Экспертиза

«Нужные люди». Колонка Анастасии Харыбиной в «Банковском обозрении»

Анастасия Харыбина
директор по комплексным проектам Компании «Актив», директор по развитию AKTIV.CONSULTING

Почти год прошел с того момента, как Банк России направил для голосования и обсуждения экспертами рынка проект профессионального стандарта специалиста ИБ в кредитно-финансовой сфере. В подготовке предложений по документу участвовали члены Технического комитета по стандартизации № 122. Кроме того, сбор рекомендаций по доработке стандарта среди своих членов организовала Ассоциация пользователей стандартов по информационной безопасности АБИСС. После того как документ был передан Банком России на рассмотрение в Минтруд, о нем долгое время ничего не было слышно. Что же сейчас заставило специалистов по ИБ в банках вспомнить о проекте профстандарта и чего они опасаются?

Согласно стандарту, департамент информационной безопасности (ДИБ) Банка России определяет как главную цель профессиональной деятельности специалиста по ИБ в организациях кредитно-финансовой сферы управление рисками информационной безопасности, обеспечение защиты информации и операционной надежности (киберустойчивости). Принципиально новый момент здесь — это наделение ИБ-специалистов обязанностями по управлению рисками. Тем самым регулятор фиксирует в профстандарте свою стратегическую линию, ранее уже реализованную в ряде нормативных актов — внедрение риск-ориентированного подхода и усиление работы по управлению рисками ИБ в финансово-кредитной сфере. Такой подход в качестве ключевого одобряют не все представители банковского сообщества, так как зачастую он противоречит бизнес-потребностям банков, которые в первую очередь являются коммерческими структурами.  

В структуре профстандарта выделяется пять типов специалистов: руководитель, аналитик, методолог, специалист по ИБ и специалист по инцидентам. Документ описывает их функции, необходимые знания и умения, а также требования к образованию и практическому опыту. Так, руководитель ИБ-подразделения в финансово-кредитной сфере должен иметь высшее образование в сфере ИБ или непрофильное высшее плюс допобразование по ИБ (512 часов). При этом он должен обладать не менее чем пятилетним опытом работы в сфере ИБ, из них не менее трех лет — на позиции руководителя. Профильное образование по ИБ должны также иметь все остальные перечисленные выше специалисты ИБ-подразделения. Как раз в этих требованиях и  кроется причина жарких обсуждений в профессиональном банковском сообществе последние недели. Катализатором стал направленный банкам запрос ЦБ относительно потребности до 2027 года в специалистах в области ИБ. Как пишет «Коммерсант», проведенный редакцией опрос банков показал, что сегодня только треть сотрудников, обеспечивающих кибербезопасность финансовой сферы, имеют профильное образование. Профессионалы отрасли утверждают, что высшее профильное образование в данном случае не так важно, в отличие от опыта работы, а о качестве современного образования в области ИБ отзываются весьма критически. 

Любой профстандарт после своего утверждения предполагает появление образовательного стандарта, который, в свою очередь, влияет на появление новых специальностей и образовательных программ в высших учебных заведениях. А это значит, что в перспективе принятие профстандарта специалиста по ИБ в кредитно-финансовой сфере должно помочь устранить кадровый голод за счет подготовки в вузах специализированных кадров. Но парадокс состоит в том, что этот положительный эффект носит отложенный характер, и ждать его придется 7–10 лет, в то время как нехватка кадров на рынке ИБ в последние годы с введением профстандарта будет расти экспоненциально. А это приведет к крайне негативным последствиям для всей банковской отрасли.

Решение данной проблемы видится в разработке Банком России поэтапного плана для плавного и безболезненного внедрения в финансовых организациях нового профстандарта. К сожалению, пока неизвестно, по какой схеме и на протяжении какого периода Банк России будет внедрять требования документа после его согласования экспертной комиссией Минтруда и вступления в силу. Как неочевидны и санкции, которые будут применяться к кредитно-финансовым организациям за неисполнение требований стандарта.

И хотя в последние недели обсуждение идет в плоскости кадрового голода, требований к образованию и опыту для специалистов по ИБ, будет справедливым упомянуть и другие рекомендации и предложения, которые высказывали участники профессионального сообщества во время работы над проектом профстандарта. Тогда многие отмечали отсутствие в документе критериев применения требований в соответствии с масштабом организации и спецификой ее деятельности. По сути, в тот момент профстандарт уравнял в возможностях и потребностях крупные банки и, скажем, небольшие брокерские организации. Также недостаточно конкретизированными, по мнению экспертов, оказались требования, связанные с техническими знаниями специалистов по ИБ, а также с их IT-компетенциями и осведомленностью в вопросах финтеха. Кроме того, были предложения расширить перечень специалистов по ИБ в кредитно-финансовой сфере, отдельно описав функции по обеспечению безопасного жизненного цикла разработки, тестированию кода, антифроду, аудиту ИБ и оценке соответствия, пентестированию и другим ролям, необходимым для обеспечения функции ИБ. Наконец, в требованиях профстандарта к руководителям подразделений ИБ эксперты не увидели в достаточной мере описанные управленческие навыки и знания, в частности умение встраивать функцию ИБ в процессы по достижению общих бизнес-целей организации. Все эти предложения и рекомендации были направлены в апреле 2021 года в ДИБ Банка России в время общественных слушаний. 

В завершение скажем, что во время голосования по проекту профстандарта в рамках Технического комитета по стандартизации № 122 подавляющее большинство (почти 85%) представителей финансовых организаций и других участников рынка проголосовали за принятия проекта, при этом половина указали в качестве условия принятие проекта с учетом предложенных правок. Это говорит о том, что экспертное сообщество в целом видит пользу в самой идее профстандарта специалистов по ИБ кредитно-финансовой сферы, но также очевидна необходимость его постепенного внедрения и адаптации под бизнес-потребности организаций. 

Источник: Банковское обозрение


Вернуться к списку экспертиз

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС