Продолжая начатую в прошлой заметке тему кадров в банковской информационной безопасности (ИБ), хотел бы посмотреть на нее с другой стороны, а точнее, с позиции Банка России, который тему повышения квалификации специалистов по ИБ взял под свой особый контроль. Впервые об этом упомянули в текущем году на Уральском форуме по ИБ банков, и руководство Главного управления безопасности и защиты информации Банка России в интервью газете «Ведомости» подтвердило это.
Конкретика стала появляться после апрельского заседания Госдумы, посвященного стратегии развития финансового рынка, где первый заместитель председателя правления ЦБ Сергей Швецов говорил об обязательности подтверждения своей квалификации по вопросам кибербезопасности для сотрудников банков.
По его словам, «сегодня ЦБ позволяет получить сертификаты по семи направлениям деятельности. Все эти семь направлений касаются рынка ценных бумаг». Обязательные сертификаты требуются от специалистов, осуществляющих брокерскую, дилерскую, клиринговую, депозитарную деятельность; отвечающих за управление ценными бумагами, инвестиционными фондами, ПИФами и НПФ, проведение организованных торгов, ведение реестра владельцев ценных бумаг, специализированных депозитариев, деятельность НПФ. Выдавать сертификаты по этим специальностям сегодня могут только 13 аккредитованных ЦБ учебных центров.
По мнению Сергея Швецова, «этого, безусловно, недостаточно. Мы как минимум, еще три сертификата хотим ввести: управление активами, внутренний аудит и кибербезопасность». Это означает только одно: от специалистов по ИБ, желающих пойти на работу в банк, потребуется обязательное подтверждение своей квалификации (что делать уже работающим специалистам, вопрос пока открытый), которое может быть оформлено только в специализированном учебном центре.
Такое внимание регулятора отражает высокоуровневые опасения ЦБ относительно кибербезопасности финансовых рынков России, что и требует новых компетенций от банковских специалистов. На Уральском форуме у Швецова была очень интересная презентация , посвященная взгляду финансового регулятора на эту проблему.
Какие знания необходимо иметь будущему банковскому безопаснику? Об этом пока неизвестно, но Сергей Швецов в своем выступлении даже упомянул, что по инициативе ЦБ сейчас переводится некий лондонский курс по кибербезопасности, который может в долгосрочной перспективе (пять лет) стать обязательным для сотрудников, мечтающих пойти в банковскую сферу. Пример Великобритании в данном контексте не случаен. По словам Шевцова на заседании Госдумы, именно британский выпускник, закончивший высшее учебное заведение либо уже поработавший в финансовой организации, если он желает продолжить карьеру, должен получить дополнительное финансовое образование по одному из 59 направлений деятельности, включая и кибербезопасность. Этот опыт Банк России хочет перенять и внедрить у нас.
Вы не боитесь увольнять своих безопасников? Согласно недавно опубликованным данным компании Pricewaterhouse Coopers, источниками кибератак в финансовом мире в 44% случаев являются собственные, а в 28% бывшие сотрудники банка. Хакеры заняли почетное третье место с 26%, а финальную позицию в опросе заняли конкуренты с 20%. Иными словами, хакеры не являются основным источником угроз для финансовых организаций.
Список тех, кто сможет обучать банкиров по вопросам кибербезопасности, еще не определен, и я могу предположить, что за аккредитацию в Банке России будет жесткая конкуренция. Сегодня 13 учебных центров, аттестующих специалистов по ценным бумагам, не проводят обучения по информационной безопасности и не имеют квалифицированных преподавателей нужного профиля в своем составе. В то же время традиционные центры обучения вопросам защиты информации не имеют опыта аккредитации в Центробанке, так как эта деятельность исторически регулировалась Федеральной службой по техническому и экспортному контролю (ФСТЭК) или Федеральной службой безопасности (ФСБ), которые и согласовывали программы обучения специалистов по кибербезопасности.
Также неизвестно, когда новые требования по сертификации специалистов будут введены. В отношении управления активами и внутреннему аудиту разговоры идут о том, что требования станут обязательными в течение двух с половиной лет. Применительно к кибербезопасности Сергей Швецов в Магнитогорске говорил о пятилетнем периоде, и я думаю, стоит ориентироваться именно на такой срок. Получается парадоксальная ситуация: банки увольняют своих безопасников, а финансовый регулятор, наоборот, ужесточает требования к их компетенциям, тем самым показывая важность этой профессии для обеспечения стабильности финансовой системы Российской Федерации.
Однако ждать пять лет, когда ЦБ раскроет все секреты и расскажет, какими знаниями и компетенциями должен будет обладать банковский безопасник, не придется. Уже сейчас Банк России в рамках основанного им при Ростехрегулировании Технического комитета №122 (ТК 122) по стандартизации финансовых услуг готовит рекомендации по квалификационным требованиям к специалистам по ИБ в кредитно-финансовых организациях.
Пока это проект, структура его понятна. Совокупность требований, предъявляемых к специалистам по обеспечение ИБ организаций кредитно-финансовой сферы РФ, включает требования к:
- уровню базового образования;
- направлениям специализации и опыту работы;
- подготовке по видам деятельности;
- совокупным профессиональным знаниям и навыкам.
Иными словами, обычного высшего образования даже в области информационной безопасности будет явно недостаточно для того, чтобы рассчитывать на аттестацию и последующий прием на работу в банковскую службу ИБ. Когда-то я уже писал об альтернативном курсе по ИБ для современного безопасника, указывая те дисциплины, которых явно не хватает современным выпускникам вузов, которых готовят по федеральным государственным образовательным стандартам в области защиты информации. Не могу сказать, что все изложенные три года назад мысли войдут в портфель новых знаний банковских специалистов по ИБ, но многие дисциплины уж точно.
Пока остается без ответа целый ряд вопросов. Ответы на них мы получим в среднесрочной перспективе — два-три года
Пока остается без ответа целый ряд вопросов. Будет ли переходный период в части новых требований? Какова будет судьба действующих банковских безопасников, которые по каким-то причинам не соответствуют требованиям и не имеют нужных сертификатов? Думаю, ответы на них мы получим в среднесрочной перспективе — два-три года. Упомянутый же выше проект рекомендаций, скорее всего, примут до конца этого календарного года. А пока стоит заняться повышением квалификации. Пять лет, о которых говорил первый зампред Банка России Сергей Швецов, не такой уж и большой период, который надо суметь потратить с пользой. Все-таки многие дисциплины, которые понадобится изучать будущей элите банковской ИБ, требуют немало времени, которого в современном динамичном мире безопасности явно не хватает.