР аккредитовал четыре образовательных программы бакалавриата и тринадцать образовательных программ магистратуры для Уральского государственного экономического университета, Финансового университета, Российской академии народного хозяйства и государственной службы, Санкт-Петербургского государственного экономического университета и Санкт-Петербургского государственного университета. Тем самым СПК ФР подтвердил соответствие аккредитованных программ профессиональным стандартам. Насколько нам известно, Совет по профессиональным квалификациям в области информационных технологий такой работы ещё не проводил.
512 ЧАСОВ
Полномочным органом, курирующим вопросы образования в сфере ИБ, является Федеральная служба по техническому и экспортному контролю (ФСТЭК). По сложившейся практике, ФСТЭК организует разработку и утверждение базовых программ профессиональной переподготовки, которые служат основой для рабочих программ обучения в образовательных учреждениях дополнительного профессионального образования.
Имея в виду профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере» и новый вид профессиональной деятельности «Обеспечение информационной безопасности в кредитно-финансовой сфере», Банк России готовит к рассмотрению ФСТЭК и заинтересованными образовательными учреждениями примерную программу профессиональной переподготовки. Её продолжительность 512 часов.
ТРЕТЬЯ СОСТАВЛЯЮЩАЯ – ОЦЕНКА КВАЛИФИКАЦИИ
Завершающее звено системы обеспечения качества специалистов – это оценка квалификации. В стране создаются центры оценки квалификации, которые проводят независимую оценку на основе оценочных средств, разработанных в соответствии с профессиональными стандартами.
Правовой основой системы оценки квалификации является ФЗ-238 от 3 июля 2016 года «О независимой оценке квалификации», в соответствии с которым с 1 июля 2019 года все параллельно существующие системы оценки квалификации, за исключением системы оценки, предусмотренной законом, должны прекратить своё существование.
Банк России сейчас отвечает за работу системы аттестации специалистов финансового рынка. Она заметно отличается от внедряемой системы независимой оценки квалификации, поэтому новации, касающиеся оценки квалификации, не могут нас не беспокоить. Мы ищем пути гармонизации отношений между этими двумя системами, в том числе в рамках Соглашения о сотрудничестве между Банком России и Ассоциацией участников финансового рынка, о котором говорилось выше.
Решая эту задачу, мы принимаем во внимание и вопросы, связанные с аттестацией специалистов по информационной безопасности в кредитно-финансовой сфере. Задача сложная, но время для её решения пришло.