Вчера замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев на конференции "Инфофорум-2017" объявил, что ЦБ вместе с отраслью готовит проект рекомендаций в области стандартизации квалификационных требований к специалистам информационной безопасности в кредитно-финансовой сфере. "Эти рекомендации — своего рода шпаргалка участникам рынка, какие требования к предъявлять к соискателям,— пояснил "Ъ" директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов (участвует в подготовке документа.— "Ъ").— Хищения средств у банков в 2016 году показали, насколько важно иметь квалифицированных сотрудников в этой сфере, однако в банках не всегда понимают, что должен знать и уметь специалист по информационной безопасности".
Проект рекомендаций содержит информацию о требованиях к образованию, опыту работы, навыкам и совокупным профессиональным знаниям к различным категориям специалистов в сфере информационной безопасности. Проект его был обнародован впервые в апреле 2016 года. В конце мая 2016 года ЦБ завершил сбор мнений и предложений по этому проекту. Однако, по словам участников рынка, дальнейшего движения документ не получил. "Поскольку доработанного документа опубликовано не было и этот вопрос более не поднимался в дискуссиях регулятора с экспертным сообществом, мы решили, что ЦБ отказался от этой идеи",— говорит специалист по информационной безопасности крупного банка.
В ЦБ "Ъ" пояснили, что это не так. "Процедура подготовки подобных документов в области стандартизации предполагает несколько итераций заочного обсуждения с последующей корректировкой текста проекта и два очных обсуждения участниками соответствующего подкомитета,— пояснили в пресс-службе Банка России.— В среднем такая процедура занимает около года". В настоящий момент проект прошел первый этап заочного обсуждения, завершение работ по указанному проекту рекомендаций планируется в третьем квартале 2017 года, добавили в ЦБ.
Первый этап оказался таким затяжным, поскольку любые квалификационные требования не должны входить в противоречие ни с образовательной программой вузов, ни с требованиями Минтруда, поясняет Дмитрий Кузнецов. Таким образом, потребовалось согласовать позицию трех ведомств: Минобрнауки, ЦБ и Минтруда. По словам Артема Сычева, сейчас некоторых специалистов по информбезопасности вузы просто не готовят, например, специалистов по информбезопасности с юридическими знаниями. По поводу этой проблемы ведется работа с вузами, добавил он.
Впрочем, эксперты в сфере образования считают, что на решение этой задачи потребуется не менее шести лет. "Для того чтобы на рынке появились необходимые специалисты, необходимо менять программы обучения, учебные планы, набирать студентов на нужные специальности,— рассуждает преподаватель одного из вузов Москвы.— А этот цикл займет шесть лет минимум".
ЦБ же необходимо внедрить рекомендации максимально оперативно. По словам Артема Сычева, рекомендации являются первым шагом в сторону сертификации в сфере кибербезопасности, вводить которую планируется в 2018 году.
Вероника Горячева