Уровень образования специалиста и высокие требования к квалификации: кто кого?

Требования, предъявляемые к квалификации специалиста по информационной безопасности¹

В настоящее время в области информационной безопасности существует пять профессиональных стандартов – три общедоступных и два ограниченного доступа:

• специалист по безопасности компьютерных систем и сетей (утв. приказом Министерства труда и социальной защиты Российской Федерации от 01.11.2016 № 598н);
• специалист по технической защите информации (утв. приказом Министерства труда и социальной защиты Российской Федерации от 01.11.2016 № 599н);
• специалист по защите информации в телекоммуникационных системах и сетях (утв. приказом Министерства труда и социальной защиты Российской Федерации от 03.11.2016 № 608н);
• специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак 1179н (ДСП) 29.12.2015;
• специалист по противодействию иностранным техническим разведкам 15 (ДСП) 25.12.2015².

Все указанные профессиональные стандарты предусматривают четыре уровня квалификации специалистов по защите информации (с пятого по восьмой³).

Самый низкий – пятый уровень – включает в себя следующие наименования должностей⁴: техник (1 и 2 категории) и старший техник, к которым предъявляются требования о наличии среднего профессионального образования и опыта работы не менее года в должности с более низкой категорией для соответствующих должностей.

В функциональные обязанности данных специалистов входит:

• установка (включая монтаж) и настройка программно-аппаратных средств защиты информации, в том числе средств криптографической защиты информации;
• техническое обслуживание средств защиты информации;
• оформление эксплуатационной документации на программно-аппаратные средства защиты информации;
• проверка корректности работы и восстановление работоспособности программно-аппаратных средств защиты информации;
• инструктаж пользователей по порядку безопасной работы в информационных системах.

Шестой уровень квалификации включает в себя следующие наименования должностей: администратор безопасности, инженер (инженер-программист) 1–3 категории, специалист по технической защите информации 1–2 категории, к которым предъявляются требования о наличии высшего образования в форме бакалавриата в области информационной безопасности и опыта работы от одного года в должности с более низкой категорией.

В функциональные обязанности данных специалистов входит:

• установка и монтаж защищенных технических средств обработки информации, их настройка и испытания;
• определение состава применяемых программно-аппаратных средств защиты информации, разработка порядка их применения в информационных системах, включая формирование шаблонов установки;
• установка и настройка (конфигурирование) программно-аппаратных средств защиты информации, включая средства криптографической защиты информации;
• контроль корректности функционирования программно-аппаратных средств защиты информации, составление отчетов по результатам проверок, в том числе выявление инцидентов информационной безопасности;
• разработка программ и методик испытания технических средств защиты информации от утечки по техническим каналам и проведение указанных испытаний;
• формирование обязанностей и полномочий персонала, обслуживающего автоматизированные системы и средства их защиты, проверка уровня квалификации, контроль выполнения персоналом требований инструкций.

Седьмой уровень квалификации включает в себя следующие наименования должностей: инженер-программист 1–3 категории, инженер-проектировщик 1–3 категории, специалист по защите информации 1–2 категории, ведущий специалист по защите информации, эксперт по анализу защищенности компьютерных систем и сетей, руководитель группы, руководитель проектов, к которым предъявляются требования о наличии высшего образования в форме специалитета или магистратуры в области информационной безопасности и опыта работы от одного года в должности с более низкой категорией.

В функциональные обязанности данных специалистов входит:

• анализ угроз информационной безопасности, оценка уровня безопасности компьютерных систем и сетей;
• разработка средств и систем защиты информации от несанкционированного доступа и (или) от утечки по техническим каналам, технических средств контроля защищенности;
• проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации;
• проведение НИОКР⁵ в области защиты информации;
• проектирование объектов, средств и систем информатизации в защищенном исполнении;
• проведение аттестации объектов на соответствие требованиям по защите информации, проведение сертификационных испытаний средств защиты информации, объектов в защищенном исполнении, средств анализа защищенности;
• разработка требований по защите и формирование политик безопасности;
• управление отношениями с регуляторами в сфере защиты информации;
• проведение анализа безопасности компьютерных систем и сетей, инструментального мониторинга защищенности;
• проведение экспертизы при расследовании инцидентов, компьютерных правонарушений и преступлений.

Самый высокий, восьмой уровень квалификации включает в себя следующие наименования должностей: главный специалист по защите информации, заместитель руководителя и руководитель структурного подразделения по защите информации, научный консультант по защите информации. К этим специалистам предъявляются требования о наличии высшего образования в форме специалитета или магистратуры в области информационной безопасности и дополнительного профессионального образования – программы повышения квалификации в области информационной безопасности или послевузовского образования – аспирантура (адъюнктура), в ряде случаев тоже с повышением квалификации в области информационной безопасности, а также опыта работы от двух лет, в том числе на руководящих должностях (для должностей руководителей).

В функциональные обязанности данных специалистов входит:

• разработка (проектирование) программно-аппаратных средств защиты информации и (или) требований к ним, тестирование и сопровождение разработки;
• организация и проведение работ по защите информации;
• создание, ввод в эксплуатацию и сопровождение системы защиты информации в организации;
• экспертиза проектных решений в сфере защиты информации;
• организация проведения исследований в сфере информационной безопасности;
• разработка технологических процессов производства программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты.

Таким образом, с учетом изложенного можно предложить следующую классификацию⁶, включающую четыре профессиональных уровня:

Первый уровень – техник по защите информации, уровень квалификации для специалиста со средним специальным образованием.

Второй уровень – специалист по защите информации (администратор информационной безопасности, инженер), начальный уровень квалификации для специалиста, имеющего первую ступень высшего профессионального образования (бакалавр).

Третий уровень – ведущий специалист по защите информации (инженер-программист, инженер-проектировщик), более высокий уровень квалификации, подразумевающий наличие следующей ступени высшего профессионального образования – специалитета или магистратуры.

Четвертый уровень – руководитель структурного подразделения по защите информации, самый высокий из предусмотренных в профессиональных стандартах уровней квалификации, предусматривающий наличие высшего образования в форме специалитета или магистратуры с повышением квалификации или послевузовского образования в форме аспирантуры (адъюнктуры).

Следует отметить, что указанное распределение квалификационных требований в целом отражает запросы рынка труда в части специалистов по информационной безопасности, естественно, с небольшими вариациями, т.к. профессиональные стандарты на сегодняшний день носят преимущественно рекомендательный характер.

Каких специалистов готовят учебные заведения

Специалистов 1 уровня – техников – готовят в учреждениях среднего профессионального образования (СПО). При этом, несмотря на соответствие выпускников профессиональным стандартам, спрос на рынке труда на указанных специалистов значительно ниже, чем на специалистов с высшим образованием. По мнению автора, это связано со следующими причинами:

• отсутствие понимания у большинства работодателей потенциала подготовки специалистов со средним профессиональным образованием. Так, например, прошедшее на базе УРТК им. А.С. Попова 22 февраля 2017 г. заседание клуба ИТ-директоров Урала показало, что у бизнеса СПО ассоциируется с ПТУ и рабочими профессиями (электрик, сантехник, плотник и т.п.)⁷;
• помимо психологических проблем, имеются и законодательные барьеры, снижающие преимущества СПО по сравнению с высшим профессиональным образованием.

Так, в частности, в соответствии с пп. "а" п. 5 Положения о лицензировании деятельности по технической защите конфиденциальной информации» (утв. постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79) для получения лицензии ФСТЭК России по технической защите конфиденциальной информации соискатель лицензии должен иметь в штате специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. Аналогичные требования предъявляются и к соискателям лицензий ФСБ России, осуществляющим деятельность по криптографической защите информации⁸.

Таким образом, выпускники учебных заведений среднего профессионального образования не соответствуют требованиям для получения лицензий, что, с учетом достаточно небольшой численности служб информационной безопасности в большинстве организаций, снижает их привлекательность у потенциального работодателя.

Специалистов 2–4 уровня – бакалавров, специалистов и магистров – готовит достаточно большое количество высших учебных заведений. При этом в настоящее время в направлении подготовки "Информационная безопасность" наблюдается общая для всех направлений тенденция к постепенному переходу на так называемую болонскую систему образования (прохождение двух уровней высшего образования – бакалавриата и магистратуры) и постепенному "отмиранию" специалитета.

Следует отметить, что согласно профессиональным стандартам квалификации "бакалавр" достаточно лишь для должностей 2 уровня, для всех остальных необходима квалификация специалиста или магистра.

Таким образом очевидно, что для полноценного развития в профессии сегодняшним студентам необходимо прохождение двух уровней высшего профессионального образования – бакалавриата и магистратуры.

В рамках данных стандартов акцент делается прежде всего на обучение техническим мерам защиты информации. При этом, согласно ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" защита информации включает три группы мер: правовые, организационные и технические.

По оценкам экспертов, в практической деятельности специалиста по информационной безопасности преобладают задачи, связанные с проработкой организационных мер защиты информации и работой с персоналом. При этом для должностей более высокого уровня (3 и 4 уровни), прежде всего руководителей, реализация указанных мер является основной задачей в процессе текущей деятельности.

Таким образом, получается, что система образования на сегодняшний день нацелена на подготовку прежде всего технических специалистов начального уровня, которые на практике являются абсолютно не подготовленными в части написания инструкций и регламентов по информационной безопасности, проведения расследований и управления отношениями с регуляторами в сфере защиты информации. Поэтому, по мнению автора, последующий карьерный рост специалиста по защите информации потребует дальнейшего повышения квалификации и получение дополнительного образования. Автор считает, что наиболее целесообразно рассматривать юридическое образование.

В завершение статьи остановимся на такой характеристике квалификации, как опыт работы. Вопрос, который, как правило, встает перед каждым выпускником: где взять опыт? Ведь работодатель хочет видеть сотрудника уже с опытом, и данное требование вполне законно⁹.

Как правило, многие активные студенты начинают работать уже в процессе обучения. Однако в силу того, что специфика работы специалиста по информационной безопасности связана с "охраной секретов", большинство работодателей не рассматривает студентов на должности специалистов по защите информации, хотя, конечно, бывают исключения из данного правила и автору таковые известны (например, компания, в которой автор работает в настоящее время).

Если трудоустроиться в процессе учебы не получается, то, по мнению автора, необходимо формировать портфолио студента, куда могут входить его научные публикации по вопросам информационной безопасности в издаваемых вузами сборниках, участие в олимпиадах или соревнованиях по информационной безопасности. Следует отметить, что автору много раз приходилось слышать о высокой оценке крупными компаниями выпускников, имеющих опыт участия в соревнованиях по информационной безопасности, проводимых по стандартам Capture the Flag (CTF).

Автор полагает, что только сочетанием учебной (с обязательным участием в ней преподавателей-практиков) и внеучебной работы (проведение конференций, круглых столов, соревнований по информационной безопасности) можно обеспечить соответствие подготовки специалиста предъявляемым высоким требованиям к квалификации.