Для управления КИИ колледжа недостаточно
В ходе круглого стола "Есть такая профессия - информацию защищать. Как стать ИБ-специалистом, Образование в ИТ" участники дискуссии обсуждали в том числе перспективы специалистов со средним специальным и дополнительным образованием на рынке труда. С одной стороны, как отметила директор по развитию "Орлан", архитектор специальности ITHub college "Информационная безопасность и системное администрирование" Екатерина Старостина, среднее специальное образование гибче адаптируется под нужды потенциальных работодателей и позволяет в более короткие сроки готовить специалистов. Она обратила внимание, что профстандарты, принятые во второй половине 2022 г. и вступившие в силу в 2023 г., позволяют занимать широкий перечень должностей, для которых раньше требовалось высшее образование, тем, у кого имеется лишь диплом среднего специального учебного заведения. Причем среди этих должностей есть и специалисты, обслуживающие объекты критической информационной инфраструктуры (КИИ).
При этом, по мнению заведующего кафедрой "Интеллектуальные системы информационной безопасности" Института кибербезопасности и цифровых технологий РТУ МИРЭА, к.т.н. Шамиля Магомедова, среднее специальное учебное заведение в состоянии дать устойчивые навыки, необходимые для работы даже в сложных системах мониторинга и корреляции событий (SIEM) или защиты от утечек данных (DLP). При этом срок обучения в ссузе существенно короче, чем в вузе.
Высшее образование, как подчеркнула генеральный директор Учебного центра "ИнфоТеКС" Анна Чефранова, программы вузов все больше отстают от требований рынка. После ухода зарубежных вендоров с российского рынка это отставание еще более усилилось, поскольку у вузов нет ресурсов в самом широком смысле этого слова на то, чтобы переориентироваться на решения российских производителей оборудования и ПО, в том числе в сфере ИБ.
Но главный специалист Центра информационной безопасности службы безопасности ГУП "Московский метрополитен" Оксана Докучаева обратила внимание, что у специалистов, обслуживающих объекты КИИ, очень высокая ответственность, вплоть до уголовной. И отдавать эти должности тем, у кого за плечами лишь колледж, по крайней мере без опыта работы, означает подвергать такого сотрудника серьезному риску. Тем более что с 2024 г. регуляторы начнут плановые проверки объектов КИИ, в ходе которых нарушения будут найдены неизбежно.
Ведущий консультант по информационной безопасности AKTIV.CONSULTING Александр Моисеев обратил внимание, что для обслуживания промышленных систем часто необходимы специфичные знания, которых у молодого специалиста нет: "Для сложных технологических объектов, где используются специфические промышленные протоколы и оборудование, таких специалистов может быть недостаточно. В некоторых случаях было бы оптимальным провести профпереподготовку опытного инженера АСУ, чем ставить решать острые вопросы защиты молодого специалиста со среднеспециальным образованием".
Директор центра кадровой экспертизы Positive Technologies Мария Сигаева считает ключевым для ИБ-специалистов, претендующих на работу по обслуживанию объектов КИИ, соответствие требованиям отраслевых регуляторов, которые касаются в том числе и квалификации специалистов: "В основе для принятия решения о том, достаточно или нет среднего специального образования для работы специалистом по ИБ на предприятиях КИИ, должны быть требования ФСТЭК. То есть вопрос о том, какого специалиста брать на работу в ИБ-службу КИИ, должен опираться на соответствующие требования ФСТЭК о квалификации специалистов. Мы как вендор развиваем технологии так, чтобы работу с ними могли освоить специалисты по ИБ любой квалификации. Для этого мы наполняем продукты соответствующей экспертизой, готовим необходимые гайды и др.".
Заместитель директора по управлению проектами "Аурига" Алексей Фирсанов считает, что профстандарты далеки от реальных задач: "Гораздо более эффективным для улучшения развития программистов является интеграция бизнеса с реальными кейсами в реальный процесс обучения. Причем это может работать как на базе вуза или ссуза, так и внутри компании. Например, мы в "Ауриге" регулярно проводим стажерские программы для инженеров начального уровня или специалистов смежных специальностей. Такой подход помогает нам готовить сотрудников под конкретные потребности бизнеса и решать реальные задачи заказчиков".
Руководитель отдела комплексных решений защиты информации Центра компетенций по информационной безопасности "Т1 Интеграции" Игорь Кириллов полагает, что для специалиста по обслуживанию объектов КИИ уровня среднего специального образования может быть достаточно: "Часто для эксплуатации отдельных ИБ-систем достаточно пройти обучающие курсы от производителя. В этой связи на определенные позиции возможно принимать на работу специалистов со средним специальным образованием".