Минтруда и Центробанк разрабатывают новые профессиональные стандарты для специалистов по кибербезопасности.
Министерство труда РФ совместно с Банком России работают над особыми квалификационными требованиями для специалистов в области кибербезопасности. Для работы в госорганах ИБ-эксперты должны будут получать сертификат, но для коммерческих компаний наличие такого документа необязательно, пишут «Известия».
Разработкой профессионального стандарта для специалистов по кибербезопасности занимаются Федеральная служба по техническому и экспортному контролю, Центробанк, Минобрнауки и Минтруда.
Как указывается в документе Минтруда, от специалиста требуется знание криптографии, теории алгоритмов, кодов, математической логики и законов об информации. Помимо прочего, эксперт должен уметь обнаруживать, классифицировать и противодействовать киберугрозам, выявлять уязвимости, восстанавливать систему после кибератак, самостоятельно проводить тестовые взломы и расследования киберинцидентов. Кроме того, специалист должен пройти курсы повышения квалификации и получить соответствующий сертификат.
В настоящее время правом выдавать сертификаты обладают три организации: межрегиональная общественная организация «Ассоциация защиты информации», федеральное учебно-методическое объединение «Информационная безопасность», а также Академия ФСБ.
По словам одного из источников «Известий», сертификат станет обязательным при найме сотрудников во всех министерствах и федеральных службах. Причем его наличие будет обязательным условием как для соискателей на должность, так и для действующих сотрудников. Как подсчитал глава аналитического центра Zecurion Владимир Ульянов, переподготовка одного специалиста обойдется госорганам в порядка 100 - 200 тыс. рублей.
Владимир Княжицкий, генерального директора компании "Фаст Лейн" в России и СНГ
Обычно, когда речь идет о таких сертификатах, используется понятие «этичный хакинг», а не «антихакинг», как пишут «Известия». Такие сертификаты уже существуют: есть готовые учебные программы, международные экзамены и уровни сертификаций. Я не вижу смысла изобретать велосипед. Интернет в России ничем не отличается от Интернета в другой стране. Компьютерные технологии интернациональны и, если уже существуют треки обучения, то надо пользоваться ими. Или разрабатывать свой трек, но с изначальным глобальным позиционированием.
В мире наиболее популярны два вендора, которые дают такое обучение. Это NotSoSecure и Ethical Hacking, мы работаем и с тем, и с другим. Также есть тренинги по сетевой безопасности, которые готовят хорошую базу для таких специалистов: они раскрывают понимание мониторинга и обучают глубокому анализу трафика.
В зависимости от требуемого уровня квалификации, подготовка специалиста стоит от 100 000 до 300 000 рублей и занимает от 1 до 4 недель. Но главное в этом не то, сколько стоит подготовка, а то, что в этой области знаний необходимо 1-2 раза в год обязательно посещать обновленные курсы. Это как обновление антивируса. Если вы не обновляете базы антивируса - считайте, что его у вас нет.
Александр Колыбельников, менеджер по продукту компании «Код безопасности»
Речь идет о формировании отраслевых профстандартов, где будет отражена совокупность квалификационных требований для специалистов в области кибербезопасности. Профстандарты разработаны и применяются согласно статье ТК РФ. В них перечислены характеристики квалификации, необходимой для осуществления определенного вида деятельности. Профстандарты обязательны к исполнению только для государственных структур и госкомпаний.
В части защиты информации принято несколько профессиональных стандартов, где перечислены специальность и ключевые функции специалистов. В настоящее время их три:
1. Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности;
2. Специалист по безопасности компьютерных систем и сетей;
3. Специалист по защите информации в автоматизированных системах.
Список проектов стандартов в области информационной безопасности гораздо шире.
Постановление правительства № 584 предусматривает поэтапное введение и применение профессиональных стандартов, причем с учетом мнения руководства организаций. Завершить процесс необходимо до 1 января 2020 г.
За развитие системы подготовки и переподготовки отвечает Национальное агентство развития квалификаций. У них на сайте есть перечень из примерно 15 аккредитующих организаций. Также существует профильное УМО по образованию в области защиты информации, которое управляет этим процессом. В его состав входит 74 вуза, обладающих необходимыми лицензиями. Поэтому вопрос подготовки и переподготовки специалистов в области защиты информации будет решаться в первую очередь именно силами этих учреждений и учебных центров на их базе.
Примерные учебные планы для подготовки специалистов представлены здесь:
http://www.isedu.ru/documents.proop/index.htm
За свое обучение или переподготовку работник платить не должен, средства на обучение выделяет работодатель – госорганизация. Думаю, что цены за подготовку и переподготовку специалистов будут отличаться в зависимости от вуза и будут сопоставимы со стоимостью существующих подобных программ.
Директор Учебного центра «СёрчИнформ» Алексей Дрозд
Эта новость отражение системной работы Банка России. Уже два года говорят о проблеме с кадрами в сфере информационной безопасности, в том числе в госорганах. Первые реальные действия в этом направлении были предприняты в 2016 году. К примеру, в июле прошлого года Сбербанк и шесть столичных вузов подписали соглашение о подготовке кадров для борьбы с киберпреступностью.
Инициатива в целом здравая, однако вызывает сомнения список квалификационных требований к специалисту в области кибербезопасности. Из него следует, что нужен «человек-оркестр». Не скажу, что это плохо, но всё же. Сотрудник должен обладать навыками риск-менеджера, пентестера, аналитика ИБ, разбираться в нормативных документах, знать теорию (криптографию, алгоритмы, коды, математическую логику и пр.). Логично, что это высокооплачиваемый специалист. Смогут ли позволить наём таких сотрудников госучредения, вопрос не последний.
Кроме того, обучение по стольким дисциплинам стоит недешёво. Порядок цен – сотни тысяч рублей за обучение одного специалиста. Вероятнее всего, специалисту придется заплатить за обучение из своего кармана.
Не стоит исключать и того, что под благими намерениями повысить профессионализм ИБ-специалистов стоит очередной коммерческий проект. Во-первых, на данный момент только 3 организации уполномочены выдавать подобные сертификаты. Получение лицензии на учебную деятельность, подготовка, согласование и аккредитация курса – задача не одного дня. Поэтому конкуренты у этой тройки появятся в лучшем случае через полгода. В такой ситуации, у специалистов просто не остается выбора, куда идти учиться.
Во-вторых, преподаватели на таких курсах – не столько независимые эксперты, сколько представители вендоров. Не исключено, что они будут обучать на своих продуктах, параллельно рекламируя их и способствуя продажам. Именно поэтому идея с сертификатом в том виде, как ее предполагается реализовать сейчас, кажется мне коммерческим проектом. Ведь наличие определённой корочки (которую можно получить только за деньги) – это искусственное ограничение.
Решением мог бы стать экзамен, где специалист бы платил за попытку сдачи. Сдаёшь экзамен – получаешь сертификат. И не важно, где ты получил знания: отучился на специальных курсах или сам всё освоил на бесплатных площадках в Сети. Такая система более справедлива и оставляет за специалистом возможность выбора, где и как получать ему те или иные знания.
Ладно, не доказали. Но мы работаем над этим