О том, что Минцифры задумалось о введении российских сертификатов для специалистов в области информационной безопасности, РБК сообщили два источника, знакомых с планами министерства. «Сейчас под информационной безопасностью каждая компания понимает что-то свое: одни — защиту от внешних угроз, другие — от внутренних, третьи — защиту данных и контроль доступа. Но нет единого стандарта, по которому можно было бы понять, соответствует человек этой ответственной должности или у него недостаточно знаний», — пояснил один из собеседников. Он уточнил, что Минцифры сейчас обсуждает создание такого стандарта с представителями этой отрасли. «Задача — создать такой подход к сертификации, чтобы ее наличие у специалиста гарантировало его высокую квалификацию и профессионализм, чтобы специалисты были более подготовленными к борьбе с рисками и угрозами именно российской инфраструктуры», — отметил он.
Собеседник подчеркнул, что в ближайшей перспективе замена международных сертификатов не планируется, сейчас разговор идет исключительно о внедрении российских внутренних сертификатов.
РБК направил запрос в Минцифры.
Сейчас в России среди ИТ-специалистов распространены такие международные сертификаты, как CISSP (Certified Information Security Systems Professional — сертифицированный специалист по информационной безопасности), CISA (Certified Information Systems Auditor — сертифицированный ИТ-аудитор), CISM (Certified Information Security Manager — сертифицированный менеджер по информационной безопасности). По данным HeadHunter, работодатели, как правило, не уточняют название сертификата, необходимого кандидату, однако требование о наличии сертификата встречалось в 12% вакансий в 2020 и 2022 годах и в 11% — в 2021-м. Спецификация требований к обязательному наличию CISSP, CISA, CISM за этот период встречалась в 4% вакансий.
После начала специальной военной операции на Украине с получением международных сертификатов возникли сложности. Как пояснил РБК один из экспертов в области безопасности, личный кабинет одного из организаторов сертификации ISACA работает, но возможны проблемы с оплатой — нужно искать банк, который сделает SWIFT-перевод. Также система, проверив соединение и параметры компьютера, может не дать доступ к экзамену, который проходит онлайн. Раньше некоторые системы сертификации организовывали экзамены вживую на территории России, но сейчас они так не работают.
Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий объяснил, что международные сертификаты по информационной безопасности выполняли две роли для работодателя: с одной стороны, они демонстрировали уровень компетенции персонала, а с другой — позволяли отсекать на тендерах компании, у которых нет сотрудников с нужными сертификатами или не хватает таких специалистов. Поэтому, если речь не шла об инициативе самого специалиста, желающего получить котирующийся для трудоустройства на международном уровне сертификат, то работодатель оплачивал ему командировку в центр сертификации (часто за пределами России, так как расписание сдачи российских экзаменов не всегда было оперативным) и саму сертификацию, рассказывает Лукацкий. С учетом стоимости обучения и самой сертификации, которые могли доходить до $30 тыс., этот процесс часто рассматривался как часть системы поощрения сотрудников.
Лукацкий напомнил, что это не первая инициатива по созданию российской системы сертификации специалистов по информационной безопасности. Но при ее реализации необходимо понимать, кому будет нужна локальная сертификация, которую пока не признают нигде в мире. Кроме того, сертификация должна подкрепляться практико-ориентированным подходом к обучению информационной безопасности, который в России только формируется, указывает эксперт.
Директор по стратегическому развитию бизнеса компании Innostage Андрей Тимошенко отметил, что для сдачи экзамена на получение международного сертификата нужны серьезный опыт и хорошее знание английского. «Некоторым приходилось идти к получению такого сертификата несколько лет, и не все сдавали с первого раза, а подготовка занимала минимум два месяца углубленного изучения методических материалов. То есть просто так прийти и с ходу сдать экзамен крайне сложно. Именно поэтому наличие таких сертификатов повышало шансы кандидата устроиться на хорошую позицию, равно как и его стоимость на рынке», — заметил Тимошенко. Чаще всего такие сертификаты требовали интеграторы и консультанты по информационной безопасности, потому что подобные документы были необходимы на торгах. «Создать похожую систему сертификации в России вполне возможно. Основными элементами успешности такой системы будут авторитет провайдера сертификации, сложность экзамена и адекватность оценки, хорошо выстроенный контроль поддержания компетенций обладателя сертификата со стороны провайдера и постоянная актуализация методологической базы», — рассуждает Андрей Тимошенко.
Директор департамента информационной безопасности Sitronics Group Александр Дворянский признает, что сейчас россиянам получить CISA и другие сертификаты по информационной безопасности практически невозможно, но появляются отдельные попытки создать свои подтверждающие документы. Например, у Академии информационных систем (АИС) есть курс повышения квалификации (512 часов), после которого выдается подтверждающий документ. «Скорее всего, будет больше игроков, которые будут подтверждать квалификацию специалистов. В целом я верю в успех отечественных сертификатов. Помимо России они могут приниматься в дружественных странах», — рассуждает Дворянский.
Руководитель отдела технологической экспертизы департамента информационной безопасности ГК Softline Денис Чигин отметил, что система сертификации позволяет удостовериться в наличии систематизированных знаний у претендента, поэтому эти сертификаты всегда были огромным плюсом при выборе из пула соискателей. «Понятно, что в сложившейся геополитической ситуации эти сертификаты стали недоступны для еще не сертифицированных специалистов отрасли. Поэтому идея разработки собственной системы логична. Она отразит наши реалии в части регуляторики и стандартов», — считает Чигин. По его мнению, наличие собственной системы даст возможность профессионалам доказать свой статус, подтвердить наличие знаний, а работодателям облегчит поиск потенциальных сотрудников с соответствующими компетенциями. Они будут «знаком качества» сотрудника и дадут определенный престиж для компании-нанимателя.
Сертификация сотрудников по информационной безопасности необходима в любом случае, поскольку требования к качеству выполнения таких работ высоки и последствия неквалифицированной работы могут дорого обойтись предприятиям, отметил руководитель специальных проектов RU-CENTER Алексей Замесов. При наличии сертификатов у специалистов заказчики будут чувствовать себя увереннее, зная, что результаты не подведут, добавил он. «В России наработана необходимая научная база, уверен, что ее можно достаточно быстро адаптировать для предметного обучения и сертификации», — заключил Замесов.
Екатерина Ясакова