«Куда идти? Три первых шага». И снова о подготовке в высшей школе специалистов в области информационной безопасности

BIS Journal №1(44)/2022

21 февраля, 2022

«Куда идти? Три первых шага». И снова о подготовке в высшей школе специалистов в области информационной безопасности

К вопросу растущего дефицита кадров в области информационной безопасности мы уже обращались. Пока, к сожалению, и реакции практически нет, да и результатов особо не видно, хотя нельзя не отметить, что наши образовательные власти кое-что делают в этом направлении. Да и госструктуры и ведомства, от которых как-то зависит решение вопроса, тоже прилагают определённые усилия. Насколько эффективные – об этом речь пойдёт ниже.

 

ПОЛОЖЕНИЕ ВЕЩЕЙ

Мы поставили перед собой задачу взглянуть на эту сферу деятельности ещё раз и надеемся, что это может в какой-то степени помочь решению столь непростой проблемы.

Формально всё выглядит неплохо. В стране, по данным Федерального учебно-методического объединения в системе высшего образования по УГСН 10.00.00 «Информационная безопасность» (УМО), в настоящее время около 150 вузов готовят специалистов по Федеральным образовательным стандартам по информационной безопасности (ФГОС) 10.03.01, 10.04.01 и 10.06.01. Точными цифрами мы не располагаем, но если каждый вуз выпускает хотя бы 50 специалистов в год, то на рынке ежегодно появляется более 7500 новых работников. Если в этой сфере деятельности в специальности остаётся, по очень неточным данным (точной статистики нет, она не ведётся), 10-20% выпускников, то мы имеем от семисот до полутора тысяч реальных работников каждый год. Этого, конечно, мало. При этом мы видим, что регуляторы в сфере образования и УМО озабочены уровнем подготовки студентов и критически оценивают качество образования по ИБ в ряде вузов. Отсюда и планы по сокращению их числа, централизации подготовки в крупных технических образовательных учреждениях, созданию, усилению и укреплению учебной материально-технической базы, введению новых ФГОС, изменению правил аккредитации по образовательным программам и т.д.

С целью приближения к потребностям рынка образования и знаний выпускников в 2016 году Минтруда выпустило профессиональные стандарты, определяющие группы занятий и обобщённые и конкретные трудовые функции для специалистов, работающих в следующих областях:

  • 06.030 «Защита информации в телекоммуникационных системах и сетях, включая сети связи специального назначения»;
  • 06.031 «Автоматизация информационно-аналитической деятельности»;
  • 06.032 «Обеспечение безопасности компьютерных систем и сетей»;
  • 06.033 «Защита информации в автоматизированных системах»;
  • 06.034 «Техническая защита информации».

Центральным банком подготовлен проект профессионального стандарта «Специалист по защите информации в кредитно-финансовой сфере».

Новая редакция ФГОС 10.03.01, 10.04.01, версия 3++ предусматривает существенное усиление требований к вузам по части дисциплин, подлежащих обязательному изучению, (что ведёт к унификации обучения студентов на первых курсах в различных вузах), ужесточение требований к квалификации профессорско-преподавательского состава и, наконец, повышение требований к практической подготовке студентов в профильных предприятиях и организациях.

Решил отметиться и Минобрнауки, введя критериальные механизмы оценки качества и уровня знаний и умений, получаемых студентами высшей школы через введение системы оценки качества образования на основе новых понятий: компетенций, дескрипторов и индикаторов. Также с завидной регулярностью меняются требования и форматы базовых документов: образовательных программ, рабочих программ дисциплин, всякого рода учётных и отчётных документов. Нет сомнений, что всё это направлено на благое дело — повышение качества образования, качества работы профессорско-преподавательского состава и усиление контроля за образовательным процессом.

Делается эта работа как всегда быстро, в результате чего образовательные учреждения попадают в трудное положение, будучи вынуждены срочно переосмысливать и переделывать сотни весьма сложных документов, регулирующих и регламентирующих образовательный процесс. Пока единственный видимый результат — дальнейшее усиление бюрократизации и существенное увеличение нагрузки на людей.

Появились гранты Минобрнауки и негосударственных фондов, призванные повысить качество образовательных программ и как-то улучшить финансовое положение молодых преподавателей и учёных.

На этом фоне весьма хорошо чувствуют себя коммерческие образовательные учреждения, гораздо менее связанные с формальностями и быстро реагирующие на «злобу дня» своими узко заточенными программами дополнительного образования. Но они не смогут заменить классическое высшее. Да так и не ставится задача.

 

И В ТО ЖЕ ВРЕМЯ…

Повторимся, всё внешне выглядит неплохо. Но при этом дефицит специалистов на рынке меньше не становится, а растет, и уровень подготовки новоиспеченных бакалавров, а иногда и магистров порой сильно огорчает практиков. К тому же, как ранее отмечалось, в специальности остаётся 10-20% выпускников. При этом, по последним данным компании HeadHunter, число вакансий в сфере информационной безопасности (ИБ) в России выросло в 2021 году на 47%, а их общее количество составило 35,3 тысячи.  Почти треть из них относятся к сегменту IT-компаний и системных интеграторов (рост в 31% внутри отрасли). Помимо них, в лидерах оказались финансовый сектор (55%) и отрасль телекоммуникационных услуг и связи (43%). Также отмечается снижение интереса к вакансиям со стороны кандидатов, что говорит о снижении конкуренции. Это, мягко говоря, плохо и отражает наличие глубоких нерешенных проблем в сфере подготовки кадров для деятельности, без которой вся та самая цифровизация, о которой мы так усердно говорим, превратится в своего антипода и способна создать нашему обществу вместо благ и движения вперед очень большие трудности. Об этом в голос трубят факты: и последние громкие инциденты, и растущий у идеологов цифровизации правовой нигилизм и резкий рост киберпреступлений. Об этом говорят и уважаемые эксперты в области информационной безопасности и информатизации — Н. Касперская и И. Ашманов. 

Но попытаемся пристальней взглянуть на проблемы подготовки кадров.

 

КОГО ГОТОВИМ? И ДЛЯ ЧЕГО?

Начнём с простого вопроса: а кто нужен рынку; кого нужно готовить; какими компетенциями, как сейчас модно говорить, должен обладать специалист в области информационной безопасности?

Для этого сначала нужно присмотреться к самой сфере информационной безопасности в России. Несмотря на идущие в ней процессы централизации и вытеснения малых предприятий, состоит она из нескольких секторов:

  • производства средств и систем защиты, включая взаимодействие с регуляторами в части сертификации продукции (вендоры);
  • предоставления услуг по созданию, комплексированию и модернизации систем защиты (системная интеграция);
  • аудита и консалтинга в сфере ИБ;
  • целевых услуг по аналитике социальных сетей и интернет-разведке, мониторингу угроз и уязвимостей, управлению системами безопасности, расследованию киберпреступлений, обработке и хранению данных, вычислительным услугам и т.д.).
  • собственно потребителей услуг и сервисов безопасности – предприятий промышленности, бизнес-структур, крупных корпораций, финансовых организаций, операторов связи, государственных органов и структур и т.д.

Какие специалисты и с какими знаниями там нужны?

 

ЧИТАЕМ ПРОФСТАНДАРТЫ

Профстандарты, выпушенные Минтрудом 6 лет назад, а принятые к разработке ещё на несколько лет раньше и потому объективно устаревшие, весьма путано отвечают на этот вопрос, так как почти во всех этих документах присутствует целая группа практически одинаковых профилей специалистов, возможно актуальных на 2016 год. Но времена уже изменились. К тому же внимательное прочтение этих документов приводит к следующим выводам.

  1. Налицо глубокое пересечение сфер регулирования, так как крайне сложно, например, провести четкую границу между компьютерными системами, сетями и автоматизированными системами, так как это суть одно и тоже, правда, в одном случае необходимо обеспечивать защиту информации, а в другом – обеспечивать безопасность. Если не иметь в виду физическую охрану, то эти понятия – синонимы. Почти полностью накладывается, с некоторым исключением, на эти области сфера регулирования стандарта 06.030 «Специалист по защите информации в телекоммуникационных системах и сетях», а проблематика автоматизации информационно-аналитической деятельности за прошедшие годы приобрела совершенно иное значение, о котором в действующем стандарте 06.031 «Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности» вообще нет упоминания. Возникает естественный вопрос: а как включить эти стандарты в соответствующие образовательные программы с точки зрения сопряжения терминологии, используемой во ФГОС (компетенции-дескрипторы-индикаторы) с терминологией профессиональных стандартов (группа занятий-вид экономической деятельности-общая трудовая функция-трудовая функция).
  2. Содержание общих и просто трудовых функций по всем стандартам существенным образом пересекается, что говорит о явной отраслевой фрагментации общей задачи. Это застарелая проблема регулирования сферы информационной безопасности.

 

ВЫЯВЛЯЕМ ПОТРЕБНОСТИ РЫНКА

Тем не менее, анализируя потребности рынка совместно с имеющимися профессиональными стандартами, можно выделить основные профили или виды деятельности, по которым очевидно и нужно готовить специалистов с высшим образованием в области информационной безопасности.

Эти профили, по нашему мнению, следующие.

  1. Специалист по управлению (подпрофили: методолог, руководитель по направлению деятельности, специалист по документированию, специалист по защите персональных данных, специалист по защите КИИ). При этом понятно, что готового руководителя в стенах вуза подготовить невозможно, это опасное заблуждение, руководитель вырастает в ходе практической работы. Но основные знания и компетенции в области управленческой деятельности в сфере управления в области информационной безопасности молодому человеку заложить вполне возможно;
  2. Аналитик по безопасности автоматизированных систем (подпрофили: специалист по архитектуре защищенных информационных систем, аналитик кода, аналитик защищенности автоматизированных информационных систем);
  3. Аудитор информационной безопасности;
  4. Специалист по обеспечению информационной безопасности (подпрофили: специалист по криптографическим методам защиты и применению сервисов PKI, специалист по защите сетевой инфраструктуры, специалист по технической защите информации);
  5. Специалист по инцидентам информационной безопасности;
  6. Специалист по расследованию киберпреступлений;
  7. Аналитик данных средств социальной коммуникации;
  8. Системный архитектор, разработчик.

В этом перечне нет отраслевой привязки, так как профили являются универсальными. Отраслевую привязку целесообразно делать на уровне профильных учебных заведений.

 

ТРИ ВОПРОСА И РЕАЛЬНАЯ СИТУАЦИЯ

В этой связи, учитывая востребованные профили специалистов, уместно задать три вопроса:

  • как и чему учить студентов? Этот вопрос весьма сложен и требует отдельного, более детального рассмотрения, анализа и обсуждения на уровне отдельной статьи. 
  • как и какими силами организовать и обеспечить качественный учебный процесс?
  • что улучшить в обеспечении учебного процесса?

Отметим, что проблема эта многогранная. Сама проблематика информационной безопасности демонстрирует быструю изменчивость и вариативность, к тому же имеет тенденцию к расширению предметной области. Изменения в сфере ИБ и новые направления возникают быстро, буквально в течение 2-3-х лет. Образовательные учреждения просто не успевают за ними, в результате чего не происходит научного и методологического осмысления возникающих вопросов. Особо следует отметить, что эти знания часто не формализованы и не описаны, следовательно, плохо доступны для сообщества. Основной метод обмена этими знаниями – участие в профильных конференциях, особенно в их неформальной части. В результате адаптация ФГОС и образовательных программ образовательными учреждениями по понятным и объективным причинам отстаёт от практики.

И ещё раз подчеркну, что практический опыт и знания в этой сфере, а значит, и результаты осмысления, накапливаются у практикующих специалистов, как говорят, «на кончиках пальцев». Как донести эти знания до студентов и превратить в их компетенции?

И тут во весь рост встает две проблемы: качество профессорско-преподавательского состава и получение студентами твёрдых практических знаний. Напомним, что рынок нуждается в специалистах, владеющих тонкостями проблемы, а не в людях, имеющих общее представление о проблеме.

 

ПРЕПОДАВАТЕЛЬСКИЙ СОСТАВ

Преподаватели высшей школы, как мы знаем, делятся на две категории:

  1. Штатные работники, связавшие свою жизнь с преподаванием в высшей школе. Их профессиональный рост, статус, рейтинг и финансовое положение реализуются во вполне определённых рамках, предполагающих наличие учебной нагрузки, ученой степени, научного звания и количества публикаций. Эта парадигма прекрасно работает в устоявшихся «академических» отраслях знаний. Обеспечение материального благополучия вполне возможно, однако требует, как уже отмечалось, большой учебной нагрузки, ведения деятельности по получению учёных степеней и званий, написанию большого числа статей в индексируемые журналы и т.д. То есть, времени и средств, чтобы разбираться в хитросплетениях проблематики, нет. К тому же преподаватели перегружены отчетностью. Всё это практически исключает для них возможность повышения профессиональной компетенции путем участия в практических работах совместно с практикующими специалистами по решению наиболее острых вопросов в области ИБ. Может быть по этим причинам, может быть и нет, но личный опыт автора по привлечению к практической деятельности преподавателей высшей школы всегда был неудачным.
  2. Вторая категория преподавателей — совместители, среди которых выделяется группа специалистов рынка, владеющих именно теми знаниями, которые возникают в профессиональной сфере деятельности. Эти специалисты не заинтересованы в переходе в высшую школу. Во-первых, по причине отрыва от практики, что их неминуемо профессионально ослабит, и, во-вторых, по причине крайне скудного финансирования этой категории специалистов в системе высшей школы. К тому же работать с серьезной учебной нагрузкой они не могут по причине занятости на основной работе и часто не имеют достаточной практики преподавания. Составление учебных программ и разработка учебных пособий превращается в муку для них и методистов кафедр. А те небольшие часы, которые они тратят на передачу своих знаний «на кончиках пальцев», оплачиваются по общим тарифам. Только единицы этих людей имеют учёные степени, звания и публикации. Это заведомо выводит данную категорию преподавателей на проигрышные позиции в принятом в высшей школе профессиональном рейтинге. Естественно, что такой переход неминуемо ухудшает их материальное положение и статус. Вот и получается, что ведущие специалисты-практики получают за передачу своих очень важных знаний студентам сущие копейки, вызывающие разве что смех. Далеко не каждый готов работать в таких условиях. При этом, новые ФГОСы 3++ приветствуют привлечение совместителей, и даже предполагают доведение их числа до 50%, от общего состава кафедр, реализующих соответствующие программы обучения, однако по причине отсутствия у них степеней и званий учебное заведение одновременно нарушает требования того же ФГОС по проценту остепенённых преподавателей. Возникает замкнутый круг.

Разорвать его можно только путём принятия серьёзных системных решений, например, приравнивания квалификации специалиста с рынка уровню, соответствующему степени и научному званию преподавателя высшей школы, а выполненные успешно работы и бизнес-проекты — соответствующим статьям в научных изданиях. Ну, и конечно, стоимость часа занятий для таких специалистов должна быть установлена хотя бы в 2 раза выше, чем сейчас. Это будет ниже, чем в коммерческих организациях, но свою задачу решит, преподаватели найдутся.

 

О ПРАКТИЧЕСКИХ НАВЫКАХ СТУДЕНТОВ

Далее — твёрдые практические знания могут быть получены студентами только двумя способами:

  • в ходе прохождения практики в профильных организациях;
  • в ходе выполнения лабораторных работ на современной учебной базе.

 

О ПРАКТИКЕ

Дела с организацией и прохождением практики обстоят весьма не просто. Платное специализированное повышение квалификации с выдачей соответствующего, признаваемого рынком, сертификата есть и широко развито, а вот с практикой студентов в профильных организациях – проблемы.

Министерство образования ужесточает требования к её прохождению, повышая ответственность образовательных учреждений. Это, вне всяких сомнений правильно. Однако на рынке далеко не все профильные организации горят желанием принимать практикантов. У некоторых есть специальные программы и специальные люди для организации такой работы, но это собственные, как правило платные программы, не согласующиеся с ФГОС. Понятно, что эти программы нацелены на подбор кандидатов на работу, а не на обучение студентов.

Поэтому представитель образовательного учреждения, пытаясь пристроить на практику своих студентов — а их может быть много — натыкается на предложение сначала провести собеседование, тестирование, то есть отобрать небольшую группу, а потом уже приступить к собственно проведению практики.

Вызывает вопросы сам процесс прохождения практики, он требует организации и сопровождения, работы с практикантами. Свободных ресурсов на обеспечение этой деятельности как правило у фирм нет. В последнее время крайне сложно выстраивается формальная сторона вопроса организации практики, начиная с подписания договоров, которое превращается в «дуэль юристов», отнимающую время, а его и так не много. И, пожалуй, главное - это сложность привлечения к сотрудничеству коммерческих фирм, они не видят и не ощущают своей заинтересованности в этом процессе. А государство, ужесточающее требования к вузам в этой части, не включило рынок в состав заинтересованного субъекта, установив таким образом одностороннюю ответственность.

В целом организация практики — тяжелый процесс, занимающий львиную долю времени преподавателей и организаторов.

Вместе с тем, по мнению и преподавателей и принимающих сторон, практика — это ключевой элемент подготовки будущих специалистов. Объём её нужно не уменьшать, а наоборот — увеличивать.

Уместно задать вопрос: а каков практический результат этой деятельности в складывающихся условиях и как её радикально улучшить. Ответ не радует — практически никак. Опять замкнутый круг.

Однако и решение очевидно: коль скоро государство заинтересовано и взяло на себя ответственность по организации подготовки специалистов, деятельность по проведению практики в профильных организациях должна быть материально и финансово поддержана. В идеальном варианте, образовательное учреждение должно иметь возможность заключать с профильными организациями финансовые договора, делающие эту работу привлекательной для рынка. Тогда и организаторы сразу найдутся, и помещения, и руководители практик и результаты сразу будут видны. Самое интересное, что цена таких договоров совсем небольшая, а вся работа легко поддается планированию в нашей бюрократической системе. Нужно только смелее принимать решения. От этого много зависит.

 

О МАТЕРИАЛЬНО-ТЕХНИЧЕСКОЙ БАЗЕ

Следующий вопрос: на какой учебно-материальной базе готовить студентов?

ФГОС устанавливает только самые общие требования к ней. В этой связи вспоминается забытый старый опыт высшего военного образования в СССР, когда военные училища первыми получали новейшие образцы техники и вооружения, которых ещё не было в войсках. Зато потом специалисты получались, которых не нужно было переучивать как минимум 8-10 лет. Вот это был взгляд в будущее.

А чем мы хуже? Или уже не можем?

Ответ тут очевиден: для того, чтобы подготовить специалистов, владеющих упомянутыми выше компетенциями, нужна самая современная, специализированная и довольно дорогостоящая материальная база. Где, что и у кого её взять, мы знаем. Как и чему учить, тоже. Конечно, научить студентов работе на всех средствах и системах безопасности невозможно и нецелесообразно, но они должны быть знакомы с основными классами средств и систем защиты, методами, принципами и приемами администрирования безопасности сетей, систем и баз данных и виртуальных сред, с методами и способами выявления и управления инцидентами в основных типах информационных систем, обработки и анализа данных систем управления безопасностью или систем социальной коммуникации, методами и приемами тестирования систем безопасности и выявления уязвимостей. Это вполне по силам, с учётом выбранного профиля подготовки.

А вот вопрос о том, как получить такую материальную базу остаётся открытым. вузам сложно её приобрести из собственных средств, особенно, если они исторически не специализировались в области IT-технологий. Снова тупик. Даст ли результат сверхконцентрация обучения в нескольких крупных образовательных центрах? Вопрос. Перенос центра тяжести в регионы- дело хорошее, но где там преподавателей взять? Ведь практически вся интеллектуальная элита в сфере ИБ сосредоточена в столице и ещё двух-трёх городах.

 

ПОКА ЛАТЕНТНАЯ СТАДИЯ

Отметим также, что информационная безопасность — это не строгая математическая дисциплина, а целая практическая «политехническая» отрасль, опыт и знания в которой возникают у практикующих специалистов «на кончиках пальцев». Отрасль с колоссальным числом разного рода ответвлений и направлений — от очень серьёзной криптографии, исследований кода и программирования, до вопросов управления, аудита, оценки рисков, анализа уязвимостей, трассировки атак и социальной инженерии. В целом, по широте охвата и числу прикладных направлений, она поразительно напоминает медицину. А там иная система подготовки студентов и есть даже своя Академия наук.

В целом всё перечисленное крайне негативно влияют на общую ситуацию. Поневоле на ум приходит сравнение с тяжелой опасной болезнью, признаки которой сначала не видны, латентны, но именно в это время её можно вылечить. Потом поздно. Ничего не помогает.

Выходов из этой проблемы два: либо дальнейшая формализация и усиление требований к образовательным учреждениям, что ещё больше усложнит проблему, либо творческая переработка поставленной задачи.

 

ПОДВОДНЫЙ КАМЕНЬ СТАНДАРТИЗАЦИИ

Вообще, представляется, что интенсивная детализация процесса обучения и его последующая стандартизация может стать опасным явлением. Ведь стандартизация, если вернуться к сути этого процесса, предназначена для закрепления типовых и отработанных действий, условий или требований, приводящих в итоге к обеспечению единого, стандартного уровня качества выпускаемой продукции или предоставляемых услуг. А нам нужны ещё и творческие личности, способные к неформальным и быстрым действиям, это суть информационной борьбы, если так можно сказать.

 

ТРИ ПЕРВЫХ ШАГА

В заключение отметим следующее.

  1. Вузам, для подготовки специалистов в соответствии с выбранным профилем подготовки, нужна специализированная учебно-материальная база. Как её создать - вопрос обсуждения с Минобрнауки, но нужны средства. Собственно, по этому пути идут все лучшие учебные заведения мира.
  2. Система оплаты работы преподавателей и рейтинговые оценки привлекаемых с рынка, должны быть изменены. Оплату их работы следует осуществлять не по стандартной почасовой ставке, а по договору, «за курс», как это и было ранее, в 90-е годы прошлого века. Но при этом, договорная цена должна быть конкурентоспособна с аналогичными коммерческими курсами.
  3. Длительность производственной практики для студентов должна быть существенно увеличена. Один из вариантов — создание в профильных фирмах, выбранных на основании договоров между вузами и фирмами о создании учебных консорциумов, определённого числа временных рабочих мест за счёт государства, коль скоро оно заинтересовано в повышении уровня образования специалистов в области информационной безопасности.  

 

Автор выражает признательность Сергею Владимировичу Пазизину, заместителю начальника Управления по обеспечению ИБ Банка ВТБ (ПАО), к.ф.-м.н., доценту, за анализ и весьма ценные замечания, высказанные в ходе работы над данной статьей.

Смотрите также