Сегодня (24.11.2016) состоялся координационный совет при Управлении ФСТЭК по ДФО, целиком и полностью посвященный вопросам образования в сфере информационной безопасности.
Докладывали и участвовали в совете представители ВУЗов Дальнего востока России, регуляторы – ФСТЭК и ФСБ, а также лицензиаты по ТЗКИ.
Из общей риторики всех выступающих вытекала одна главная мысль – вопрос обеспечения квалифицированными ИБ-шниками обсуждается на самом высоком уровне (Президент РФ, Правительство РФ, Министерства и ведомства). Поэтому и ФСТЭК и ВУЗы активно работают над расширением спектра образовательных программ, привлечением учащихся, разработкой методических материалов и прочими полезными вещами.
Кстати, если кто еще не знает, то недавно Минтруда утвердило профессиональный стандарт «Специалист по защите информации в автоматизированных системах». На всякий случай загружу этот документ в раздел «Материалы» блога. Этот профстандарт неоднократно упоминался в ходе докладов. Также упоминалось и о том, что готовятся к утверждению еще два профстандарта: «Специалист по технической защите информации» и «Специалист по безопасности компьютерных систем и сетей». Этот момент весьма положительный, потому что прошла информация, что в ряде регионов уже идет рассылка сверху по государственным учреждениям с предложением «рассмотреть возможность» выделения ставки безопасника. Надеюсь, что рано или поздно удастся переломить пагубную ситуацию возложения обязанностей ИБ -специалиста на сисадминов и, тем более, на кадровиков/бухгалтеров.
Что касается обеспечения кадрами с высшим образованием, то с одной стороны прозвучала цифра в 6% безопасников в госструктурах с профильным ВО. С другой стороны, ВУЗы активно набирают и выпускают специалистов по информационной безопасности. Правда, я не увидел в презентациях сведений о магистратурщиках (6 лет обучения), хотя доподлинно известно, что их у нас в ВУЗах таких тоже готовят. Говорили в основном о бакалаврах (4 года) по направлению «Информационная безопасность» и специалистах по направлению «Компьютерная безопасность» (5 лет).
ИБ-специальности пользуются спросом у абитуриентов. Представители ДВФУ заявили, что при прошлом наборе конкурс составил 10 человек на место, а проходной балл равнялся 217. Также много говорили о практике привлечения ВУЗами на лекции практикующих специалистов. Это я могу и сам подтвердить – несколько раз читал студентам в ДВФУ лекции о практике работы ИБ-специалиста на стороне лицензиата ФСТЭК по ТЗКИ. Жаль, конечно, что получается читать такие лекции только эпизодически из-за загруженности по основной работе.
Мы в свою очередь рассказали о практике согласования со ФСТЭК программы повышения квалификации. Я о первых шагах уже писал ранее, поэтому повторяться не буду. Сейчас хотел бы кое-что уточнить и добавить новых данных о прогрессе в согласовании программы и полученных от ГНИИИ ПТЗИ ФСТЭК России рекомендациях/пожеланиях.
Сначала хотел бы сказать, что информация в предыдущем посте о согласовании учебной программы по электронной почте оказалась не совсем правильной. Выяснилось, что учебные программы необходимо снабжать пометкой «ДСП» со всеми вытекающими последствиями. Поэтому извиняюсь, если кого-то ввел в заблуждение.
Поскольку я не являюсь профессиональным преподавателем и не вникал в дебри законодательства об образовании, то открыл для себя интересный факт: есть такое постановление Правительства РФ № 362, согласно которому в программах повышения квалификации для госслужащих должно быть предусмотрено не более 30% лекций от общего числа аудиторных часов. Мы безусловно планируем обучать госслужащих в том числе, поэтому пришлось существенно скорректировать программу, так в первоначальном варианте предусматривалось лекций чуть ли не 90%.
Следующее пожелание вытекало из предыдущего: было предложено добавить больше практики и семинаров, соответственно, программа повышения квалификации разрослась с 72 часов до 108.
В общем и целом, вроде бы все пожелания мы учли и теперь ждем положительное заключение и согласованную программу. Как только мы получим ее на руки, я постараюсь написать подробный пост о ней: как и чему мы учим (и зачем).
В конце рассказа о нашей программе (по защите информации в государственных информационных системах) хотелось бы сказать, что с одной стороны мы тут все на иголках сидим от того что процесс согласования затянулся – и мы ждем, и заказчики, и регуляторы. С другой стороны, я думаю, что все-таки хорошо, что в ГНИИИ ПТЗИ такой тщательный подход к согласованию программ. Можно быть уверенным, что какую-нибудь ерунду точно не согласуют.
Последним докладчиком был представитель ФСБ России. Он выступал как «заказчик» на квалифицированные ИБ-кадры. Доклад в основном был о недостатках современного образования. Главные проблемы ИБ-образования (в основном –высшего) по мнению представителя ФСБ:
- современное образование не соответствует современным вызовам информационной безопасности;
- выпускники знают физику, математику, криптоалгоритмы, но не могут назвать вектора атак, методы тестирования на проникновения, не говоря уже о практических навыках;
- складывается ощущение, что ИБ-образование застряло в 80-х годах прошлого века, когда была большая потребность государства в специалистах по криптографии;
- большой перекос в область фундаментальных знаний;
- недостаток практики (опять пентесты и все вот это вот).
В целом лично у меня само поднятие на повестку дня вопроса о квалификации ИБ-кадров, о качестве образования и других смежных вопросах вызывают позитивные надежды на будущее. Так как сейчас все действительно очень печально и хорошо, что всеми этими вопросами плотно занялись.
