В рубрику "JOB" | К списку рубрик | К списку авторов | К списку публикаций
В настоящее время в области информационной безопасности существует пять профессиональных стандартов – три общедоступных и два ограниченного доступа:
Все указанные профессиональные стандарты предусматривают четыре уровня квалификации специалистов по защите информации (с пятого по восьмой3).
Самый низкий – пятый уровень – включает в себя следующие наименования должностей4: техник (1 и 2 категории) и старший техник, к которым предъявляются требования о наличии среднего профессионального образования и опыта работы не менее года в должности с более низкой категорией для соответствующих должностей.
В функциональные обязанности данных специалистов входит:
Шестой уровень квалификации включает в себя следующие наименования должностей: администратор безопасности, инженер (инженер-программист) 1–3 категории, специалист по технической защите информации 1–2 категории, к которым предъявляются требования о наличии высшего образования в форме бакалавриата в области информационной безопасности и опыта работы от одного года в должности с более низкой категорией.
В функциональные обязанности данных специалистов входит:
Седьмой уровень квалификации включает в себя следующие наименования должностей: инженер-программист 1–3 категории, инженер-проектировщик 1–3 категории, специалист по защите информации 1–2 категории, ведущий специалист по защите информации, эксперт по анализу защищенности компьютерных систем и сетей, руководитель группы, руководитель проектов, к которым предъявляются требования о наличии высшего образования в форме специалитета или магистратуры в области информационной безопасности и опыта работы от одного года в должности с более низкой категорией.
В функциональные обязанности данных специалистов входит:
В настоящее время в области информационной безопасности существует пять профессиональных стандартов – три общедоступных и два ограниченного доступа:
Самый высокий, восьмой уровень квалификации включает в себя следующие наименования должностей: главный специалист по защите информации, заместитель руководителя и руководитель структурного подразделения по защите информации, научный консультант по защите информации. К этим специалистам предъявляются требования о наличии высшего образования в форме специалитета или магистратуры в области информационной безопасности и дополнительного профессионального образования – программы повышения квалификации в области информационной безопасности или послевузовского образования – аспирантура (адъюнктура), в ряде случаев тоже с повышением квалификации в области информационной безопасности, а также опыта работы от двух лет, в том числе на руководящих должностях (для должностей руководителей).
В функциональные обязанности данных специалистов входит:
Таким образом, с учетом изложенного можно предложить следующую классификацию6, включающую четыре профессиональных уровня:
Первый уровень – техник по защите информации, уровень квалификации для специалиста со средним специальным образованием.
Второй уровень – специалист по защите информации (администратор информационной безопасности, инженер), начальный уровень квалификации для специалиста, имеющего первую ступень высшего профессионального образования (бакалавр).
Третий уровень – ведущий специалист по защите информации (инженер-программист, инженер-проектировщик), более высокий уровень квалификации, подразумевающий наличие следующей ступени высшего профессионального образования – специалитета или магистратуры.
Четвертый уровень – руководитель структурного подразделения по защите информации, самый высокий из предусмотренных в профессиональных стандартах уровней квалификации, предусматривающий наличие высшего образования в форме специалитета или магистратуры с повышением квалификации или послевузовского образования в форме аспирантуры (адъюнктуры).
Следует отметить, что указанное распределение квалификационных требований в целом отражает запросы рынка труда в части специалистов по информационной безопасности, естественно, с небольшими вариациями, т.к. профессиональные стандарты на сегодняшний день носят преимущественно рекомендательный характер.
Специалистов 1 уровня – техников – готовят в учреждениях среднего профессионального образования (СПО). При этом, несмотря на соответствие выпускников профессиональным стандартам, спрос на рынке труда на указанных специалистов значительно ниже, чем на специалистов с высшим образованием. По мнению автора, это связано со следующими причинами:
Так, в частности, в соответствии с пп. "а" п. 5 Положения о лицензировании деятельности по технической защите конфиденциальной информации» (утв. постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79) для получения лицензии ФСТЭК России по технической защите конфиденциальной информации соискатель лицензии должен иметь в штате специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. Аналогичные требования предъявляются и к соискателям лицензий ФСБ России, осуществляющим деятельность по криптографической защите информации8.
Таким образом, выпускники учебных заведений среднего профессионального образования не соответствуют требованиям для получения лицензий, что, с учетом достаточно небольшой численности служб информационной безопасности в большинстве организаций, снижает их привлекательность у потенциального работодателя.
Специалистов 2–4 уровня – бакалавров, специалистов и магистров – готовит достаточно большое количество высших учебных заведений. При этом в настоящее время в направлении подготовки "Информационная безопасность" наблюдается общая для всех направлений тенденция к постепенному переходу на так называемую болонскую систему образования (прохождение двух уровней высшего образования – бакалавриата и магистратуры) и постепенному "отмиранию" специалитета.
Следует отметить, что согласно профессиональным стандартам квалификации "бакалавр" достаточно лишь для должностей 2 уровня, для всех остальных необходима квалификация специалиста или магистра.
Таким образом очевидно, что для полноценного развития в профессии сегодняшним студентам необходимо прохождение двух уровней высшего профессионального образования – бакалавриата и магистратуры.
В рамках данных стандартов акцент делается прежде всего на обучение техническим мерам защиты информации. При этом, согласно ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" защита информации включает три группы мер: правовые, организационные и технические.
По оценкам экспертов, в практической деятельности специалиста по информационной безопасности преобладают задачи, связанные с проработкой организационных мер защиты информации и работой с персоналом. При этом для должностей более высокого уровня (3 и 4 уровни), прежде всего руководителей, реализация указанных мер является основной задачей в процессе текущей деятельности.
Таким образом, получается, что система образования на сегодняшний день нацелена на подготовку прежде всего технических специалистов начального уровня, которые на практике являются абсолютно не подготовленными в части написания инструкций и регламентов по информационной безопасности, проведения расследований и управления отношениями с регуляторами в сфере защиты информации. Поэтому, по мнению автора, последующий карьерный рост специалиста по защите информации потребует дальнейшего повышения квалификации и получение дополнительного образования. Автор считает, что наиболее целесообразно рассматривать юридическое образование.
В завершение статьи остановимся на такой характеристике квалификации, как опыт работы. Вопрос, который, как правило, встает перед каждым выпускником: где взять опыт? Ведь работодатель хочет видеть сотрудника уже с опытом, и данное требование вполне законно9.
Как правило, многие активные студенты начинают работать уже в процессе обучения. Однако в силу того, что специфика работы специалиста по информационной безопасности связана с "охраной секретов", большинство работодателей не рассматривает студентов на должности специалистов по защите информации, хотя, конечно, бывают исключения из данного правила и автору таковые известны (например, компания, в которой автор работает в настоящее время).
Если трудоустроиться в процессе учебы не получается, то, по мнению автора, необходимо формировать портфолио студента, куда могут входить его научные публикации по вопросам информационной безопасности в издаваемых вузами сборниках, участие в олимпиадах или соревнованиях по информационной безопасности. Следует отметить, что автору много раз приходилось слышать о высокой оценке крупными компаниями выпускников, имеющих опыт участия в соревнованиях по информационной безопасности, проводимых по стандартам Capture the Flag (CTF).
Автор полагает, что только сочетанием учебной (с обязательным участием в ней преподавателей-практиков) и внеучебной работы (проведение конференций, круглых столов, соревнований по информационной безопасности) можно обеспечить соответствие подготовки специалиста предъявляемым высоким требованиям к квалификации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2018