Каким должно быть обучение руководителя по ИБ в соответствии с 250-м Указом

Есть у наших регуляторов один недостаток — они много пишут, ЧТО надо делать, но почти никогда не говорят, КАК это надо делать. И все бы ничего, если бы их требования носили рекомендательный характер. Тогда можно было бы самостоятельно, в меру своего понимания, ориентируясь на международные практики, реализовать то, что просят, в соответствии со своим бюджетом. Но они обязательные и всегда возникает вопрос: «А как реализовать вот это требование?» У ФСТЭК была в свое время методичка, разработанная под 17-й приказ и она, хоть и не обновлялась уже 8 лет, снимает часть проблем в толковании требования 17/21/31/31/239 приказов. У НКЦКИ есть свои закрытые документы по реагированию и по запросу они их предоставляют, что тоже снимает часть вопросов по реализации требований по обнаружению, предотвращению и ликвидации последствий компьютерных атак. У ЦБ нет вообще ничего, что с их тысячами страниц требований (это не преувеличение), вызывает огромное количество вопросов и разночтений. И вот сейчас добавилось Минцифры, которое «курирует» 250-й Указ Президента и связанные с ним вопросы.

В частности, многие задают вопросы по заместителю руководителя организации по ИБ, а именно по требованиям к его квалификации.

При этом некоторые учебные центры решили воспользоваться ситуацией и подняли ценник на свои курсы. Например, вот такое странное сочетание руководителя ИБ и этичного хакера обойдется в более чем полмиллиона (!) рублей. При этом длительность такой программы всего 200 часов, что явно недостаточно для того, чтобы считаться профпереподготовкой, для которой нужно не менее 250 часов.

Почему стоимость обучения для физлиц выше, чем для организаций, я не знаю.

Есть и более дорогие программы. Например, MBA CSO от РАНХиГС за 700 тысяч рублей. Но это все-таки MBA и там программа длится два года. Если в первом упомянутом, но неназванном УЦ взять всего одну программу вместо комбинированной, то ценник тоже негуманный:

Можно найти дешевле. Тот же РАНХиГС предлагает программу профпереподготовки за 248 тысяч рублей, но она длится 1 год, что тоже мало подходит для реализации целей Указа №250. Вообще, почти все предлагаемые сегодня популярными учебными центрами программы, «согласованные с ФСТЭК и ФСБ» не подходят для целей 250-го Указа, так как длятся излишне долго (обычно 500+ часов — для получения лицензий ФСБ/ФСТЭК) и ориентированы больше на технических специалистов, чем на руководителей или их замов.

Читая Указ, у меня возникло два основных вопроса относительно 7-го раздела о требуемых знаниях, умениях и компетенциях:

1. Нужно ли согласование программы обучения с регуляторами? И если да, то с каким или какими? За Указ «отвечает» Минцифры, но за обучение по ИБ отвечает ФСТЭК. А по тексту Указа половина пунктов попадает в сферу компетенций ФСБ. Так надо или нет согласовывать программу обучения?
2. Можно ли назначать на должно зама человека, еще не прошедшего переподготовку, или надо сначала ее пройти, а потом уже назначать?

Формально, раз в Указе не говорите ни слова о согласовании программы обучения с регуляторами, то это и не нужно, но у нас любят перестраховаться 🙁

Самое главное, что на оба вопроса нет ни ответа, ни даже намека от регуляторов, что заставляет всех причастных к обучению либо перестраховываться и пытаться всучить учащимся уже согласованные программы на 500+ часов, либо занимать выжидающую позицию. Хотя то, что проходит для обычных специалистов, которым нужно получить заветную корочку для последующего получения лицензии, не подходит для вторых лиц в компании, которые не будут учиться 500 часов тому, что, давайте начистоту, им не особо и нужно и просто навязано государством. Даже 250 часов обучения — это непросто для высокопоставленных и занятых людей. Даже если поделить это 250 часов пополам (50% на лекционный материал и 50% на самостоятельные занятия), то 125 часов по 2 часа в день — это 63 дня, то есть 3 полных месяца, в которые зампоИБ каждый вечер должен уделять обучению. Вы можете себе это представить для людей, у которых нет мотивации это делать и нет никакого наказания за невыполнение требования Указа? Я нет!

Мне кажется, что история с обучением для 250-го Указа в ее текущем варианте не взлетит; пока не будет перезагружена.

А что делать-то? На самом деле, Указ отвечает на этот вопрос и дает примерную программу обучения ответственных за ИБ в организации, которые не будут и не должны ручками крутить настройки. Если посмотреть на 7-й пункт Указа, то он выделяет 4 группы необходимых навыков:

1. Знание основных процессов организации и специфики обеспечения их информационной безопасности.
2. Влияние ИТ на деятельность организации.
3. Современные информационно-телекоммуникационные технологии.
4. Обеспечение ИБ.

Предсказуемо, максимально подробно расписана последняя группа знаний, и складывается такое впечатление, что авторы Указа предполагали, что ответственные за ИБ не будут изначально разбираться в этой теме и им надо все разжевать. Но даже в этой группе знаний есть то, чему у нас почти не учат в учебных центрах, согласованные с регуляторами программы которых ориентированы на иные цели. В частности, от будущего зама генерального директора требуется:

• увязывать ИБ с целями и процессами организации, а это, на минуточку, ближе к Security Governance,
• уметь разрабатывать стратегию и архитектуру ИБ (про архитектуру явно не сказано, но стратегия и подразумевает движение к целевой архитектуре),
• управлять проектами, и я бы добавил от себя, программами по ИБ,
• уметь выстраивать ИБ в холдинговых структурах, делегируя обязанности и ответственность между предприятиями группы компаний,
• уметь оценивать эффективность (как с точки зрения результативности, так и оптимальности достижения целей) ИБ.

Вообще, одно только требование организации всех ИБ процессов в холдинговой структуре с ее географической распределенностью, разными часовыми поясами, разным кадровым и ресурсным обеспечением, необходимостью обращаться к аутсорсингу (с контролем еще и внешних подрядчиков), требует особого внимания и перекраивания многих традиционных образовательных программ, рассчитанных на обеспечение ИБ в рамках всего одной организации.

Да, в России не так уж и много холдингов (хотя просто групп юрлиц, подчиняющихся одному руководителю, немало), но если уж мы говорим о более-менее универсальном обучении, то образовательная программа должна включать эту тему все равно (ну или эта тема должна рассматриваться в отдельном связанном курсе или в качестве факультатива).

Третий блок знаний подразумевает рассмотрение всяких новомодных технологий — от контейнеризации и облаков до АСУ ТП и Интернета вещей (а может быть еще не забыть про ML, блокчейн, биометрию, мобильность, Big Data и т.п.). И все это понятным языком, ориентированным на часто далеких от ИТ-инноваций людей. Тут, как мне кажется у нас тоже нет адекватных курсов, увязывающих ИТ и ИБ. Как правило, идет очень глубокое погружение в угрозы для различных технологий, детали которых совсем не нужны руководителям. Ну зачем ему знать, как устроен протокол EAP. ARP Spoofing или как работает утилита honeyd?

Второй блок еще ближе приближает нас к тематике непрерывности бизнеса и оценки влияния ИТ на бизнес-процессы организации, что требует достаточно детального изучения вопросов классификации и приоритизации используемых технологии и понимания, как от них зависят также разнесенные по приоритетам бизнес-процессы. Я уже про это говорил в курсе по оценке ущерба, но эта тема требует большего числа примеров. Она же неразрывно связана и с оценкой ущерба именно в бизнес-терминах, а не в привычной нам «угроза нарушения конфиденциальности». Вообще, удивительно, что Минцифры не упомянуло в этом блоке термин «цифровая трансформация«, который как раз про влияние «цифры» на бизнес-процессы и бизнес-показатели предприятия. Как человек, достаточно часто участвующих в программах по обучению CDTO/CDO/CIO по вопросам ИБ цифровой трансформации, могу сказать, что всплывающие там вопросы отличаются от привычных в традиционной ИБ-аудитории.

Наконец, первый блок знаний самый важный. Если на роль зама генерального по вопросам ИБ назначают уже действующего заместителя, то он, вероятно, знает, на чем компания зарабатывает деньги. Ну а если на роль новоиспеченного начальника ставят нового человека, который раньше занимался только классической ИБ и вообще ни бум-бум в том, что такое P&L, Cash Flow и юнит-экономика? Тут нужен будет мини-экскурс сродни программе MBA. И где у нас в ИБшных УЦ этому учат?

И это я только прошелся по темам, предусмотренным Указом №250, который, как мне кажется, все равно не полно оценивает вопросы ИБ, которые должен знать соответствующий руководитель. А где психология? А где маркетинг? А где культура? А где soft skills? А где… Да много чего еще «а где?». Если уж и готовить поколение новых руководителей по ИБ, а Указ №250 делает первый шаг к этому, то и программы обучения надо делать для них новые, а не пытаться существующие перелицевать и продавать под новым соусом.