Новости / сентябрь 2019
Рубрики: Нормативные актыСквозные технологииГосполитикаИнформационная безопасность

Минобрнауки предложило новые стандарты по ИБ

Анна Устинова
© ComNews
09.09.2019

Министерство науки и высшего образования РФ разработало проекты федеральных государственных образовательных стандартов высшего образования в области информационной безопасности (ИБ). Эксперты полагают, что основная идея обновления образовательных стандартов заключается в попытке "приблизить" выпускника к требованиям заказчика. Впрочем, новые стандарты вряд ли способны соответствовать ежечасно меняющимся требованиям отрасли. К тому же, бьют тревогу эксперты, дефицит кадров в области информационной безопасности в будущем будет только нарастать.

На минувшей неделе Минобрнауки опубликовало для обсуждения на портале нормативных правовых актов пять проектов федеральных государственных образовательных стандартов высшего образования по информационной безопасности. Ведомство предложило утвердить специалитет по специальности "Информационно-аналитические системы безопасности" (10.05.04), специалитет по специальности "Информационная безопасность автоматизированных систем" (10.05.03), специалитет по специальности "Информационная безопасность телекоммуникационных систем" (10.05.02), специалитет по специальности "Компьютерная безопасность" (10.05.01) и бакалавриат по направлению подготовки "Информационная безопасность" (10.03.01).

В пресс-службе Минобрнауки сообщили ComNews, что в данный момент проводят актуализацию федеральных государственных образовательных стандартов, утвержденных ранее, на предмет сопряжения их с профессиональными стандартами. "Указанные проекты в соответствии с планом актуализации и Правилами разработки, утверждения федеральных государственных образовательных стандартов (ФГОС) и внесения в них изменений, утвержденных постановлением Правительства РФ от 12 апреля 2019 г. № 434, вынесены на общественное обсуждение с целью их дальнейшего рассмотрения Советом Минобрнауки России по федеральным государственным образовательным стандартам высшего образования, - пояснили в пресс-службе Министерства. - При условии положительного рассмотрения вышеуказанных ФГОС ВО на Совете данные проекты будут направлены на регистрацию в Министерство юстиции РФ".

Дефицит кадров

Как уточняет заведующий кафедрой информационной безопасности СПбГЭТУ "ЛЭТИ" Евгений Воробьев, подготовку специалистов в области информационной безопасности на текущий момент осуществляет 56 специализированных кафедр в высших учебных заведениях в разных городах на всей территории России. "Каждая кафедра информационной безопасности имеет свои профили подготовки бакалавров, магистров и специалистов. Они выпускают порядка 600 квалифицированных кадров в год. Однако потребность в таких специалистах в целом по стране ежегодно составляет 2,5 тыс.", - говорит он.

По словам Евгения Воробьева, такие специалисты востребованы прежде всего в государственной системе защиты информации, где действует пять ключевых структур: Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности, МВД, Минобороны и Служба внешней разведки. Завкафедрой ИБ СПбГЭТУ "ЛЭТИ" поясняет, что ко второй группе "потребителей" относятся подразделения по защите информации, создаваемые, в соответствии с рекомендациями ФСТЭК, в любых организациях любого вида собственности. "Для малых предприятий или индивидуальных предпринимателей - это два-три менеджера по информационной безопасности. Если это банк или достаточно крупная компания, то численность может доходить до 20-25 человек. Штат гражданских специалистов в режимных отделах и службах безопасности в таких организациях наполняется за счет выпускников технических вузов", - рассказывает он.

Евгений Воробьев уверен, что потребность в специалистах по ИБ с каждым годом растет. "Одно из направлений, где востребованы специалисты, - это защита персональных данных. Принятие Федерального закона "О безопасности критической информационной инфраструктуры РФ" от 26.07.2017 №187-ФЗ включило в сферу обеспечения безопасности технологические процессы, в том числе компьютерные атаки и компьютерные инциденты, которые могут быть опасны с точки зрения потери престижа, нарушения экологической безопасности и т.д.", - говорит он.

Технический директор Qrator Labs Артем Гавриченков сетует на большую проблему нехватки квалифицированных кадров в отрасли информационной безопасности, в первую очередь специалистов с опытом инженерной разработки. Менеджер по связям с общественностью МТУСИ Наталья Малявина соглашается, что в России, действительно, наблюдается дефицит кадров в области информационной безопасности.

Руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев подчеркивает, что российские вузы выпускают явно недостаточно необходимых рынку специалистов по ИБ. При этом компетенции многих выпускников, что выходят на рынок труда, приходится довольно долго "шлифовать". По словам Андрея Арсентьева, хороших специалистов не хватает в разных сферах информационной безопасности. "Это и разработка средств защиты, и тестирование, и системная аналитика, и внедрение, и эксплуатация", - перечисляет он.

По словам заместителя генерального директора, HR-директор "Ростелеком-Солар" Марии Сигаевой, дефицит кадров в ИБ объясняется несколькими причинами. "Во-первых, на рынок сегодня выходят ребята, которые родились в период так называемой демографической ямы, поэтому их в принципе немного. Во-вторых, из тех, кто связывает свою карьеру с ИТ, только часть идут в информационную безопасность, тогда как потребность в таких специалистах год от года только растет", - объясняет Мария Сигаева.

Программы устаревают быстро

Ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев для примера разобрал четвертый пункт специальности "Компьютерная безопасность" и пришел к выводу, что в проекте стандарта нет ничего конкретного. Он указывает на то, что вузы не готовят специалистов, знающих конкретные предметы. "Студентам начитываются во многом абстрактные знания. Высшая математика, криптография и т.д. Нет, все это нужно. Но, скажем, конкретным знаниям по современным продуктам, технологиям, языкам программирования - места практически не уделяется. На выходе из вуза, как и во времена СССР, получается специалист, знающий много и ничего конкретного", - обозначает проблему Вячеслав Медведев.

Как полагает Артем Гавриченков, проекты образовательных стандартов в ИБ-сфере вряд ли смогут помочь с решением проблемы дефицита специалистов. "Проблема нехватки кадров должна решаться путем организации полноценного процесса довузовского образования при участии профильных высококвалифицированных преподавателей с отбором еще на стадии школы, чтобы оставалось больше времени на преподавание азов специальности, а затем - и на профессиональную подготовку, - говорит специалист Qrator Labs. - При этом отбор должен производиться в школах по всей стране, и желательно, чтобы в нем принимали участие университеты, которые будут готовить образовательные программы. В работе самих университетов должна активно участвовать индустрия, поскольку невозможно представить ситуацию, при которой академическая среда сможет автономно подготовить для рынка адекватных специалистов, полностью готовых к дальнейшей работе".

Как отмечает Артем Гавриченков, формально после реализации образовательных проектов на рынке будет достаточно много специалистов, отвечающих требованиям стандартов, но в реальности задача по повышению минимального уровня подготовки не решится. "Без грамотного отбора, поиска интересующихся школьников, без таргетированного, индивидуального подхода к составлению программы потенциально талантливые люди могут оказаться за бортом, и, наоборот, те, кто пошел на обучение специальности, не сильно разбираясь в ее специфике, окажутся достаточно быстро разочарованы и пойдут работать в другую сферу", - предупреждает он.

По мнению вице-президента по науке и образованию InfoWatch Андрея Зарубина, чаще чем сейчас, стандарты менять не стоит. "Задача вуза - дать выпускнику качественную основу, умение быстро и эффективно работать с большими объемами информации, быть способным самостоятельно изучать новые технологии, обнаруженные уязвимости и анализировать угрозы", - перечисляет он. Что касается роста количества угроз, то он уверен, что силами только специалистов ИБ задачу не решить. "Необходимо повышать общую культуру потребления цифровых услуг населением страны, вводить предметы по цифровой гигиене в учебные программы на всех уровнях российского образования. Иными словами, подобные дисциплины должны появиться во всех других ФГОСах наравне с физической культурой, философией и другими общеобразовательными дисциплинами", - считает он.

Как уверяет технический директор Qrator Labs, новые угрозы появляются ежечасно, однако типы и виды угроз за последние пять лет практически не изменялись. "За этот период можно вспомнить лишь один случай, когда появилась действительно новая дисциплина - анализ утечек данных из процессоров по боковым каналам - side-channel attacks. Поэтому в сбалансированную и аккуратно составленную академическую программу подобные обновления можно добавлять за год: этот вопрос решается легко, особенно при активном участии индустрии. При этом большинство видов угроз, такие как SQL-инъекции, межсайтовый скриптинг, существуют десятилетиями, но до сих пор выпускники по специальностям ИБ зачастую о них не знают, что свидетельствует о невысоком уровне подготовки специалистов и низкой адаптации к реальным бизнес-потребностям", - замечает он.

Андрей Арсентьев поясняет, что стандарты - это, безусловно, важная система параметров образования. "Они позволят конкретизировать требования к подготовке специалистов, сформулировать содержание учебных программ. Кроме того, стандартизация поможет точнее соответствовать требованиям работодателей исходя из складывающихся моделей угроз и задач по защите информации, - перечисляет он. - Однако направлению стандартизации образовательных специальностей в сфере ИБ будет очень сложно поспевать за такой динамичной сферой, как кибербезопасность, даже если система высшего образования будет регулярно консультироваться с теми, кто находится на передовой фронта ИБ". По его словам, надо учитывать то, что ландшафт угроз меняется калейдоскопически быстро, речь уже давно идет не об одном-двух годах, а о считаных месяцах. Поэтому потребуется регулярное обновление утвержденных стандартов. Причем, говорит он, стандарты желательно подкрепить увеличением набора в вузы на ИБ-специальности.

По отзывам преподавателей и студентов ведущих вузов, с которыми сотрудничает "Ростелеком-Солар", образовательные программы устаревают очень быстро. "Эта проблема существует не только в нашей стране, но и в мире - технологии развиваются однозначно быстрее, чем программы системы образования, - говорит Мария Сигаева. - Для восполнения пробелов необходимо менять сам подход к обучению в высшей школе". На глобальность проблемы нехватки кадров по ИБ указывает и Андрей Арсентьев. "Ранее организация ISACA прогнозировала, что во всем мире в 2019 г. нехватка специалистов в области ИБ составит 2 млн человек", - ссылается на статистику он.

В то же время, продолжает Мария Сигаева, и вузы, и бизнес, заинтересованы в выпуске специалистов, которые готовы быстро включиться в производственную деятельность. "Именно поэтому мы со своей стороны всячески поддерживаем образовательные программы, организуя для студентов как очные стажировки в компании, так и дистанционное обучение с использованием наших наработок и методик, а также с возможностью подключаться к демостендам с нашими продуктами. И, как показывает практика, такое сотрудничество вузов с бизнесом действительно работает, позволяя давать студентам фундаментальные знания без отрыва от практики и реалий сегодняшнего дня", - говорит она.

Завкафедрой ИБ СПбГЭТУ "ЛЭТИ" признает, что принятие новых образовательных стандартов не решает проблему кадрового голода. Он поясняет, что оно нацелено на улучшение подготовки кадров. "Основная идея обновления образовательных стандартов с учетом требований профессиональных стандартов - это попытка "приблизить" выпускника к требованиям заказчика", - считает он.

Напротив, проректор по учебной работе МТУСИ Евгений Титов уверен в том, что опора новых образовательных стандартов на разработанные профессиональные стандарты окажет положительное влияние на подготовку специалистов в области информационной безопасности и будет способствовать решению проблемы дефицита кадров.

В свою очередь, МТУСИ готовит специалистов по специальности "Информационная безопасность телекоммуникационных систем" и бакалавров по направлению "Информационная безопасность". "Университет осуществляет специализированную подготовку специалистов в области ИБ, взаимодействуя в образовательной деятельности с такими компаниями, как "Лаборатория Касперского" и "Код безопасности", - рассказывает Наталья Малявина. - Студенты проходят производственную практику в компаниях, участвуют в программах стажировки, конкурсах дипломных проектов и пр. Сотрудничество такого рода помогает компаниям обеспечить кадровый резерв, а студентам - получить практические навыки и первый рабочий опыт для построения успешной карьеры в этой сфере".