Минобрнауки предложило новые стандарты по ИБ

Министерство науки и высшего образования РФ разработало проекты федеральных государственных образовательных стандартов высшего образования в области информационной безопасности (ИБ). Эксперты полагают, что основная идея обновления образовательных стандартов заключается в попытке "приблизить" выпускника к требованиям заказчика. Впрочем, новые стандарты вряд ли способны соответствовать ежечасно меняющимся требованиям отрасли. К тому же, бьют тревогу эксперты, дефицит кадров в области информационной безопасности в будущем будет только нарастать.

На минувшей неделе Минобрнауки опубликовало для обсуждения на портале нормативных правовых актов пять проектов федеральных государственных образовательных стандартов высшего образования по информационной безопасности. Ведомство предложило утвердить специалитет по специальности "Информационно-аналитические системы безопасности" (10.05.04), специалитет по специальности "Информационная безопасность автоматизированных систем" (10.05.03), специалитет по специальности "Информационная безопасность телекоммуникационных систем" (10.05.02), специалитет по специальности "Компьютерная безопасность" (10.05.01) и бакалавриат по направлению подготовки "Информационная безопасность" (10.03.01). В пресс-службе Минобрнауки не ответили на вопросы ComNews о причинах появления указанных стандартов.

Дефицит кадров

Подготовку специалистов в области информационной безопасности на текущий момент осуществляют 56 специализированных кафедр в высших учебных заведениях в разных городах на всей территории России, знает заведующий кафедрой информационной безопасности СПбГЭТУ "ЛЭТИ" Евгений Воробьев. "Каждая кафедра информационной безопасности имеет свои профили подготовки бакалавров, магистров и специалистов. Они выпускают порядка 600 квалифицированных кадров в год. Однако потребность в таких специалистах в целом по стране ежегодно составляет 2,5 тыс.", – говорит он.

По словам Евгения Воробьева, такие специалисты востребованы, прежде всего, в государственной системе защиты информации, где действуют пять ключевых структур: Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности, МВД, Минобороны и Служба внешней разведки. Ко второй группе "потребителей" относятся подразделения по защите информации, создаваемые, в соответствии с рекомендациями ФСТЭК, в любых организациях любого вида собственности, говорит завкафедрой ИБ СПбГЭТУ "ЛЭТИ". "Для малых предприятий или индивидуальных предпринимателей – это 2-3 менеджера по информационной безопасности. Если это банк или достаточно крупная компания, то численность может доходить до 20-25 человек. Штат гражданских специалистов в режимных отделах и службах безопасности в таких организациях наполняется за счет выпускников технических вузов", – рассказывает он.

Потребность в специалистах по ИБ с каждым годом растет, уверен Евгений Воробьев. "Одно из направлений, где востребованы специалисты – это защита персональных данных. Принятие Федерального закона "О безопасности критической информационной инфраструктуры РФ" от 26.07.2017 № 187-ФЗ включило в сферу обеспечения безопасности технологические процессы, в том числе компьютерные атаки и компьютерные инциденты, которые могут быть опасны с точки зрения потери престижа, нарушения экологической безопасности и т.д.", – говорит он.

Технический директор Qrator Labs Артем Гавриченков сетует на большую проблему нехватки квалифицированных кадров в отрасли информационной безопасности. В первую очередь, специалистов с опытом инженерной разработки. В России действительно наблюдается дефицит кадров в области информационной безопасности, соглашается и менеджер по связям с общественностью МТУСИ Наталья Малявина.

Российские вузы выпускают явно недостаточно необходимых рынку специалистов по ИБ, подчеркивает руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев. При этом компетенции многих выпускников, что выходят на рынок труда, приходится довольно долго "шлифовать". Хороших специалистов не хватает в разных сферах информационной безопасности, продолжает Андрей Арсентьев. "Это и разработка средств защиты, и тестирование, и системная аналитика, и внедрение, и эксплуатация", – перечисляет он.

Дефицит кадров в ИБ объясняется несколькими причинами, говорит заместитель генерального директора, HR-директор "Ростелеком-Солар" Мария Сигаева. "Во-первых, на рынок сегодня выходят ребята, которые родились в период так называемой "демографической ямы", поэтому их в принципе немного. Во-вторых, из тех, кто связывает свою карьеру с ИТ, только часть идут в информационную безопасность, тогда как потребность в таких специалистах год от года только растет", – объясняет Мария Сигаева.

Программы устаревают быстро

Ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев для примера разобрал четвертый пункт специальности "Компьютерная безопасность" и пришел к выводу, что в проекте стандарта нет ничего конкретного. Он указывает на то, что вузы не готовят специалистов, знающих конкретные предметы. "Студентам начитываются во многом абстрактные знания. Высшая математика, криптография и т.д. Нет, все это нужно. Но вот, скажем, конкретным знаниям по современным продуктам, технологиям, языкам программирования – места практически не уделяется. На выходе из вуза, как и во времена СССР, получается специалист, знающий много и ничего конкретного", – обозначает проблему Вячеслав Медведев.

Проекты образовательных стандартов в ИБ-сфере вряд ли смогут помочь с решением проблемы дефицита специалистов, полагает Артем Гавриченков. "Проблема нехватки кадров должна решаться путем организации полноценного процесса довузовского образования при участии профильных высококвалифицированных преподавателей с отбором еще на стадии школы, чтобы оставалось больше времени на преподавание азов специальности, а затем – и профессиональную подготовку, – говорит специалист  Qrator Labs. – При этом отбор должен производиться в школах по всей стране, и, желательно, чтобы в нем принимали участие университеты, которые будут готовить образовательные программы. В работе самих университетов должна активно участвовать индустрия, поскольку невозможно представить ситуацию, при которой академическая среда сможет автономно подготовить для рынка адекватных специалистов, полностью готовых к дальнейшей работе".

Формально после реализации образовательных проектов на рынке будет достаточно много специалистов, отвечающих требованиям стандартов, но в реальности задача по повышению минимального уровня подготовки не решится, продолжает Артем Гавриченков. "Без грамотного отбора, поиска интересующихся школьников, без таргетированного, индивидуального подхода к составлению программы потенциально талантливые люди могут оказаться "за бортом", и наоборот – те, кто пошел на обучение специальности, не сильно разбираясь в ее специфике, окажутся достаточно быстро разочарованы, и пойдут работать в другую сферу", – предупреждает он.

По мнению вице-президента по науке и образованию InfoWatch Андрея Зарубина, чаще чем сейчас, стандарты менять не стоит. "Задача вуза – дать выпускнику качественную основу, умение быстро и эффективно работать с большими объемами информации, быть способным самостоятельно изучать новые технологии, обнаруженные уязвимости и анализировать угрозы", – перечисляет он. Что касается роста количества угроз, силами только специалистов ИБ задачу не решить, уверен он. "Необходимо повышать общую культуру потребления цифровых услуг населением страны, вводить предметы по цифровой гигиене в учебные программы на всех уровнях российского образования. Иными словами, подобные дисциплины должны появиться во всех других ФГОСах наравне с физической культурой, философией и другими общеобразовательными дисциплинами", – считает он.

Новые угрозы появляются ежечасно, однако типы и виды угроз за последние 5 лет практически не изменялись, знает технический директор Qrator Labs. "За этот период можно вспомнить лишь один случай, когда появилась действительно новая дисциплина – анализ утечек данных из процессоров по боковым каналам (side-channel attacks). Поэтому в сбалансированную и аккуратно составленную академическую программу подобные обновления можно добавлять за год: этот вопрос решается легко, особенно при активном участии индустрии. При этом большинство видов угроз, такие как SQL-инъекции, межсайтовый скриптинг, существуют десятилетиями, но до сих пор выпускники по специальностям ИБ зачастую о них не знают, что свидетельствует о невысоком уровне подготовки специалистов и низкой адаптации к реальным бизнес-потребностям", – замечает он.

Стандарты – это, безусловно, важная система параметров образования, говорит Андрей Арсентьев. "Они позволят конкретизировать требования к подготовке специалистов, сформулировать содержание учебных программ. Кроме того, стандартизация поможет точнее соответствовать требованиям работодателей исходя из складывающихся моделей угроз и задач по защите информации, – перечисляет он. – Однако направлению стандартизации образовательных специальностей в сфере ИБ будет очень сложно поспевать за такой динамичной сферой, как кибербезопасность, даже если система высшего образования будет регулярно консультироваться с теми, кто находится на передовой фронта ИБ". По его словам, надо учитывать то, что ландшафт угроз меняется калейдоскопически быстро, речь уже давно идет не об одном-двух годах, а о считанных месяцах. Поэтому потребуется регулярное обновление утвержденных стандартов. Причем стандарты желательно подкрепить увеличением набора в вузы на ИБ-специальности, говорит он.

По отзывам преподавателей и студентов ведущих вузов, с которыми сотрудничает "Ростелеком-Солар", образовательные программы устаревают очень быстро. "Эта проблема существует не только в нашей стране, но и в мире – технологии развиваются однозначно быстрее, чем программы системы образования, – говорит Мария Сигаева. – Для восполнения пробелов необходимо менять сам подход к обучению в высшей школе". На глобальность проблемы нехватки кадров по ИБ указывает и Андрей Арсентьев. "Ранее организация ISACA прогнозировала, что во всём мире в 2019 г. нехватка специалистов в области ИБ составит 2 млн человек, – ссылается на статистику он.

В то же время и вузы, и бизнес, заинтересованы в выпуске специалистов, которые готовы быстро включиться в производственную деятельность, продолжает Мария Сигаева. "Именно поэтому мы со своей стороны всячески поддерживаем образовательные программы, организуя для студентов как очные стажировки в компании, так и дистанционное обучение с использованием наших наработок и методик, а также с возможностью подключаться к демостендам с нашими продуктами. И, как показывает практика, такое сотрудничество вузов с бизнесом действительно работает, позволяя давать студентам фундаментальные знания без отрыва от практики и реалий сегодняшнего дня", – говорит она.

Принятие новых образовательных стандартов не решает проблему "кадрового голода", признает завкафедрой ИБ СПбГЭТУ "ЛЭТИ". Он поясняет, что оно нацелено на улучшение подготовки кадров. "Основная идея обновления образовательных стандартов с учетом требований профессиональных стандартов – это попытка "приблизить" выпускника к требованиям заказчика", – считает он.

Напротив, проректор по учебной работе МТУСИ Евгений Титов уверен в том, что опора новых образовательных стандартов на разработанные профессиональные стандарты окажет положительное влияние на подготовку специалистов в области информационной безопасности, и будет способствовать решению проблемы дефицита кадров.

В свою очередь, МТУСИ готовит специалистов по специальности "Информационная безопасность телекоммуникационных систем" и бакалавров по направлению "Информационная безопасность". "Университет осуществляет специализированную подготовку специалистов в области ИБ, взаимодействуя в образовательной деятельности с такими компаниями, как "Лаборатория Касперского" и "Код безопасности", – рассказывает Наталья Малявина. – Студенты проходят производственную практику в компаниях, участвуют в программах стажировки, конкурсах дипломных проектов и пр. Сотрудничество такого рода помогает компаниям обеспечить кадровый резерв, а студентам получить практические навыки и первый рабочий опыт для построения успешной карьеры в этой сфере".

Анна Устинова

Тематики: Регулирование, Безопасность

Ключевые слова: информационная безопасность, регулирование