Найти тему
АРСИБ
748 подписчиков

УРОВЕНЬ ОБРАЗОВАНИЯ СПЕЦИАЛИСТА И ВЫСОКИЕ ТРЕБОВАНИЯ К КВАЛИФИКАЦИИ: КТО КОГО?

45
12 мин

В настоящее время профессия специалиста по информационной безопасности приобретает большую популярность в связи с бурным развитием информационных технологий и появлением значительного количества информационных активов, однако рынок труда до сих пор испытывает значительную нехватку квалифицированных кадров указанного профиля. Какиетребования предъявляются к квалификации специалиста по защите информации и насколькодействующая система образования способна их удовлетворить, рассказывается в даннойстатье.

Требования, предъявляемые к квалификации специалиста поинформационной безопасности

Квалификация работника – понятие, сформулированное в ст. 195.1 Трудового кодекса РФ и означающее уровень знаний, умений, профессиональных навыков и опыта работы. Характеристика квалификации, необходимой работнику для осуществления определенноговида профессиональной деятельности, в том числе выполнения определенной трудовойфункции, называется "профессиональный стандарт".

В настоящее время в области информационной безопасности существует пятьпрофессиональных стандартов – три общедоступных и два ограниченного доступа:

  • специалист по безопасности компьютерных систем и сетей (утв. приказом Министерства труда исоциальной защиты Российской Федерации от 01.11.2016 № 598н);
  • специалист по технической защите информации (утв. приказом Министерства труда и социальной защиты Российской Федерации от 01.11.2016 № 599н);
  • специалист по защите информации в телекоммуникационных системах и сетях (утв. приказом Министерства труда и социальной защиты Российской Федерации от 03.11.2016 № 608н);
  • специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак1179н (ДСП) 29.12.2015;
  • специалист по противодействию иностранным техническим разведкам 15 (ДСП) 25.12.2015.

Профессиональные стандарты в области информационной безопасности предусматриваютчетыре уровня квалификации специалистов по защите информации, а самый низкий, пятый, уровень – включает в себя наименования должностей техник (1 и 2 категории) и старшийтехник, к которым предъявляются требования о наличии среднего профессиональногообразования и опыта работы не менее года в должности с более низкой категорией длясоответствующих должностей.

В функциональные обязанности данных специалистов входит:

  • установка (включая монтаж) и настройка программно-аппаратных средств защиты информации,в том числе средств криптографической защиты информации;
  • техническое обслуживание средств защиты информации;
  • оформление эксплуатационной документации на программно-аппаратные средства защитыинформации;
  • проверка корректности работы и восстановление работоспособности программно-аппаратныхсредств защиты информации;
  • инструктаж пользователей по порядку безопасной работы в информационных системах.

Шестой уровень квалификации включает в себя следующие наименования должностей:администратор безопасности, инженер (инженер-программист) 1–3 категории, специалист потехнической защите информации 1–2 категории, к которым предъявляются требования оналичии высшего образования в форме бакалавриата в области информационной безопасностии опыта работы от одного года в должности с более низкой категорией.

В функциональные обязанности данных специалистов входит:

  • установка и монтаж защищенных технических средств обработки информации, их настройка ииспытания;
  • определение состава применяемых программно-аппаратных средств защиты информации,разработка порядка их применения в информационных системах, включая формированиешаблонов установки;
  • установка и настройка (конфигурирование) программно-аппаратных средств защитыинформации, включая средства криптографической защиты информации;
  • контроль корректности функционирования программно-аппаратных средств защитыинформации, составление отчетов по результатам проверок, в том числе выявлениеинцидентов информационной безопасности;
  • разработка программ и методик испытания технических средств защиты информации от утечкипо техническим каналам и проведение указанных испытаний;
  • формирование обязанностей и полномочий персонала, обслуживающего автоматизированныесистемы и средства их защиты, проверка уровня квалификации, контроль выполненияперсоналом требований инструкций.

Седьмой уровень квалификации включает в себя следующие наименования должностей:инженер-программист 1–3 категории, инженер-проектировщик 1–3 категории, специалист позащите информации 1–2 категории, ведущий специалист по защите информации, эксперт поанализу защищенности компьютерных систем и сетей, руководитель группы, руководительпроектов, к которым предъявляются требования о наличии высшего образования в формеспециалитета или магистратуры в области информационной безопасности и опыта работы отодного года в должности с более низкой категорией.

В функциональные обязанности данных специалистов входит:

  • анализ угроз информационной безопасности, оценка уровня безопасности компьютерных системи сетей;
  • разработка средств и систем защиты информации от несанкционированного доступа и (или) отутечки по техническим каналам, технических средств контроля защищенности;
  • проведение контрольных проверок работоспособности и эффективности применяемыхпрограммно-аппаратных средств защиты информации;
  • проведение НИОКР в области защиты информации;
  • проектирование объектов, средств и систем информатизации в защищенном исполнении;
  • проведение аттестации объектов на соответствие требованиям по защите информации,проведение сертификационных испытаний средств защиты информации, объектов взащищенном исполнении, средств анализа защищенности;
  • разработка требований по защите и формирование политик безопасности;
  • управление отношениями с регуляторами в сфере защиты информации;
  • проведение анализа безопасности компьютерных систем и сетей, инструментальногомониторинга защищенности;
  • проведение экспертизы при расследовании инцидентов, компьютерных правонарушений ипреступлений.

Самый высокий, восьмой уровень квалификации включает в себя следующие наименованиядолжностей: главный специалист по защите информации, заместитель руководителя ируководитель структурного подразделения по защите информации, научный консультант позащите информации. К этим специалистам предъявляются требования о наличии высшегообразования в форме специалитета или магистратуры в области информационной безопасностии дополнительного профессионального образования – программы повышения квалификации вобласти информационной безопасности, или послевузовского образования – аспирантура(адъюнктура), в ряде случаев тоже с повышением квалификации в области информационнойбезопасности, а также опыта работы от двух лет, в том числе на руководящих должностях (длядолжностей руководителей).

В функциональные обязанности данных специалистов входит:

  • разработка (проектирование) программно-аппаратных средств защиты информации и (или) требований к ним, тестирование и сопровождение разработки;
  • организация и проведение работ по защите информации;
  • создание, ввод в эксплуатацию и сопровождение системы защиты информации в организации;
  • экспертиза проектных решений в сфере защиты информации;
  • организация проведения исследований в сфере информационной безопасности;
  • разработка технологических процессов производства программных, программно-аппаратных (втом числе криптографических) и технических средств и систем защиты.

Таким образом, с учетом изложенного можно предложить следующую классификацию,включающую четыре профессиональных уровня:

1 уровень – техник по защите информации, уровень квалификации для специалиста со среднимспециальным образованием.

2 уровень – специалист по защите информации (администратор информационной безопасности,инженер), начальный уровень квалификации для специалиста, имеющего первую ступеньвысшего профессионального образования (бакалавр).

3 уровень – ведущий специалист по защите информации (инженер-программист,инженер-проектировщик), более высокий уровень квалификации, подразумевающий наличиеследующей ступени высшего профессионального образования – специалитета илимагистратуры.

4 уровень – руководитель структурного подразделения по защите информации, самый высокийиз предусмотренных в профессиональных стандартах уровней квалификации,предусматривающий наличие высшего образования в форме специалитета или магистратуры сповышением квалификации, или послевузовского образования в форме аспирантуры(адъюнктуры).

Следует отметить, что указанное распределение квалификационных требований в целомотражает запросы рынка труда в части специалистов по информационной безопасности,естественно с небольшими вариациями, т.к. профессиональные стандарты на сегодняшний деньносят преимущественно рекомендательный характер.

Каких специалистов готовят учебные заведения

Специалистов 1 уровня – техников – готовят в учреждениях среднего профессиональногообразования (СПО). При этом, несмотря на соответствие выпускников профессиональнымстандартам, спрос на рынке труда на указанных специалистов значительно ниже, чем наспециалистов с высшим образованием. По мнению автора, это связано со следующимипричинами:

  • отсутствие понимания у большинства работодателей потенциала подготовки специалистов сосредним профессиональным образованием. Так, например, прошедшее на базе УРТК им. А.С. Попова 22 февраля 2017 г. заседание клуба ИТ-директоров Урала показало, что у бизнеса СПОассоциируется с ПТУ и рабочими профессиями (электрик, сантехник, плотник и т.п.);
  • помимо психологических проблем, имеются и законодательные барьеры, снижающиепреимущества СПО по сравнению с высшим профессиональным образованием.

Так, в частности, в соответствии с пп. "а" п. 5 Положения о лицензировании деятельности потехнической защите конфиденциальной информации" (утв. постановлением ПравительстваРоссийской Федерации от 3 февраля 2012 г. № 79) для получения лицензии ФСТЭК России потехнической защите конфиденциальной информации соискатель лицензии должен иметь вштате специалистов имеющих высшее профессиональное образование в области техническойзащиты информации либо высшее техническое или среднее профессиональное (техническое)образование и прошедших переподготовку или повышение квалификации по вопросамтехнической защиты информации. Аналогичные требования предъявляются и к соискателямлицензий ФСБ России, осуществляющим деятельность по криптографической защитеинформации.

Таким образом, выпускники учебных заведений среднего профессионального образования несоответствуют требованиям для получения лицензий, что, с учетом достаточно небольшойчисленности служб информационной безопасности в большинстве организаций, снижает ихпривлекательность у потенциального работодателя.

Специалистов 2–4 уровня – бакалавров, специалистов и магистров –  готовит достаточнобольшое количество высших учебных заведений. При этом, в настоящее время в направленииподготовки "Информационная безопасность" наблюдается общая для всех направленийтенденция к постепенному переходу на так называемую болонскую систему образования(прохождение двух уровней высшего образования – бакалавриата и магистратуры) ипостепенному "отмиранию" специалитета.

Следует отметить, что согласно профессиональным стандартам, квалификации "бакалавр"достаточно лишь для должностей 2 уровня, для всех остальных необходима квалификацияспециалиста или магистра.

Таким образом очевидно, что для полноценного развития в профессии сегодняшним студентамнеобходимо прохождение двух уровней высшего профессионального образования –бакалавриата и магистратуры.

Касательно вопроса качества обучения студентов в вузах – в настоящее время естьфедеральные государственные образовательные стандарты, определяющие требования кнеобходимому минимуму знаний, умений и навыков выпускников учебных заведений, на основекоторых формируются программы учебных курсов.

В рамках данных стандартов акцент делается прежде всего на обучение техническим мерамзащиты информации. При этом, согласно ст. 16 Федерального закона от 27.07.2006 г. № 149-ФЗ"Об информации, информационных технологиях и о защите информации" защита информациивключает три группы мер: правовые, организационные и технические.

По оценкам экспертов, в практической деятельности специалиста по информационнойбезопасности преобладают задачи, связанные с проработкой организационных мер защитыинформации и работой с персоналом. При этом для должностей более высокого уровня (3 и 4 уровни), прежде всего руководителей, реализация указанных мер является основной задачей впроцессе текущей деятельности.

Таким образом, получается, что система образования на сегодняшний день нацелена наподготовку прежде всего технических специалистов начального уровня, которые на практикеявляются абсолютно не подготовленными в части написания инструкций и регламентов поинформационной безопасности, проведения расследований и управления отношениями срегуляторами в сфере защиты информации. Поэтому, по мнению автора, последующийкарьерный рост специалиста по защите информации потребует дальнейшего повышенияквалификации и получение дополнительного образования. Автор считает, что наиболеецелесообразно рассматривать юридическое образование.

В завершение статьи остановимся на такой характеристике квалификации, как опыт работы.Вопрос, который, как правило, встает перед каждым выпускником: где взять опыт? Ведьработодатель хочет видеть сотрудника уже с опытом, и данное требование вполне законно.

Как правило, многие активные студенты начинают работать уже в процессе обучения. Однако всилу того, что специфика работы специалиста по информационной безопасности связана с"охраной секретов", большинство работодателей не рассматривает студентов на должностиспециалистов по защите информации, хотя, конечно, бывают исключения из данного правила иавтору таковые известны (например, компания, в которой автор работает в настоящее время).

Если трудоустроиться в процессе учебы не получается, то, по мнению автора, необходимоформировать портфолио студента, куда могут входить его научные публикации по вопросаминформационной безопасности в издаваемых вузами сборниках, участие в олимпиадах илисоревнованиях по информационной безопасности. Следует отметить, что автору много разприходилось слышать о высокой оценке крупными компаниями выпускников, имеющих опытучастия в соревнованиях по информационной безопасности, проводимых по стандартам Capture the Flag (CTF).

Автор полагает, что только сочетанием учебной (с обязательным участием в нейпреподавателей-практиков) и внеучебной работы (проведение конференций, круглых столов,соревнований по информационной безопасности) можно обеспечить соответствие подготовкиспециалиста предъявляемым высоким требованиям к квалификации.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

-2

Источник: https://www.itsec.ru/articles/uroven-obrazovaniya-spetsialista-i-vysokiye-trebovaniya-k-kvalifikatsii-kto-kogo

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!

Взгляните на эти темы
Безопасность и правопорядок
Общество
Найти тему
Карьера и трудоустройство
Сельское хозяйство
Происшествия
Сельская жизнь
Конфликты с соседями
Потребительские права
ГИБДД
Военно-патриотическая деятельность
Пенсия
Служба в армии
ЖКХ
Общественный транспорт
Утилизация отходов
Мой Ханты-Мансийск
Пожары и последствия
Социальная поддержка и благотворительность
Рынок такси
Лотереи
Безопасность и правопорядок
95,2 тыс интересуются