Рынок подтверждения соответствия (сертификации) IT-продукции в Казахстане можно безболезненно упростить, исключив некоторые излишние требования к игрокам и заказчикам. Компания «ОТАН-СЕКЬЮРИТИ» является лидирующим в Казахстане органом по подтверждению соответствия требованиям информационной безопасности продукции, программных продуктов, средств оперативно-разыскных мероприятий. Важнейшее направление нашей деятельности – сертификация телекоммуникационного оборудования на соответствие требованиям ИБ. Этот вид сертификации необходим для оборудования, которое используется в госорганах для предотвращения утечек важной, а иногда и секретной информации. Объем рынка от года к году практически не меняется – ежегодно на нем выдается от 8 до 9 тыс. сертификатов в области телекоммуникационного оборудования суммарно, большая часть из которых выдается нашей компанией. В пример можно привести кадровую проблему в отрасли: чтобы компания состоялась в качестве полноценного органа сертификации, там должны работать аттестованные эксперты аудиторы, для соблюдения беспристрастности – минимум двое, со стажем работы в отрасли не менее трех – пяти лет, имеющие специальное образование. Опыт должен быть у эксперта,это понятно, однако разумно ли требовать пятилетний стаж как обязательное условие для профессии? Здесь возникают вопросы, потому что айтишник – выпускник вуза, какими бы знаниями и навыками он ни обладал, не сможет сразу стать экспертом-аудитором. Опыт нарабатывается со временем, а в «младшую лигу» будущие эксперты-аудиторы не идут по причине низких зарплат. Отсюда следует кадровый дефицит: растить эксперта в течение трех – пяти лет на перспективу может позволить себе далеко не каждая компания, и далеко не все кандидаты в эксперты готовы выжидать этот срок. Также необходимо исключить требование к узкой специализации будущих экспертов-аудиторов: на наш взгляд, достаточно будет того, чтобы кандидат год работал в органе сертификации на любом смежном направлении. Второй путь решения кадрового вопроса – это необходимость дать экспертам-аудиторам «вольную» уже на постаттестационном этапе – сейчас аттестация жестко привязывает их к одной компании. Потому что при возникновении кадрового форс-мажора у работодателя была бы возможность привлекать на проектной основе экспертов из других сертификационных органов. То есть тогда, когда у тебя не хватает эксперта по какому-то специфичному направлению, с которым в ходе сертификации ты сталкиваешься редко – а потому и нет смысла содержать отдельного специалиста по нему в штате, ты мог бы за дополнительную плату и по договоренности с руководством другой структуры задействовать их эксперта. Потому что у органа сертификации помимо аттестованных экспертов еще должна быть испытательная лаборатория с дорогостоящим оборудованием. На самом деле это очень хорошая возможность для местных разработчиков предложить государству свой, отечественный продукт, и мы как орган сертификации вносим большой вклад в процедуру подтверждения (проверки) разработанных отечественных продуктов, что позволяет государству быть уверенным: продукт не содержит уязвимость, безопасен и им можно смело пользоваться.Курсив