Не так давно шла дискуссия о разработке и принятии профессионального стандарта специалиста по информационной безопасности. И вот недавно, 18 сентября американская национальная академия наук на своей конференции признала, что профессии/специальности специалиста по кибербезопасности быть не может, т.к. кибербезопасность (или пока привычная нам информационная безопасность) слишком объемна и разнопланова,чтобы объединить ее под одним "зонтиком". На самом деле выводов было сделано 7. Большинство из них очевидны, но, пожалуй, впервые было признано (да еще и в стране, которая активно продвигает тему кибербезопасности в течение последних лет), что действий, направленные на унификацию и универсализацию профессии ИБ бесперспективны. А выводы были такие:
- Требуется больше внимания со стороны государства к вопросам кибербезопасности.
- Потребность в специалистах по кибербезопасности будет только расти, но спрогнозировать их число, а также нужное сочетание знаний и навыков в области кибербезопасности сейчас с уверенностью невозможно.
- Кибербезопасность охватывает разнообразные контексты, роли и виды деятельности. Такая ширина и разнообразие охвата не позволяет рассматривать кибербезопасность в качестве единой профессии.
- Кибербезопасность - это не только и не столько технические меры. Для эффективной работы в данной сфере необходим широкий спектр навыков и знаний.
- Профессионализм имеет несколько целей и достигаться они могут разными механизмами.
- Путь к профессионализму в области кибербезопасность может быть долгим и трудным.
- Профессионализм имеет как выгоды так и затраты, которые должны быть взвешены перед принятием решения о вступлении на путь кибербезопасности.
Нельзя быть специалистом по кибербезопасности (или по информационной безопасности) - слишком широко поле. Таков вывод американских академиков. Необходимо концентрироваться на какой-либо из областей и развиваться в ней. Государству и иным заинтересованным лицам также не надо концентрироваться на развитии профессии кибербезопасности как единой дисциплины. Необходимо разбивать ее на разные специальности, которые имеют четко очерченные границы. К граничным критериям могут быть отнесены:
- стабильные и не так часто изменяющиеся требования к знаниям и навыкам,
- стабильные роли и обязанности
- четкие границы, отличающие одну специальность от других.
Еще одним условием выделения отдельных специальностей по кибербезопасности должны стать достоверные доказательства недостатка в профессиональной рабочей силе, а также недостатка квалификации действующих специалистов.
Какие выводы можно сделать в России и для России? У нас отсутствует четкое понимание количества специалистов по безопасности, работающих сейчас в российских организациях разных форм собственности (в США такая оценка есть). У нас отсутствует прогноз потребностей в специалистах по ИБ (в США тоже не смогли оценить). У нас отсутствует качественное образование в области ИБ, соответствующее потребностям современных организаций (в США оно есть). У нас действия Рособразования, ФСТЭК, ФСБ и профессионального сообщества мало согласованы между собой (в США ситуация получше, но там и заказ на специалистов делает бизнес - ВУЗ просто не получит студентов и денег, если будут готовить так, как это делают в России). У нас есть государственный образовательный стандарт с 4-хлетним жизненным циклом обновления, что очень неоперативно в современной динамичной среде (в США вообще нет стандартов на образование в области информационной безопасности).
Что в итоге? А итоги неутешительны. Можно писать документы с требованиями по защите. Можно заставлять всех использовать сертифицированные СКЗИ отечественного производства. Можно спускать сверху разнарядку на прием девушек в учебные заведения ФСБ. Только вот при отсутствии достаточного количества грамотных специалистов все эту будет бесперспективно и никому не нужно - некому будет все это внедрять и реализовывать. И останется нам только ставить на окна решетки и запирать носители с защищаемой информацией в сейф для предотвращения угроз информационной безопасности, как советует 8-й Центр ФСБ.