Задачи по подготовке руководителей и персонала предприятий в условиях перехода на технологический суверенитет
Игорь Морозов, 06/02/23
Общеизвестно, что образование в сфере информационной безопасности отстает от потребностей рынка. Быстро реагировать на изменения могут только организации дополнительного профессионального образования, которые готовы гибко адаптировать программы, реагировать на тенденции и спрос под влиянием разных факторов. Так было всегда, и особенно это показал 2022 год. По оценкам экспертов Академии АйТи, рынку сейчас необходимо около 70 тыс. специалистов в области защиты информации, а к 2024 г. количество вакансий увеличится в 1,5 раза. Актуальности задаче подготовки руководителей и специалистов по киберзащите добавляют и новые нормативно-правовые требования.
Автор: Игорь Морозов, к.э.н., ректор Академии АйТи
С необходимостью выстраивания технологического суверенитета перед компаниями встали непростые задачи. Недоступность обновлений ПО зарубежных производителей, ограничивших деятельность в России, породила новые риски. Многие бизнесы обратились к использованию Open Source, и даже появились вакансии по поиску уязвимостей в открытых библиотеках. И это лишь только малая часть кадровых задач.
В России рынок информационной безопасности имеет локальный характер. На нем работают достаточно сильные отечественные производители, и им есть что предложить заказчикам. Но зачастую альтернативное программное обеспечение не соответствует запросам, или, например, требует внесения изменений в инфраструктуру. Иногда для решения конкретной задачи, которую ранее выполняла иностранная система, требуется несколько отечественных решений.
Встает вопрос: как выстроить траекторию перехода на суверенитет? Ведь кроме перестройки технологического стека необходимы организационные меры. Одной из этих мер является обучение.
Дефицит кадров vs обучение
На рынке и раньше отмечался недостаток ИТ- и ИБ-специалистов, но стал ли он в 2022 г. сильнее? Скорее нет. Вспомним закон сохранения энергии, согласно которому энергия тел не исчезает, а лишь переходит из кинетической в потенциальную и наоборот – из потенциальной в кинетическую. Да, был кадровый отток, и среди вакансий требуются все новые компетенции, в связи с новыми видами угроз и уязвимостями. Но вспомним также, что после закрытия зарубежных компаний множество специалистов оказались свободными для рынка.
Большую поддержку оказывает и государство в подготовке новой волны кадров. К примеру, федеральный проект "Цифровые профессии" к ноябрю 2022 г. охватил более 220 тыс. человек из всех регионов России, которые подали заявление на портале "Госуслуги" на профессиональную переподготовку, согласно данным АНО "Цифровая экономика". По итогам проверки на соответствие формальным критериям принадлежности к льготным аудиториям было одобрено свыше 120 тыс. заявлений. Это граждане, которые могли получить новую профессию с поддержкой государства в размере от 50 до 100% от стоимости программ. Академия АйТи в числе ведущих образовательных организаций участвует в проекте уже более трех лет подряд и обучает по самым современным ИТ- и ИБ-направлениям на льготных условиях.
Кроме того, работодатели взялись за переобучение персонала работе с продуктами российских вендоров. Но здесь есть нюанс. Как было раньше: рынок привык к такому понятию, как авторизованное обучение, то есть к системе подготовки и сертификации специалистов по конкретным решениям. Вендор выдавал авторизацию учебному центру, образовательная организация готовила преподавателей, читала курсы вендора по программам сертификации специалистов. К примеру, это давало возможность работодателям оценивать кандидатов на основании имеющихся сертификатов. Российские вендоры пока находятся только в начале этого пути, на этапе выстраивания программ курсов для учебных центров.
Кроме того, само понятие "авторизованное обучение" эволюционирует и приоритеты для работодателей смещаются в пользу тех образовательных организаций, которые могут закрывать потребности не только в рамках стандартных курсов, но и в кастомизированных программах. Иначе говоря, работодателю сейчас важно заказывать обучение по стеку технологий и методологиям с бóльшим учетом особенностей своих бизнес-процессов и инфраструктуры, чем могут предложить типовые курсы. Преимущество вновь за теми учебными бизнесами, которые работают в стратегии клиентоориентированности и с индивидуальным подходом к программам, которые не боятся экспериментов, выпускают авторские программы, в том числе и по российским продуктам.
Российские вендоры со временем придут к необходимости поддержки такого подхода, поскольку он для них экономически выгоднее, с возможностью сертификации по разработанным стандартам, но без жесткой привязки экзаменов к авторизованному обучению.
Рынку нужны новые образовательные форматы:
- буткемпы в виде интенсивов, когда команды слушателей "живут" в программе с различными тренингами, практиками, выполнением проектов;
- стажерские школы, в которых команды из внутренних или внешних кандидатов готовятся под задачи работодателей и трудоустраиваются по итогам.
Именно на такие форматы стоит обратить внимание российским вендорам и поддерживать учебные центры в этих инициативах, тем более что крупный бизнес давно с этими подходами работает, в том числе и в области защиты информации.
Требования законодательства
В части требований к квалификации руководителей и специалистов в области защиты информации, кроме принятого ряда профстандартов, в 2022 г. для рынка стал особо важным Указ Президента РФ № 250 от 01.05.2022 г. Он подразумевает создание в госорганах, госкомпаниях и стратегических предприятиях подразделений по обеспечению информбезопасности. Под это требование, по оценкам экспертов, подпадает около 100 тыс. учреждений и организаций – это органы государственной власти, государственные фонды, госкорпорации, стратегические предприятия, стратегические акционерные общества, системообразующие организации экономики и субъекты критической информационной инфраструктуры. Указ стал логичным продолжением ранее принятых стратегических документов в области информационной безопасности с точки зрения директив по созданию структурных подразделений и должностных позиций (Доктрина информационной безопасности РФ, Стратегия национальной безопасности РФ) и специализированных (152-ФЗ, 187-ФЗ, Концепция ГосСОПКА и др.).
Тут есть тонкости. Например, в большом количестве учреждений здравоохранения, которые являются субъектами КИИ, нет специалистов по информационной безопасности. И в этой области мы наблюдаем взрывной рост спроса на обучение. Ведь если раньше вопросами ИБ занимался начальник отдела, то теперь ответственность возлагается на заместителя руководителя организации. То же самое касается госкорпораций и органов государственной власти и, конечно же, субъектов КИИ.
В июле вышло постановление Правительства РФ № 1272 от 15.07.2022 г. "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)". Оно утверждает требования к этим заместителям руководителя структурного подразделения. Квалификационные требования к заместителю руководителя, согласно ПП № 1272, весьма высоки и требуют серьезного уровня подготовки в области информационной безопасности.
В соответствии с п. 6 ПП № 1272 ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки, то необходимо пройти обучение по программе профессиональной переподготовки по направлению "Информационная безопасность", а это не менее 500 часов. Нам поступает большое количество запросов от заказчиков. Мы пока только в диалоге с регуляторами о новых требованиях и продолжаем обучение по ранее согласованным программам.
Есть приказ Минобрнауки России № 1316 от 19.10.2020 г. "Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности", в котором написано, что минимальный срок освоения программ профессиональной переподготовки в области информационной безопасности – 360 часов. Поэтому многие заказчики запрашивают переподготовку именно на 360 часов. Но поскольку требования по лицензированию предполагают обучение в количестве более 500 часов, то, как правило на рынке вы увидите программы, которые соответствуют продолжительности более 500 часов. Это могут быть программы общего плана по информационной безопасности или связанные с техническими аспектами защиты.
На что обращать внимание при планировании обучения
Сейчас работает большое количество онлайн-школ с модными темами, сервис которых заключается в предоставлении доступа к порталу с записанным образовательным контентом. Но для профессиональной переподготовки это не подходит. Важно, чтобы договор обязательно составлялся на оказание образовательных услуг, только тогда обучение будет считаться профессиональной переподготовкой с дипломом установленного образца. Опять же для ряда программ важно их согласование с регуляторами и соответствие профессиональным стандартам, которых только в этом году вышло четыре в области защиты информации.
Желательно, чтобы обучение проводилось живыми экспертами и преподавателями. Ситуация меняется достаточно быстро, появляются новые законодательные акты. Если вы отправили сотрудников на обучение, где им демонстрируют записи прошлых лет, то обучение пройдет впустую. Отчасти записи допустимы там, где нет необходимости в обновлении контента. Но должна быть и возможность живого общения с экспертами, которые будут подстраиваться под актуальные требования и повестку.
В обучении персонала в целях повышения осведомленности пользователей, выстраивания корпоративной культуры кибербезопасности и кибергигиены мы рекомендуем микрообучение. В рамках такого формата заказчик может получить портал дистанционного обучения, где собраны необходимые электронные учебные модули, а конкретный слушатель сможет сам их выбирать и проходить в удобном для себя режиме. В этом направлении Академия АйТи также владеет глубокой экспертизой и предлагает разные форматы:
- короткие электронные курсы – симуляции, с интерактивом;
- мастер-классы;
- воркшопы в группах;
- и любые другие форматы, под задачи заказчика.
Заключение
Академия АйТи работает на рынке более 27 лет, и за это время многое изменилось – образовательные подходы, информационные технологии, угрозы, вендоры. Сейчас у нас в линейке более тысячи курсов, не считая электронных, заказных, и программ, которые мы проводим в рамках федеральных проектов.
Всем, кто выстраивает траекторию технологического суверенитета, мы рекомендуем учитывать, кто в организации уже имеет нужное образование, и обязательно обучать заранее руководителей.
Обращайте внимание на планирование кастомизированного обучения по всему замещаемому стеку технологий в симбиозе с программами по проектным методологиям, к примеру, для тех компаний, которым важны подходы по безопасной разработке.
Обучение должно опережать технологические изменения, поэтому заказывайте программы под свои потребности, благо образовательный бизнес может гибко и оперативно ответить на такие потребности.
Учитывая необходимость в специалистах, сложно закрываемые вакансии, планируйте программы кадрового резерва: набирайте стажеров из внутренних отделов или внешних кандидатов и заранее их обучайте.
Чеклист при переходе на технологический суверенитет
- Переподготовить (профпереподготовка) руководителей, у которых нет профильного образования по ИБ (Указ Президента РФ № 250, ПП 1272)
- Перестроить процесс обучения ИТ- и ИБ-команд на параллельное обучение в связке с развитием импортозамещающих продуктов
- Запланировать дорожную карту построения культуры информационной безопасности. Массово повысить квалификацию персонала по повышению осведомленности пользователей
- Запланировать проекты по подготовке кадрового резерва