Уровень образования специалиста и высокие требования к квалификации: кто кого?

В настоящее время профессия специалиста по информационной безопасности приобретает большую популярность в связи с бурным развитием информационных технологий и появлением значительного количества информационных активов, однако рынок труда до сих пор испытывает значительную нехватку квалифицированных кадров указанного профиля. Какие требования предъявляются к квалификации специалиста по защите информации и насколько действующая система образования способна их удовлетворить, рассказывается в данной статье.

Требования, предъявляемые к квалификации специалиста по информационной безопасности

Квалификация работника – понятие, сформулированное в ст. 195.1 Трудового кодекса РФ и означающее уровень знаний, умений, профессиональных навыков и опыта работы. Характеристика квалификации, необходимой работнику для осуществления определенного вида профессиональной деятельности, в том числе выполнения определенной трудовой функции, называется "профессиональный стандарт".

В настоящее время в области информационной безопасности существует пять профессиональных стандартов – три общедоступных и два ограниченного доступа:

• специалист по безопасности компьютерных систем и сетей (утв. приказом Министерства труда и социальной защиты Российской Федерации от 01.11.2016 № 598н);
• специалист по технической защите информации (утв. приказом Министерства труда и социальной защиты Российской Федерации от 01.11.2016 № 599н);
• специалист по защите информации в телекоммуникационных системах и сетях (утв. приказом Министерства труда и социальной защиты Российской Федерации от 03.11.2016 № 608н);
• специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак 1179н (ДСП) 29.12.2015;
• специалист по противодействию иностранным техническим разведкам 15 (ДСП) 25.12.2015.

Профессиональные стандарты в области информационной безопасности предусматривают четыре уровня квалификации специалистов по защите информации, а самый низкий, пятый, уровень – включает в себя наименования должностей техник (1 и 2 категории) и старший техник, к которым предъявляются требования о наличии среднего профессионального образования и опыта работы не менее года в должности с более низкой категорией для соответствующих должностей.

В функциональные обязанности данных специалистов входит:

• установка (включая монтаж) и настройка программно-аппаратных средств защиты информации, в том числе средств криптографической защиты информации;
• техническое обслуживание средств защиты информации;
• оформление эксплуатационной документации на программно-аппаратные средства защиты информации;
• проверка корректности работы и восстановление работоспособности программно-аппаратных средств защиты информации;
• инструктаж пользователей по порядку безопасной работы в информационных системах.

Шестой уровень квалификации включает в себя следующие наименования должностей: администратор безопасности, инженер (инженер-программист) 1–3 категории, специалист по технической защите информации 1–2 категории, к которым предъявляются требования о наличии высшего образования в форме бакалавриата в области информационной безопасности и опыта работы от одного года в должности с более низкой категорией.

В функциональные обязанности данных специалистов входит:

• установка и монтаж защищенных технических средств обработки информации, их настройка и испытания;
• определение состава применяемых программно-аппаратных средств защиты информации, разработка порядка их применения в информационных системах, включая формирование шаблонов установки;
• установка и настройка (конфигурирование) программно-аппаратных средств защиты информации, включая средства криптографической защиты информации;
• контроль корректности функционирования программно-аппаратных средств защиты информации, составление отчетов по результатам проверок, в том числе выявление инцидентов информационной безопасности;
• разработка программ и методик испытания технических средств защиты информации от утечки по техническим каналам и проведение указанных испытаний;
• формирование обязанностей и полномочий персонала, обслуживающего автоматизированные системы и средства их защиты, проверка уровня квалификации, контроль выполнения персоналом требований инструкций.

Седьмой уровень квалификации включает в себя следующие наименования должностей: инженер-программист 1–3 категории, инженер-проектировщик 1–3 категории, специалист по защите информации 1–2 категории, ведущий специалист по защите информации, эксперт по анализу защищенности компьютерных систем и сетей, руководитель группы, руководитель проектов, к которым предъявляются требования о наличии высшего образования в форме специалитета или магистратуры в области информационной безопасности и опыта работы от одного года в должности с более низкой категорией.

В функциональные обязанности данных специалистов входит:

• анализ угроз информационной безопасности, оценка уровня безопасности компьютерных систем и сетей;
• разработка средств и систем защиты информации от несанкционированного доступа и (или) от утечки по техническим каналам, технических средств контроля защищенности;
• проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации;
• проведение НИОКР в области защиты информации;
• проектирование объектов, средств и систем информатизации в защищенном исполнении;
• проведение аттестации объектов на соответствие требованиям по защите информации, проведение сертификационных испытаний средств защиты информации, объектов в защищенном исполнении, средств анализа защищенности;
• разработка требований по защите и формирование политик безопасности;
• управление отношениями с регуляторами в сфере защиты информации;
• проведение анализа безопасности компьютерных систем и сетей, инструментального мониторинга защищенности;
• проведение экспертизы при расследовании инцидентов, компьютерных правонарушений и преступлений.

Самый высокий, восьмой уровень квалификации включает в себя следующие наименования должностей: главный специалист по защите информации, заместитель руководителя и руководитель структурного подразделения по защите информации, научный консультант по защите информации. К этим специалистам предъявляются требования о наличии высшего образования в форме специалитета или магистратуры в области информационной безопасности и дополнительного профессионального образования – программы повышения квалификации в области информационной безопасности, или послевузовского образования – аспирантура (адъюнктура), в ряде случаев тоже с повышением квалификации в области информационной безопасности, а также опыта работы от двух лет, в том числе на руководящих должностях (для должностей руководителей).

В функциональные обязанности данных специалистов входит:

• разработка (проектирование) программно-аппаратных средств защиты информации и (или) требований к ним, тестирование и сопровождение разработки;
• организация и проведение работ по защите информации;
• создание, ввод в эксплуатацию и сопровождение системы защиты информации в организации;
• экспертиза проектных решений в сфере защиты информации;
• организация проведения исследований в сфере информационной безопасности;
• разработка технологических процессов производства программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты.

Таким образом, с учетом изложенного можно предложить следующую классификацию, включающую четыре профессиональных уровня:

1 уровень – техник по защите информации, уровень квалификации для специалиста со средним специальным образованием.

2 уровень – специалист по защите информации (администратор информационной безопасности, инженер), начальный уровень квалификации для специалиста, имеющего первую ступень высшего профессионального образования (бакалавр).

3 уровень – ведущий специалист по защите информации (инженер-программист, инженер-проектировщик), более высокий уровень квалификации, подразумевающий наличие следующей ступени высшего профессионального образования – специалитета или магистратуры.

4 уровень – руководитель структурного подразделения по защите информации, самый высокий из предусмотренных в профессиональных стандартах уровней квалификации, предусматривающий наличие высшего образования в форме специалитета или магистратуры с повышением квалификации, или послевузовского образования в форме аспирантуры (адъюнктуры).

Следует отметить, что указанное распределение квалификационных требований в целом отражает запросы рынка труда в части специалистов по информационной безопасности, естественно с небольшими вариациями, т.к. профессиональные стандарты на сегодняшний день носят преимущественно рекомендательный характер.

Каких специалистов готовят учебные заведения

Специалистов 1 уровня – техников – готовят в учреждениях среднего профессионального образования (СПО). При этом, несмотря на соответствие выпускников профессиональным стандартам, спрос на рынке труда на указанных специалистов значительно ниже, чем на специалистов с высшим образованием. По мнению автора, это связано со следующими причинами:

• отсутствие понимания у большинства работодателей потенциала подготовки специалистов со средним профессиональным образованием. Так, например, прошедшее на базе УРТК им. А.С. Попова 22 февраля 2017 г. заседание клуба ИТ-директоров Урала показало, что у бизнеса СПО ассоциируется с ПТУ и рабочими профессиями (электрик, сантехник, плотник и т.п.);
• помимо психологических проблем, имеются и законодательные барьеры, снижающие преимущества СПО по сравнению с высшим профессиональным образованием.

Так, в частности, в соответствии с пп. "а" п. 5 Положения о лицензировании деятельности по технической защите конфиденциальной информации" (утв. постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79) для получения лицензии ФСТЭК России по технической защите конфиденциальной информации соискатель лицензии должен иметь в штате специалистов имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. Аналогичные требования предъявляются и к соискателям лицензий ФСБ России, осуществляющим деятельность по криптографической защите информации.

Таким образом, выпускники учебных заведений среднего профессионального образования не соответствуют требованиям для получения лицензий, что, с учетом достаточно небольшой численности служб информационной безопасности в большинстве организаций, снижает их привлекательность у потенциального работодателя.

Специалистов 2–4 уровня – бакалавров, специалистов и магистров –  готовит достаточно большое количество высших учебных заведений. При этом, в настоящее время в направлении подготовки "Информационная безопасность" наблюдается общая для всех направлений тенденция к постепенному переходу на так называемую болонскую систему образования (прохождение двух уровней высшего образования – бакалавриата и магистратуры) и постепенному "отмиранию" специалитета.

Следует отметить, что согласно профессиональным стандартам, квалификации "бакалавр" достаточно лишь для должностей 2 уровня, для всех остальных необходима квалификация специалиста или магистра.

Таким образом очевидно, что для полноценного развития в профессии сегодняшним студентам необходимо прохождение двух уровней высшего профессионального образования – бакалавриата и магистратуры.

Касательно вопроса качества обучения студентов в вузах – в настоящее время есть федеральные государственные образовательные стандарты, определяющие требования к необходимому минимуму знаний, умений и навыков выпускников учебных заведений, на основе которых формируются программы учебных курсов.

В рамках данных стандартов акцент делается прежде всего на обучение техническим мерам защиты информации. При этом, согласно ст. 16 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" защита информации включает три группы мер: правовые, организационные и технические.

По оценкам экспертов, в практической деятельности специалиста по информационной безопасности преобладают задачи, связанные с проработкой организационных мер защиты информации и работой с персоналом. При этом для должностей более высокого уровня (3 и 4 уровни), прежде всего руководителей, реализация указанных мер является основной задачей в процессе текущей деятельности.

Таким образом, получается, что система образования на сегодняшний день нацелена на подготовку прежде всего технических специалистов начального уровня, которые на практике являются абсолютно не подготовленными в части написания инструкций и регламентов по информационной безопасности, проведения расследований и управления отношениями с регуляторами в сфере защиты информации. Поэтому, по мнению автора, последующий карьерный рост специалиста по защите информации потребует дальнейшего повышения квалификации и получение дополнительного образования. Автор считает, что наиболее целесообразно рассматривать юридическое образование.

В завершение статьи остановимся на такой характеристике квалификации, как опыт работы. Вопрос, который, как правило, встает перед каждым выпускником: где взять опыт? Ведь работодатель хочет видеть сотрудника уже с опытом, и данное требование вполне законно.

Как правило, многие активные студенты начинают работать уже в процессе обучения. Однако в силу того, что специфика работы специалиста по информационной безопасности связана с "охраной секретов", большинство работодателей не рассматривает студентов на должности специалистов по защите информации, хотя, конечно, бывают исключения из данного правила и автору таковые известны (например, компания, в которой автор работает в настоящее время).

Если трудоустроиться в процессе учебы не получается, то, по мнению автора, необходимо формировать портфолио студента, куда могут входить его научные публикации по вопросам информационной безопасности в издаваемых вузами сборниках, участие в олимпиадах или соревнованиях по информационной безопасности. Следует отметить, что автору много раз приходилось слышать о высокой оценке крупными компаниями выпускников, имеющих опыт участия в соревнованиях по информационной безопасности, проводимых по стандартам Capture the Flag (CTF).

Автор полагает, что только сочетанием учебной (с обязательным участием в ней преподавателей-практиков) и внеучебной работы (проведение конференций, круглых столов, соревнований по информационной безопасности) можно обеспечить соответствие подготовки специалиста предъявляемым высоким требованиям к квалификации.