К вопросу растущего дефицита кадров в области информационной безопасности мы уже обращались. Пока, к сожалению, и реакции практически нет, да и результатов особо не видно, хотя нельзя не отметить, что наши образовательные власти кое-что делают в этом направлении. Да и госструктуры и ведомства, от которых как-то зависит решение вопроса, тоже прилагают определённые усилия. Насколько эффективные – об этом речь пойдёт ниже.
ПОЛОЖЕНИЕ ВЕЩЕЙ
Мы поставили перед собой задачу взглянуть на эту сферу деятельности ещё раз и надеемся, что это может в какой-то степени помочь решению столь непростой проблемы.
Формально всё выглядит неплохо. В стране, по данным Федерального учебно-методического объединения в системе высшего образования по УГСН 10.00.00 «Информационная безопасность» (УМО), в настоящее время около 150 вузов готовят специалистов по Федеральным образовательным стандартам по информационной безопасности (ФГОС) 10.03.01, 10.04.01 и 10.06.01. Точными цифрами мы не располагаем, но если каждый вуз выпускает хотя бы 50 специалистов в год, то на рынке ежегодно появляется более 7500 новых работников. Если в этой сфере деятельности в специальности остаётся, по очень неточным данным (точной статистики нет, она не ведётся), 10-20% выпускников, то мы имеем от семисот до полутора тысяч реальных работников каждый год. Этого, конечно, мало. При этом мы видим, что регуляторы в сфере образования и УМО озабочены уровнем подготовки студентов и критически оценивают качество образования по ИБ в ряде вузов. Отсюда и планы по сокращению их числа, централизации подготовки в крупных технических образовательных учреждениях, созданию, усилению и укреплению учебной материально-технической базы, введению новых ФГОС, изменению правил аккредитации по образовательным программам и т.д.
С целью приближения к потребностям рынка образования и знаний выпускников в 2016 году Минтруда выпустило профессиональные стандарты, определяющие группы занятий и обобщённые и конкретные трудовые функции для специалистов, работающих в следующих областях:
Центральным банком подготовлен проект профессионального стандарта «Специалист по защите информации в кредитно-финансовой сфере».
Новая редакция ФГОС 10.03.01, 10.04.01, версия 3++ предусматривает существенное усиление требований к вузам по части дисциплин, подлежащих обязательному изучению, (что ведёт к унификации обучения студентов на первых курсах в различных вузах), ужесточение требований к квалификации профессорско-преподавательского состава и, наконец, повышение требований к практической подготовке студентов в профильных предприятиях и организациях.
Решил отметиться и Минобрнауки, введя критериальные механизмы оценки качества и уровня знаний и умений, получаемых студентами высшей школы через введение системы оценки качества образования на основе новых понятий: компетенций, дескрипторов и индикаторов. Также с завидной регулярностью меняются требования и форматы базовых документов: образовательных программ, рабочих программ дисциплин, всякого рода учётных и отчётных документов. Нет сомнений, что всё это направлено на благое дело — повышение качества образования, качества работы профессорско-преподавательского состава и усиление контроля за образовательным процессом.
Делается эта работа как всегда быстро, в результате чего образовательные учреждения попадают в трудное положение, будучи вынуждены срочно переосмысливать и переделывать сотни весьма сложных документов, регулирующих и регламентирующих образовательный процесс. Пока единственный видимый результат — дальнейшее усиление бюрократизации и существенное увеличение нагрузки на людей.
Появились гранты Минобрнауки и негосударственных фондов, призванные повысить качество образовательных программ и как-то улучшить финансовое положение молодых преподавателей и учёных.
На этом фоне весьма хорошо чувствуют себя коммерческие образовательные учреждения, гораздо менее связанные с формальностями и быстро реагирующие на «злобу дня» своими узко заточенными программами дополнительного образования. Но они не смогут заменить классическое высшее. Да так и не ставится задача.
И В ТО ЖЕ ВРЕМЯ…
Повторимся, всё внешне выглядит неплохо. Но при этом дефицит специалистов на рынке меньше не становится, а растет, и уровень подготовки новоиспеченных бакалавров, а иногда и магистров порой сильно огорчает практиков. К тому же, как ранее отмечалось, в специальности остаётся 10-20% выпускников. При этом, по последним данным компании HeadHunter, число вакансий в сфере информационной безопасности (ИБ) в России выросло в 2021 году на 47%, а их общее количество составило 35,3 тысячи. Почти треть из них относятся к сегменту IT-компаний и системных интеграторов (рост в 31% внутри отрасли). Помимо них, в лидерах оказались финансовый сектор (55%) и отрасль телекоммуникационных услуг и связи (43%). Также отмечается снижение интереса к вакансиям со стороны кандидатов, что говорит о снижении конкуренции. Это, мягко говоря, плохо и отражает наличие глубоких нерешенных проблем в сфере подготовки кадров для деятельности, без которой вся та самая цифровизация, о которой мы так усердно говорим, превратится в своего антипода и способна создать нашему обществу вместо благ и движения вперед очень большие трудности. Об этом в голос трубят факты: и последние громкие инциденты, и растущий у идеологов цифровизации правовой нигилизм и резкий рост киберпреступлений. Об этом говорят и уважаемые эксперты в области информационной безопасности и информатизации — Н. Касперская и И. Ашманов.
Но попытаемся пристальней взглянуть на проблемы подготовки кадров.
КОГО ГОТОВИМ? И ДЛЯ ЧЕГО?
Начнём с простого вопроса: а кто нужен рынку; кого нужно готовить; какими компетенциями, как сейчас модно говорить, должен обладать специалист в области информационной безопасности?
Для этого сначала нужно присмотреться к самой сфере информационной безопасности в России. Несмотря на идущие в ней процессы централизации и вытеснения малых предприятий, состоит она из нескольких секторов:
Какие специалисты и с какими знаниями там нужны?
ЧИТАЕМ ПРОФСТАНДАРТЫ
Профстандарты, выпушенные Минтрудом 6 лет назад, а принятые к разработке ещё на несколько лет раньше и потому объективно устаревшие, весьма путано отвечают на этот вопрос, так как почти во всех этих документах присутствует целая группа практически одинаковых профилей специалистов, возможно актуальных на 2016 год. Но времена уже изменились. К тому же внимательное прочтение этих документов приводит к следующим выводам.
ВЫЯВЛЯЕМ ПОТРЕБНОСТИ РЫНКА
Тем не менее, анализируя потребности рынка совместно с имеющимися профессиональными стандартами, можно выделить основные профили или виды деятельности, по которым очевидно и нужно готовить специалистов с высшим образованием в области информационной безопасности.
Эти профили, по нашему мнению, следующие.
В этом перечне нет отраслевой привязки, так как профили являются универсальными. Отраслевую привязку целесообразно делать на уровне профильных учебных заведений.
ТРИ ВОПРОСА И РЕАЛЬНАЯ СИТУАЦИЯ
В этой связи, учитывая востребованные профили специалистов, уместно задать три вопроса:
Отметим, что проблема эта многогранная. Сама проблематика информационной безопасности демонстрирует быструю изменчивость и вариативность, к тому же имеет тенденцию к расширению предметной области. Изменения в сфере ИБ и новые направления возникают быстро, буквально в течение 2-3-х лет. Образовательные учреждения просто не успевают за ними, в результате чего не происходит научного и методологического осмысления возникающих вопросов. Особо следует отметить, что эти знания часто не формализованы и не описаны, следовательно, плохо доступны для сообщества. Основной метод обмена этими знаниями – участие в профильных конференциях, особенно в их неформальной части. В результате адаптация ФГОС и образовательных программ образовательными учреждениями по понятным и объективным причинам отстаёт от практики.
И ещё раз подчеркну, что практический опыт и знания в этой сфере, а значит, и результаты осмысления, накапливаются у практикующих специалистов, как говорят, «на кончиках пальцев». Как донести эти знания до студентов и превратить в их компетенции?
И тут во весь рост встает две проблемы: качество профессорско-преподавательского состава и получение студентами твёрдых практических знаний. Напомним, что рынок нуждается в специалистах, владеющих тонкостями проблемы, а не в людях, имеющих общее представление о проблеме.
ПРЕПОДАВАТЕЛЬСКИЙ СОСТАВ
Преподаватели высшей школы, как мы знаем, делятся на две категории:
Разорвать его можно только путём принятия серьёзных системных решений, например, приравнивания квалификации специалиста с рынка уровню, соответствующему степени и научному званию преподавателя высшей школы, а выполненные успешно работы и бизнес-проекты — соответствующим статьям в научных изданиях. Ну, и конечно, стоимость часа занятий для таких специалистов должна быть установлена хотя бы в 2 раза выше, чем сейчас. Это будет ниже, чем в коммерческих организациях, но свою задачу решит, преподаватели найдутся.
О ПРАКТИЧЕСКИХ НАВЫКАХ СТУДЕНТОВ
Далее — твёрдые практические знания могут быть получены студентами только двумя способами:
О ПРАКТИКЕ
Дела с организацией и прохождением практики обстоят весьма не просто. Платное специализированное повышение квалификации с выдачей соответствующего, признаваемого рынком, сертификата есть и широко развито, а вот с практикой студентов в профильных организациях – проблемы.
Министерство образования ужесточает требования к её прохождению, повышая ответственность образовательных учреждений. Это, вне всяких сомнений правильно. Однако на рынке далеко не все профильные организации горят желанием принимать практикантов. У некоторых есть специальные программы и специальные люди для организации такой работы, но это собственные, как правило платные программы, не согласующиеся с ФГОС. Понятно, что эти программы нацелены на подбор кандидатов на работу, а не на обучение студентов.
Поэтому представитель образовательного учреждения, пытаясь пристроить на практику своих студентов — а их может быть много — натыкается на предложение сначала провести собеседование, тестирование, то есть отобрать небольшую группу, а потом уже приступить к собственно проведению практики.
Вызывает вопросы сам процесс прохождения практики, он требует организации и сопровождения, работы с практикантами. Свободных ресурсов на обеспечение этой деятельности как правило у фирм нет. В последнее время крайне сложно выстраивается формальная сторона вопроса организации практики, начиная с подписания договоров, которое превращается в «дуэль юристов», отнимающую время, а его и так не много. И, пожалуй, главное - это сложность привлечения к сотрудничеству коммерческих фирм, они не видят и не ощущают своей заинтересованности в этом процессе. А государство, ужесточающее требования к вузам в этой части, не включило рынок в состав заинтересованного субъекта, установив таким образом одностороннюю ответственность.
В целом организация практики — тяжелый процесс, занимающий львиную долю времени преподавателей и организаторов.
Вместе с тем, по мнению и преподавателей и принимающих сторон, практика — это ключевой элемент подготовки будущих специалистов. Объём её нужно не уменьшать, а наоборот — увеличивать.
Уместно задать вопрос: а каков практический результат этой деятельности в складывающихся условиях и как её радикально улучшить. Ответ не радует — практически никак. Опять замкнутый круг.
Однако и решение очевидно: коль скоро государство заинтересовано и взяло на себя ответственность по организации подготовки специалистов, деятельность по проведению практики в профильных организациях должна быть материально и финансово поддержана. В идеальном варианте, образовательное учреждение должно иметь возможность заключать с профильными организациями финансовые договора, делающие эту работу привлекательной для рынка. Тогда и организаторы сразу найдутся, и помещения, и руководители практик и результаты сразу будут видны. Самое интересное, что цена таких договоров совсем небольшая, а вся работа легко поддается планированию в нашей бюрократической системе. Нужно только смелее принимать решения. От этого много зависит.
О МАТЕРИАЛЬНО-ТЕХНИЧЕСКОЙ БАЗЕ
Следующий вопрос: на какой учебно-материальной базе готовить студентов?
ФГОС устанавливает только самые общие требования к ней. В этой связи вспоминается забытый старый опыт высшего военного образования в СССР, когда военные училища первыми получали новейшие образцы техники и вооружения, которых ещё не было в войсках. Зато потом специалисты получались, которых не нужно было переучивать как минимум 8-10 лет. Вот это был взгляд в будущее.
А чем мы хуже? Или уже не можем?
Ответ тут очевиден: для того, чтобы подготовить специалистов, владеющих упомянутыми выше компетенциями, нужна самая современная, специализированная и довольно дорогостоящая материальная база. Где, что и у кого её взять, мы знаем. Как и чему учить, тоже. Конечно, научить студентов работе на всех средствах и системах безопасности невозможно и нецелесообразно, но они должны быть знакомы с основными классами средств и систем защиты, методами, принципами и приемами администрирования безопасности сетей, систем и баз данных и виртуальных сред, с методами и способами выявления и управления инцидентами в основных типах информационных систем, обработки и анализа данных систем управления безопасностью или систем социальной коммуникации, методами и приемами тестирования систем безопасности и выявления уязвимостей. Это вполне по силам, с учётом выбранного профиля подготовки.
А вот вопрос о том, как получить такую материальную базу остаётся открытым. вузам сложно её приобрести из собственных средств, особенно, если они исторически не специализировались в области IT-технологий. Снова тупик. Даст ли результат сверхконцентрация обучения в нескольких крупных образовательных центрах? Вопрос. Перенос центра тяжести в регионы- дело хорошее, но где там преподавателей взять? Ведь практически вся интеллектуальная элита в сфере ИБ сосредоточена в столице и ещё двух-трёх городах.
ПОКА ЛАТЕНТНАЯ СТАДИЯ
Отметим также, что информационная безопасность — это не строгая математическая дисциплина, а целая практическая «политехническая» отрасль, опыт и знания в которой возникают у практикующих специалистов «на кончиках пальцев». Отрасль с колоссальным числом разного рода ответвлений и направлений — от очень серьёзной криптографии, исследований кода и программирования, до вопросов управления, аудита, оценки рисков, анализа уязвимостей, трассировки атак и социальной инженерии. В целом, по широте охвата и числу прикладных направлений, она поразительно напоминает медицину. А там иная система подготовки студентов и есть даже своя Академия наук.
В целом всё перечисленное крайне негативно влияют на общую ситуацию. Поневоле на ум приходит сравнение с тяжелой опасной болезнью, признаки которой сначала не видны, латентны, но именно в это время её можно вылечить. Потом поздно. Ничего не помогает.
Выходов из этой проблемы два: либо дальнейшая формализация и усиление требований к образовательным учреждениям, что ещё больше усложнит проблему, либо творческая переработка поставленной задачи.
ПОДВОДНЫЙ КАМЕНЬ СТАНДАРТИЗАЦИИ
Вообще, представляется, что интенсивная детализация процесса обучения и его последующая стандартизация может стать опасным явлением. Ведь стандартизация, если вернуться к сути этого процесса, предназначена для закрепления типовых и отработанных действий, условий или требований, приводящих в итоге к обеспечению единого, стандартного уровня качества выпускаемой продукции или предоставляемых услуг. А нам нужны ещё и творческие личности, способные к неформальным и быстрым действиям, это суть информационной борьбы, если так можно сказать.
ТРИ ПЕРВЫХ ШАГА
В заключение отметим следующее.
Автор выражает признательность Сергею Владимировичу Пазизину, заместителю начальника Управления по обеспечению ИБ Банка ВТБ (ПАО), к.ф.-м.н., доценту, за анализ и весьма ценные замечания, высказанные в ходе работы над данной статьей.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных