В Российской Федерации планируется полный пересмотр стандартов подготовки специалистов в области информационной безопасности. Об этом сообщил министр цифрового развития РФ Максут Шадаев во время общения с журналистами агентства РИА «Новости».

Максут Шадаев заявил, что текущий уровень киберугроз требует реализации новых мер в сфере подготовки профильных специалистов, в связи с чем ведомство в скором времени подготовит соответствующие обновления.

По словам министра цифрового развития, его ведомство прекрасно осознаёт важность информационной безопасности в нынешних условиях, поэтому в министерстве убеждены в необходимости уделять особое внимание подготовке специалистов в сфере кибербезопасности.

Министр также указал на то, что уже сейчас профильными структурами ведется активный пересмотр отраслевых и профессиональных стандартов в сфере ИБ, чтобы они в полной мере соответствовали современному уровню технологий и актуальным киберугрозам. С которыми сталкивается как государство, так и частный бизнес в России.

Шадаев также отметил необходимость обеспечения высокого качества подготовки студентов, которые выбирают специальности в этом направлении. Шадаев заметил, что уже сегодня в ряде российских вузов функционирует множество факультетов, специализирующихся на информационной безопасности. Эта область стала одной из самых популярных среди абитуриентов, и поэтому задача министерства – гарантировать качественное образование будущим специалистам.

Михаил Сергеев, ведущий инженер CorpSoft24, заявил: “Подготовка Российских специалистов по кибербезопасности в ВУЗах достаточно слабая, основной упор делается на выпуск IT-специалиста широкого профиля, программа не обновляется годами, хоть все очень быстро меняется, нужна именно узкая специализация с обширной программой и учетом современных реалий.

Сейчас большинство специалистов по кибербезопасности это бывшие системные администраторы или девопсы, которые прошли дополнительные платные курсы и сменили свою специальность, т.к в этой области очень высокий спрос и очень высокие предложения по заработной плате. Инициатива нужна, пересмотреть стандарты подготовки специалистов по кибербезопасности необходимо, но нужно не забывать, что данные специалисты имеют все навыки, возможности, они могут перейти на темную сторону и вместо защиты Российских информационных систем – наоборот атаковать их, поэтому инициатива должна включать в себя также постановку на специальный учет для таких специалистов”.

Инга Оськина, Директор по персоналу Cloud Networks, прокомментировала: “Этим летом Cloud Networks открыли свои двери для 31 студента факультетов ИБ из трех ВУЗов Москвы и Самары. Прошедшая летняя практика показала, что полученные теоретические знания далеки от реалий. За две недели практики студенты, по их словам, получили гораздо больше, чем за три года обучения в ВУЗе. Однозначно стоит пересматривать стандарты подготовки, вводить в курс больше практики, подбирать педагогов с «полей», которые на деле знают проблемы и решения кибербеза. К тому же набирает обороты практика заключения трехсторонних ученических договоров: когда студент с первых дней закреплен за организацией, и у него есть возможность реализовывать на реальных кейсах полученные знания. Мы в Cloud Networks видим решение проблемы в синергии бизнеса с институтами”.

Ольга Карпова, директор по информационной безопасности RooX: «Я считаю, что инициатива Минцифры по пересмотру стандартов обучения специалистов по кибербезопасности выдвинута своевременно. На сегодняшний день регистрируется всё больше атак на российские сервисы, а риски утечки конфиденциальных данных возрастают. Также мы наблюдаем ужесточение гонки «злоумышленники-защитники», что требует от специалистов по кибербезопасности высокого уровня подготовки.

Ещё один фактор для модернизации учебных программ – кадровый голод, который уже давно наблюдается на IT-рынке. По оценкам Минцифры, в России сегодня не хватает от 500 до 700 тыс. ИТ-специалистов. Сказывается отток специалистов за рубеж, демографическая яма 90-х и другие экономические факторы. Вузы стараются компенсировать этот дефицит и подстраиваются под новые потребности бизнеса.

Квалифицированные кадры в сфере кибербезопасности на рынке есть и сегодня, однако их недостаточно и их стоимость высока. И если крупные коммерческие или государственные компании могут себе их позволить, то для среднего и малого бизнеса они практически недоступны. Новые стандарты обучения могут повысить средний уровень подготовки начинающих специалистов, чтобы даже они уже могли решать реальные задачи защиты небольших компаний, пусть и в условиях не таких интенсивных атак.

При этом стоить иметь в виду, что основная проблема при подготовке начинающих специалистов — отсутствие возможности получить практический опыт. На мой взгляд, чтобы решить эту проблему, вузам следует более тесно сотрудничать с бизнесом и предлагать студентам возможность практики на реальных проектах».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT: “По моему мнению, это важное и давно назревшее решение. В последние года регуляторы активно прорабатывают требования по квалификации для специалистов по информационной безопасности (ИБ), поддерживающих ГИС, обеспечивающих безопасность объектов критической информационной инфраструктуры и т.п. В том числе неоднократно обсуждалось, какое именно ведомство должно отвечать за вопросы подготовки и обучения подобных специалистов, например, регуляторы или Министерство науки и высшего образования.

Сейчас решением этой задачи занялось профильное учреждение, а именно Минцифры, что я считаю верным шагом, т.к. именно оно способно стать объединяющей силой в решении подобного кадрового вопроса, т.е. организовать “поставку” нужных специалистов всем участникам рынка, объединить требования регуляторов, выявить потребности бизнеса и государства, и подготовить на их основе образовательные стандарты, обеспечивающие в будущем выпуск востребованных на рынке специалистов”.

Александр Зубриков, генеральный директор ITGLOBAL.COM Security: “Пересмотр профстандартов – вполне разумное и нужное решение. Это должно происходить регулярно, чтобы стандарты оставались актуальными, соответствовали изменениям в индустрии. Несмотря на то, что Минтруд относительно недавно подготовил свою версию, я считаю, что участие в этом процессе Минцифры логично: это отразится в более выверенных требованиях, то есть сам стандарт станет актуальнее, им можно будет пользоваться с уверенностью.

Кроме того, понятные и работающие профессиональные стандарты станут отличной базой для разработки образовательных программ, соответствующих реальным запросам отрасли. В конечном итоге, на дистанции в 3-5 лет на российском рынке увеличится число компетентных специалистов, вместе с этим – вырастет и общий уровень кибербезопасности и кибердисциплины в нашей стране.

Сотрудники ITGLOBAL.COM Security участвовали в разработке профстандартов, поэтому с уверенностью могу сказать, что результат будет отражать все современные вызовы, с которыми сталкивается российская информационная безопасность“.

Нина Шипкова, руководитель Академии кибербезопасности Innostage: “Необходимость пересмотра стандартов подготовки специалистов в области информационной безопасности назрела давно. Действующие профстандарты устарели, так как описывают слишком общие трудовые функции, в то время как реальность шагнула далеко вперед в разнообразии компетенций на рынке труда в ИБ. Недостаточно быть просто хорошим специалистом широкого профиля, нужно быть хорошим специалистом с отработанными практическими навыками в одной или нескольких узких сферах. Например, описания и проработки давно требуют должностные инструкции специалистов, отвечающих за операционную безопасность – сотрудники Центров мониторинга и предотвращения угроз (SOC).

Такой профессионал должен обладать не только общими знаниями об основах и архитектуре ИТ и ИБ, но и пониманием тактик и техник нарушителя, современных векторов атак, ландшафта угроз и т.д. Вопрос в том, каким образом будут выставлены требования к новым профстандартам, а главное, будет ли включено профессиональное сообщество и бизнес в рабочие группы по пересмотру – без их вклада в процесс пересмотра работа по актуализации стандартов может не принести ожидаемых результатов, а навыки и функции современных профильных специалистов так и останутся описанными не в полной мере”.

Сергей Табулин, директор по продуктам и технологиям компании Axoft: “Можно только поприветствовать данную инициативу Минцифры – она крайне своевременна. В 2022-2023 годах Россия – самая атакуемая страна. Наши контрагенты и масс-медиа сообщают о значительном росте числа киберинцидентов и утечек данных в России в текущем году. При этом и ландшафт киберугроз продолжает усложняться. Статистика по пен-тестам также неутешительна – правильно построенные и администрируемые системы информационной безопасности существуют у меньшей части российских заказчиков.

Надо учитывать, что в 2022-2023 годах таргетированные атаки на российские ИТ-системы осуществляли в основном любители – «негосударственные» хакеры и «хактивисты», и это не самый худший сценарий. Наличие хорошо подготовленных, опытных ИБ-специалистов, вооружённых набором необходимых современных знаний, а не только сертификатов, способных на практике противостоять киберугрозам – это требование сегодняшнего дня. При этом на рынке дефицит таких специалистов оценивается кадровыми агентствами РФ минимум в 30 тысяч человек.

Основные моменты по тематике:

На фоне масштабной перестройки российских ИТ-систем с миграцией на отечественные прикладные и инфраструктурные решения, в течение ближайших лет потребность в ИБ-специалистах будет только возрастать.

Наибольший кадровый дефицит – архитекторы ИБ, способные решать задачи защиты крупных организаций в комплексе.

Остро стоит задача быстрой передачи передовых практик по ИБ в сферу образования.

Следует поощрять действия ряда российских вендоров и ИБ-компаний, ведущих практическое сотрудничество с вузами.

Источник: CISOCLUB