Кибербезопасность доросла до аттестата
ЦБ готовит новые квалификационные испытания для финансистов
Аттестаты нового типа — специалистов по информационной безопасности в финансовой сфере — появятся в середине 2019 года. ЦБ уже разработал программы для магистратуры и для повышения квалификации, а также квалификационные требования к специалистам-безопасникам. Однако вопрос о том, какие организации будут принимать экзамены и выдавать новые аттестаты, пока не решен.
Аттестаты специалистов в области кибербезопасности в финансовой сфере начнут выдавать ориентировочно в середине 2019 года, рассказал “Ъ” заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев в кулуарах сочинского форума Finopolis-2017. «У нас готовы квалификационные требования, программа по магистерской специальности, по повышению квалификации. Следующим этапом будет уже квалификационное испытание. Потому что нельзя аттестовать людей, не предложив их сначала обучить»,— пояснил он. По его словам, требование об обязательном наличии аттестатов нового типа для безопасников, работающих в финансовых организациях, будет вводиться, однако это не вопрос ближайшего будущего.
В настоящее время действует семь видов аттестатов специалистов финансового рынка: по брокерской и дилерской деятельности, управлению ценными бумагами и форекс-дилеров, по клиринговой деятельности и деятельности по проведению организованных торгов, по ведению реестра владельцев ценных бумаг, по депозитарной деятельности, по управлению инвестфондами, ПИФами и НПФ, по деятельности специализированных депозитариев, по деятельности НПФ. Расширение списка специальностей, подлежащих аттестации, было анонсировано весной прошлого года первым зампредом ЦБ Сергеем Швецовым (см. “Ъ” от 18 апреля 2016 года). Кроме безопасников новые аттестаты должны будут получить специалисты по управлению активами и внутреннему контролю.
По словам господина Сычева, необходимость в обучении и аттестации кадров в сфере кибербезопасности вышла на критический уровень. «Раньше вся IT-структура стояла за банком и просто обслуживала интересы банка. Сейчас с одной стороны банк, с другой клиент, а посередине — технология, на которую может оказывать влияние третья сторона. Поэтому нужны люди, которые не просто защищают периметр, их как раз сейчас много. Нет людей, которые понимают, как работает та самая технология, кто и с какой стороны на нее может оказать влияние и что делать, в случае если такое влияние произойдет»,— пояснил он. Наиболее востребованные направления — методология, технология и юриспруденция в кибербезопасности. По этим специальностям и планируется вести обучение.
Острую нехватку квалифицированных кадров признают и на рынке. «Самые часто задаваемые вопросы на интернет-форумах по информационной безопасности: “Что имеется в виду в этом требовании нормативного документа” и “Поделитесь примером внутренней инструкции”. То есть люди зачастую не понимают основ своей работы и не умеют самостоятельно ее организовывать»,— сетует директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. При этом качественное образование получить практически негде. По словам представителя компании Solar Security Владимира Дрюкова, сейчас специалисты «растут» на своих местах. «Помимо этого, практикуется раннее вовлечение студентов, хотя им, по сути, приходится переучиваться. Еще один вариант, который помогает решить проблему,— это сервис-провайдеры в области информбезопасности»,— говорит он.
Вопрос о том, кто будет квалифицировать специалистов по кибербезопасности и выдавать новые аттестаты, пока не решен. По данным на начало октября, деятельность по аттестации специалистов финрынка осуществляли 11 аккредитованных ЦБ организаций. В том числе вузы, некоммерческие организации дополнительного профессионального образования, а также профессиональные СРО. По словам Артема Сычева, основной организацией в данном сегменте является Федеральная служба по техническому и экспортному контролю. «Мы уже вышли с ними на согласование. Кроме того, работаем с учебно-методическим объединением вузов по информационной безопасности. Но окончательного решения нет»,— отметил господин Сычев. По словам бизнес-консультанта по информационной безопасности компании Cisco Алексея Лукацкого, опасения с проведением аттестаций могут вызвать только два момента — обязательность подтверждения квалификации для уже работающих годами банковских безопасников и обязательный статус программы, что «приведет к росту затрат, но вряд ли сильно скажется на уровне защищенности». Кроме того, рассуждает он, динамичность развития финансовых технологий ставит под сомнение, сможет ли образовательный стандарт обновляться так же оперативно. «Опыт других отраслей показывает, что любой стандарт обучения не поспевает за реальной жизнью»,— резюмирует господин Лукацкий.