28.8.2024

Высокие, высокие требования

Эксперты отрасли оценили предложенный Минтрудом профстандарт ИБ-специалиста по защите КИИ

Минтруд представил проект приказа «Об утверждении профессионального стандарта “Специалист по обеспечению безопасности значимых объектов критической информационной инфраструктуры”» для общественного обсуждения. Предлагаемое нововведение будет полезно в части унификации требований, однако может наблюдаться дефицит ИБ-кадров, соответствующих ему, полагают эксперты. О том, как соответствовать высоким требованиям, которые предлагаются в новом профстандарте, – в материале RSpectr.

НЕСИСТЕМНЫЙ ПОДХОД

Профессиональный стандарт для специалистов по безопасности объектов КИИ может быть полезен для отрасли в части унификации требований к компетенциям и экспертизе сотрудников, прокомментировал RSpectr директор центра компетенций по информационной безопасности «Т1 Интеграция» Виктор Гулевич.

Виктор Гулевич, «Т1 Интеграция»:

– Однако важно понимать, что в стремительно изменяющемся мире информационной безопасности необходимо постоянно поддерживать любой стандарт в актуальном состоянии.

Актуализация профессиональных стандартов согласно требованиям рынка или регуляторов – это положительная инициатива, отметила в беседе с RSpectr руководитель отдела маркетинга ИТ-компании «Стахановец» Леона Дружинина. По ее словам,

проблема заключается в несистемном подходе к данному вопросу

Для специалистов по информационной безопасности уже есть такие профессиональные стандарты, как:

Леона Дружинина, «Стахановец»:

– Как новый профстандарт коррелирует с уже существующими стандартами? В чем существенное отличие от других? Почему бы не рассмотреть возможность более четкой классификации стандартов по виду сферы или по классу систем (АСУ ТП, КИИ) для унификации требований, что способствовало бы минимизации разрозненности в отрасли?

Предлагаемые квалификационные требования являются по своей сути конкретизированной версией профессионального стандарта 06.033 «Специалист по защите информации в автоматизированных системах», утвержденного приказом Минтруда от 14.09.2022 № 525н, обратил внимание RSpectr исполнительный директор «Кросс технолоджис» Лев Фисенко.

Лев Фисенко, «Кросс технолоджис»:

– Новый профстандарт расширяет и конкретизирует требования к квалификации специалиста, необходимой для качественного выполнения трудовых функций в области обеспечения безопасности значимых объектов КИИ.

Эксперт отметил, что вводятся такие обобщенные функции, как:

управление инцидентами ИБ на значимых объектах КИИ;
контроль обеспечения ИБ значимых объектов КИИ;
управление обеспечением безопасности значимых объектов КИИ.

ИСКУСТВЕННЫЙ БАРЬЕР

В 2024 году все более активно идет категорирование объектов КИИ, отмечает GR-директор «СёрчИнформ» Ольга Минаева. По ее мнению, в утвержденных рекомендациях по цифровой трансформации госкорпораций и компаний с госучастием, среди которых значительное число субъектов КИИ, прямо прописаны рекомендации по использованию российских средств защиты информации класса SIEM*.

Цель – мониторинг наступления недопустимых негативных последствий инициатив цифровой трансформации в бизнес-процессах, подчеркнула она в беседе с RSpectr.

Ольга Минаева, «СёрчИнформ»:

– В связи с этим в профстандарте указаны соответствующие трудовые функции специалиста по защите данных в значимых объектах КИИ по управлению ИБ-инцидентами. Роскомнадзор установил срок расследования ИБ-инцидента в 72 часа, поэтому специалисты обязаны обучиться использованию SIEM-систем.

По мнению руководителя отдела развития экспертизы киберучений и менторства Standoff Positive Technologies Ильдара Садыкова,

есть множество плюсов от введения такого стандарта для ИБ-специалистов

К ним, обратил он внимание RSpectr, относятся:

Повышение уровня знаний специалистов. Субъект КИИ должен проводить организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности КИИ и о возможных угрозах безопасности информации.
Демонстрация необходимых трудовых функций, необходимых организациям для полноценного построения эффективного процесса ИБ.
Установка единых требований к квалификациям и навыкам специалистов, что способствует повышению качества работы в области.
Упрощение процесса подбора персонала для работодателей, так как позволяет четко определять необходимые компетенции и квалификацию, что уменьшает риски при найме неподготовленных или неквалифицированных сотрудников.

Ильдар Садыков, Positive Technologies:

– Профессиональный стандарт даст четкое понимание для образовательных организаций высшего профессионального образования каким навыкам и знаниям готовить специалистов по защите КИИ.

Из проекта профстандарта, представленного Минтрудом, пока

неочевидно, есть ли существенные различия между обычным ИБ-специалистом и экспертом для КИИ

рассуждает руководитель направления по работе с государственными структурами ГК «Солар» Елена Черникова.

Елена Черникова, ГК «Солар»:

– Есть риск, что стандарт может сформировать искусственный барьер для ИБ-специалистов. Обучение профессии предполагает разработку специальной образовательной программы в вузе или ссузе, получение диплома и трудоустройство в соответствии с полученной специальностью.

Поэтому образовательные программы, рассчитанные исключительно на защиту КИИ, ограничат возможности перехода специалистов между «КИИшными» и «неКИИшными» организациями, пояснила она RSpectr.

ШВЕЦ, ЖНЕЦ И НА ДУДЕ ИГРЕЦ

Введение предлагаемого стандарта повышает прозрачность требований к специалистам в области ИБ, работающим с объектами КИИ, отметил в беседе с RSpectr старший менеджер практики кибербезопасности «ТеДо» Антон Мерцалов.

Антон Мерцалов, «ТеДо»:

– В то же время субъекты КИИ могут столкнуться с дефицитом кандидатов, соответствующих требованиям стандарта, и возникновением дополнительных затрат на адаптацию/повышение квалификации текущих работников.

По мнению старшего консультанта отдела аудита по соответствиям требованиям КИИ «Инфосистемы Джет» Никиты Мусиенко,

проект приказа Минтруда об утверждении нового профстандарта потенциально создает субъектам КИИ новые испытания

Никита Мусиенко, «Инфосистемы Джет»:

– Стандарт отчасти «перегружен» редкими, узкоспециализированными практиками ИБ, которым трудно будет найти время для качественного освоения в типовой учебной программе будущих специалистов.

Например, «Реверс-инжиниринг и анализ вредоносного кода, настройка и администрирование SIEM-систем и разработка правил корреляции SIEM-систем, а также правил обнаружения атак для IDS/IPS-систем» в совокупности с остальными декларируемыми трудовыми функциями, предписываемыми будущему специалисту, должны сделать из него методолога, инженера-проектировщика, аудитора, тестировщика, программиста и мини-центр мониторинга ИБ в одном лице, посетовал эксперт.

Введение профстандарта как единственного и безальтернативного знака отличия «правильного» специалиста может

спровоцировать субъектов КИИ нарушать требования регулятора в части наличия обязательных компетенций работников ИБ

Такая ситуация может возникнуть из-за отсутствия средств на дополнительное переобучение сотрудников, полагает Никита Мусиенко.

Какая-либо стандартизация в сфере ИБ в КИИ выглядит не особо реалистично, меняется модель угроз, устаревает концепция критической инфраструктуры: грань стирается, и все элементы, обеспечивающие работу сети, играют крайне важную роль, отметил в беседе с RSpectr генеральный директор хостинг-провайдера RUVDS Никита Цаплин.

Никита Цаплин, RUVDS:

– Злоумышленники ищут все новые подходы, и противодействие в виде «киберполиции с наручниками» не соответствует уровню угроз. Специалист по инфобезу должен фактически являться хорошим хакером, мысля нестандартно, и шаблонизация спасет лишь от мелкого хулиганства и взломщиков начального уровня.

*Система управления информационной безопасностью и событиями безопасности.

Екатерина Лаштун

Изображение: RSpectr, Adobe Stock