Финансовая сфера

Банковское обозрение


08.07.2021 FinRetailFinTechАналитика
«Киберкурс» и профстандарт ИБ: части единого процесса

О том, как ЦБ борется с кадровым голодом в кредитно-финансовой сфере страны, рассказала Ольга Краева, заместитель начальника Управления методологии и стандартизации ИБ и киберустойчивости Департамента информационной безопасности Банка России


Ольга Краева, заместитель начальника Управления методологии и стандартизации ИБ и киберустойчивости Департамента информационной безопасности Банка России. Фото Б.О— Ольга, «киберкурс» Банка России получил высокую оценку сообщества. Расскажите о нем подробнее, пожалуйста.

— Мы организовали этот курс в соответствии с Федеральным проектом «Информационная безопасность» национальной программы «Цифровая экономика». 

Банк России вместе с коллегами из АНО «Цифровая экономика», которая отвечает за реализацию этого проекта, при участии ведущих компаний цифровой экономики, профильных федеральных органов исполнительной власти и экспертного сообщества в 2020 году разработали соответствующую программу обучения, которая в том же году стартовала с пилотного модуля для работников Банка России. Позже в кругу экспертов он получил название «киберкурс».

В нем приняли участие свыше 1400 работников центрального аппарата ЦБ и его территориальных учреждений, они прослушалио 25 лекций. Мы сразу получили позитивную обратную связь от слушателей, что повлияло на решение расширить категории специалистов, на которые ориентирован курс. Мы собирали предложения по наиболее востребованным темам, которые интересуют слушателей, и детально прорабатывали содержание модуля с экспертами на площадке АНО «Цифровая экономика». Кроме собственно площадки АНО предоставляет нам и возможность обсудить саму концепцию мероприятия и провести экспертизу всей образовательной программы, чтобы она отвечала на наиболее актуальные вызовы в сфере ИБ.

Как я уже сказала, первый модуль мы провели в третьем квартале 2020 года, следующий модуль был предназначен для работников правоохранительных органов. Он состоялся в четвертом квартале 2020 года. В нем приняли участие 920 работников из числа МВД, Росгвардии, ФСБ, Генеральной прокуратуры и Следственного комитета. В рамках курса было прочитано 29 лекций. Нашей основной задачей было проинформировать коллег обо всех новых тенденциях в области информационной безопасности, знание которых поможет им более оперативно расследовать преступления и бороться с мошенниками. 

В этом модуле у нас получилось связать особенности кредитно-финансовой сферы и «правоохраны»: практикующие специалисты из финансовой сферы рассказывали сотрудникам спецслужб о тех случаях мошенничества, которые встречаются у них, например, в банках. В частности, речь шла о том, как расследовать преступления, связанные с мошенничеством с банковскими картами, с несанкционированными переводами денежных средств, как противостоять антифроду, социальной инженерии и т.д.

Были рассмотрены конкретные случаи, реально произошедшие в некоторых кредитных организациях. Слушатели вместе со спикерами детально разбирались с тем, как случился тот или иной инцидент и как с ним боролись. Кроме докладчиков из финансовой сферы выступали сотрудники федеральных органов исполнительной власти, коллеги из Росфинмониторинга, ФСТЭК России, а также из ФСБ. Они рассказывали о своих взглядах на практику расследования тех или иных преступлений.

Кроме того, сотрудники ФСБ поделились интересным опытом, связанным с новой для всех сферой цифровых финансовых активов (ЦФА), были приведены практические примеры. Это произошло в рамках отдельного спецмодуля, где свою позицию обозначили и профильные департаменты ЦБ РФ.

— Какие еще блоки вошли в этот модуль? 

— Структура курса вне зависимости от целевой аудитории предусматривает следующие блоки: информационную часть от регулятора, практическую — от специалистов из служб информационной безопасности и так называемый спецблок от других регуляторов. Подробнее остановлюсь на каждом из них.

В «блоке регулятора» представители Банка России рассказывают обо всем новом, что появилось в кредитно-финансовой сфере в нормативном регулировании, стандартизации, а также о том, как меняются подходы к борьбе с социальной инженерией и антифродом.

Следующий блок — практический. В нем практикующие специалисты из служб информационной безопасности банков, операторов связи и ведущих компаний — участников АНО «Цифровая экономика» изучают практические кейсы. Задача этой части блока — проинформировать аудиторию о том, как расследовать подобные случаи, как противостоять мошенникам и т.д.

В «спецблоке от других регуляторов» выступают эксперты из ФСБ, ФСТЭК, МВД, Росфинмониторинга, а также представители международных регуляторов.

Практико-ориентированное обучение, как мы все считаем, заключается именно в сочетании теории с практикой экспертов, представляющих различные организации.

— Как вы оцениваете эффективность двух первых модулей?

— О том, насколько контент оказался интересным, можно судить по огромному количеству вопросов, которые задали и продолжают задавать слушатели. У нас «перегревается» чат от обилия вопросов к спикерам.

Доходило до того, что разбор кейсов в рамках сессий ответов на вопросы по продолжительности был равен самой лекции, а некоторые вопросы продолжают приходить уже после обучения. То есть взаимодействие со слушателями после обучения не прекращается, мы продолжаем общаться. Наша принципиальная позиция — чтобы ни один вопрос слушателей не остался без ответа.

Поскольку коллеги из МВД прислали нам письмо за подписью министра о заинтересованности в занятиях, Банк России продолжит практико-ориентированное обучение для сотрудников правоохранительных органов на постоянной основе. Ближайшие занятия для них состоятся в четвертом квартале 2021 года.

— В каком режиме проходили модули? 

— В связи с пандемией все занятия проходят в дистанционном формате. Мы обучаем три раза в неделю — в понедельник, среду и пятницу. В зависимости от того, насколько большая группа собирается, — либо в два потока (в 10 и в 16 часов), либо в один поток (в 10 часов). 

Поскольку не все могут подключаться и слушать лекции в режиме онлайн, появилась возможность просматривать их видеозаписи. А в блоке, который стартовал 17 мая 2021 года, слушатели, если им интересно, несколько лекций по общим тематикам могут посмотреть прямо на портале Университета Банка России.

Поскольку значительный интерес представляют дискуссии в чате, при просмотре лекций в записи все ответы на вопросы слушателям видны. 

— Чем же продолжился «киберкурс»? 

— Во втором квартале этого года прошло обучение сотрудников кредитно-финансовой сферы в целом, от крупных банков до небольших МФО. 2,8 тыс. слушателей прослушали 22 лекции в два потока, плюс часть из них смотрела видеозаписи на портале Университета Банка России. Это была наша самая многочисленная группа.

Сейчас проходят обучение преподаватели высших учебных заведений, свыше 750 человек. Целевая аудитория — сотрудники и преподаватели базовых вузов по ИБ: МГТУ им. Н.Э. Баумана, МИФИ, Финансовый университет, а также блок из 29 учебных заведений по линии МВД. У нас обучаются сотрудники не только кафедр информационной безопасности, но и смежных кафедр, которые напрямую не связаны с нашей тематикой. Их интересуют, например, правовое регулирование, блок информационных технологий и т.д. 

С 16 по 18 июня 2021 года у нас стартовал «киберкурс» для иностранных коллег. Обучение прошли сотрудники национальных (центральных) банков некоторых государств, а также органов и организаций, которые связаны с тематикой ИБ в кредитно-финансовой сфере, и коллеги из международных организаций, с которыми мы также взаимодействием по линии информационной безопасности, стандартизации, нормативного регулирования в нашей сфере. 

 

 

Помимо руководства Банка России в качестве спикеров заявлены Наталья Касперская, президент группы компаний InfoWatch, Станислав Кузнецов, заместитель председателя правления Сбербанка, Дмитрий Волков, сооснователь Group IB, коллеги из «Лаборатории Касперского», из компании «Антифишинг», Кирилл Ермаков, директор по безопасности QIWI, Дмитрий Гадарь, вице-президент, директор департамента ИБ Tinkoff, а также Сергей Демидов, директор по ИБ Московской биржи.

Будет крайне плотный график: всего три рабочих дня по четыре лекции в каждый из них. По структуре курса мы придерживались аналогичной другим модулям позиции.

— Что еще припасено у Банка России в рамках «киберкусрса»?

— Следующий блок, который у нас стартует в третьем квартале 2021 года после «международного», предназначен для компаний в сфере цифровой экономики. Там будут учиться все те, кто причастен к разработке самого «киберкурса», а также те, кто являются спикерами в рамках других блоков. Хотелось бы, если позволит ситуация с коронавирусом, провести этот курс в очном формате. Наша задача — зарядить слушателей «живой» энергетикой Наталии Касперской, Николая Зубарева и Станислава Кузнецова! В четвертом квартале 2021 года — вновь «правоохрана».

— Как два-три года назад выглядела работа со специалистами из правоохранительных органов?

— Раньше мы проводили занятия в Университете Банка России, но в меньшем масштабе. Одна из причин перемен заключается в том, что еще два-три года назад проблема кибербезопасности не была такой масштабной, а дефицит кадров не был таким острым.

— Каким образом в обойме спикеров Банка России появились эксперты из базельского Банка международных расчетов?

— Банк международных расчетов (Bank for International Settlements, BIS) мы решили привлечь в рамках «блока регулятора». А поскольку Банк России всегда ориентируется на последние тенденции, которые становятся актуальными для мирового сообщества, мы посчитали возможным и необходимым пригласить коллег из BIS.

Ольга Краева, заместитель начальника Управления методологии и стандартизации ИБ и киберустойчивости Департамента информационной безопасности Банка России. Фото Б.О

Ольга Краева, заместитель начальника Управления методологии и стандартизации ИБ и киберустойчивости Департамента информационной безопасности Банка России. Фото Б.О

— На ваш взгляд, было интересно? 

— Да, к нам приехал прекрасный спикер Дэвид Вайт (David White), руководитель координационного центра киберустойчивости Банка международных расчетов. Теперь мы приглашаем его на другие блоки обучения, а также на иные наши мероприятия, например на Международный финансовый конгресс, на нашу секцию регулятора. 

— Можно ли получить статистику по участникам «международного блока»?

— О своем участии заявили более 180 человек из 30 стран.

— Очевидно, интерес аудитории «безопасников» подогрела победа Банка России в международном конкурсе?

— Может быть. Это была победа в конкурсе в рамках «всемирной встречи на высшем уровне по вопросам развития информационного общества», который проводится при поддержке Международного союза электросвязи под эгидой ООН. По итогам первого этапа отбора в конкурсе за победу боролись около 365 проектов из всех стран мира. Мы были заявлены в номинации «Благоприятная среда».

Наша страна выставила на конкурс проект практико-ориентированного обучения, и мы выиграли этот конкурс в данной номинации.

Иными словами, мировое сообщество положительно отнеслось к нашей программе обучения. 18 мая 2021 года состоялась церемония награждения, от Банка России на ней участвовал Руслан Вестеровский, заместитель председателя ЦБ РФ. Я думаю, что подавшие заявки на обучение коллеги наслышаны о нашей программе.

— Теперь давайте поговорим о профстандарте в области ИБ. О чем эта история?

— Банк России в документе «Основные направления развития информационной безопасности в кредитно-финансовой сфере на 2019-2021 годы» поставил для себя задачу сформировать новый образ специалиста по ИБ в кредитно-финансовой сфере, который реально сможет отвечать на все те вызовы и угрозы, которые сейчас возникают. В рамках данной задачи мы плавно движемся к формированию таких специалистов, в том числе благодаря подготовленному профессиональному стандарту.

Профстандарт формировался с учетом мнений экспертов нашей отрасли и позиции научно-экспертного сообщества, плюс мы учли международный опыт в этой сфере. Из всех этих кусочков с учетом требований, которые задает Минтруд, и сформирован данный стандарт.

Сейчас документ прошел все требуемые процедуры общественного обсуждения, в котором приняли участие около 2 тыс. человек. Из них 60 участников обсуждения высказали какие-либо конкретные предложения. Всего было подано около 200 замечаний.

Проект профстандарта был размещен на сайте Банка России для ознакомления, затем он обсуждался на различных площадках и конференциях, например на «Рускрипто», в ассоциациях АБР и АРБ, в Техническом комитете «Стандарты финансовых операций» (ТК-122), а также в рамках Совета по профессиональным квалификациям финансового рынка (СПК ФР). Сейчас проходит завершающее обсуждение в Совете по профессиональным квалификациям в области информационных технологий (СПК ИТ). Первой масштабной площадкой, где мы презентовали нашу инициативу и концепцию, стал Уральский форум 2019 года.

Ольга Краева, заместитель начальника Управления методологии и стандартизации ИБ и киберустойчивости Департамента информационной безопасности Банка России. Фото Б.О

Ольга Краева, заместитель начальника Управления методологии и стандартизации ИБ и киберустойчивости Департамента информационной безопасности Банка России. Фото Б.О

Приняли участие в обсуждении и наши поднадзорные организации в лице руководителей служб ИБ, смежных подразделений и образовательных служб, а также департаментов HR, то есть все должностные лица, которых непосредственно коснется внедрение стандарта в свою деятельность. А этот документ, напомню, затронет всю без исключения кредитно-финансовую сферу страны.

— Что будет с ним потом?

— Мы уже передали комплект документов в Минтруд для прохождения дальнейших официальных процедур согласования, параллельно ожидаем заключения от СПК ИТ. От коллег из СПК ФР недавно получено положительное заключение по профстандарту. Любой профессиональный стандарт утверждается приказом Минтруда: после общественных обсуждений и «вывешивания на регуляцию» появляется приказ Минтруда, который регистрируется в Минюсте.

Затем начнется следующий цикл работ, связанный с разработкой и актуализацией образовательных стандартов: мало задать требования к специалистам, необходимо обеспечить их подготовку. Но и это — не финальная точка, требуется обеспечить образовательный процесс самим преподавателям и качественный актуальный контент. Для этого мы и делаем связку с нашим «киберкурсом», где преподаватели получают современные знания и навыки, которые необходимы их студентам. То, что я рассказывала выше о «киберкурсе», тесно увязано с профстандартом, это части единого процесса.

Мы проводим и будем продолжать проводить экспертизу и совместную разработку образовательных программ наших базовых вузов. Дальневосточный федеральный университет (ДВФУ) уже реализует программу магистратуры по безопасности в кредитно-финансовой сфере. С сентября 2021 года стартует программа подготовки специалистов по ИБ в МГТУ им. Н.Э. Баумана, и она уже будет полностью соответствовать нашему профессиональному стандарту. Сейчас проходит ее экспертиза, а специалисты Банка России помогают наполнить ее содержательно. Дальше программа дополнительного образования в виде профессиональной переподготовки и повышения квалификации под наш профстандарт стартует на базе МТУСИ, в Финансовом университете и в МИФИ.

— На данном этапе не изменилась ли концепция проекта профстандарта?

— Концепция осталась той же. Мы выделяем пять ключевых типов специалистов по ИБ в кредитно-финансовой сфере: руководитель, аналитик, методолог, специалисты по ИБ и по расследованию инцидентов. Их функционал качественно не изменился. Была незначительно скорректирована часть их функционала, а также знаний и умений, необходимых для выполнения этих действий. Основные изменения коснулись требований к опыту работы и к образованию.

Перечисленные выше специалисты могут иметь образование либо в сфере ИБ, либо в сферах IT и юриспруденции. Если специалист не имеет образования в сфере ИБ, то мы рекомендуем ему пройти курсы профессиональной переподготовки с тем, чтобы погрузиться в нашу отрасль и ее специфику.

— Тем ИБ-специалистам, которые уже работают в кредитно-финансовой сфере, необходимо ли проходить переаттестацию и т.д.?

— Нет, никакой переаттестации под новый профессиональный стандарт проходить не нужно. Руководители HR-служб должны изучить требования, которые предъявляются сейчас к специалистам, и при необходимости направить на курсы повышения квалификации или программы переподготовки тех или иных своих ИБ-сотрудников. С кадровым голодом будем бороться все вместе!






Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ