«В стране нет общенациональных стандартов оценки уровня подготовки специалистов»

3 апреля, 2023

«В стране нет общенациональных стандартов оценки уровня подготовки специалистов»

Каким должен быть специалист по информационной безопасности обсудили участники круглого стола «А бизнес против!?», который прошел на Федеральной территории «Сириус» в рамках конференции «Кадры и образование по ИБ в России: настоящее и будущее».

Тон дебатам задали модераторы дискуссии Дмитрий Гусев, заместитель генерального директора АО «ИнфоТеКС», и Мария Сигаева, директор центра кадровой экспертизы PT Career HUB компании Positive Technologies. Так ли все хорошо в системе подготовки кадров и стоит ли подождать год-другой для решения всех проблем, о чем рапортуют представители регуляторов и ФУМО ВО и СПО?

Во сколько оценивается подготовка молодого специалиста, только что покинувшего стены учебного заведения, его потенциальными работодателями и когда он будет готов приступить к самостоятельной работе? По словам Павла Кузнецова, директора по продуктам ООО «Гарда Технологии, в организации принято концептуальное бизнес решение принимать на работу специалистов уровня middle, с опытом практической работы, поскольку существует разрыв между качеством подготовки выпускников и их обязанностями по работе.

«Человек заинтересованный, искренне стремящийся к знаниям, находящий знания везде, на практике, в интернете, в среднем будет готов к самостоятельной работе через год. С опытом работы до года или без опыта практической работы выпускников вуза уровня junior брать не получается. Разрыв очень высок», — утверждает Павел Кузнецов.

Руководитель Управления безопасности приложений АО «Тинькофф Банк» Николай Исламов согласился с коллегой, отметив, что подготовка молодых специалистов для самостоятельной работы занимает в банке до полутора лет. У «Тинькофф» налажено взаимодействие с вузами, есть финтех школа, учебные программы, в т. ч. на территории «Сириуса». Выпускников программ приглашают на стажировку, однако человек становится полноценным членом команды после получения опыта практической работы. Достижения оцениваются по итогам внутренней аттестации. Экономическая выгода, которая видна с первых дней, отражается в отчете PNL, где учитываются не только расходы на подготовку специалиста, но и прибыль от неполученных штрафов регуляторов, предотвращенных или недопущенных хакерских атак и иных рисков.

О подходе интегратора рассказал Денис Дубицкий, руководитель направления Аттестации и Специальных проектов Т1. Компания использует разные подходы к обучению для имеющих или обучающихся по ИБ, есть практика преподавания сотрудниками компании в организациях высшего, среднего специального и дополнительного образования. Оттуда идет выбор потенциальных кандидатов. Спикер отметил, что знаком с рынком труда и дефицитом кадров в ИБ. «Иногда находятся «бриллианты» — выпускники вузов и колледжей с пониманием и умением в рамках практических занятий, внеклассной работы или самоподготовки. Было бы желание, — подчеркнул Денис Дубицкий. — Однако опыт показывает, что претендовать на должность и уровень запрашиваемой зарплаты могут 1-4 человека из группы человек в 25». У компании есть возможность привлечения кандидатов к работе внутри проектов для получения практического опыта, подчеркнул спикер.

Отвечая на вопрос модераторов о критериях оценки уровня знаний молодых кадров, Антон Сергеев, советник МИЭМ НИУ ВШЭ, отметил, что в стране нет общенациональных стандартов оценки уровня подготовки специалистов. В 2015 г. нечто похожее на контроль качества подготовки было собрано в системе СПО. Это система профессиональных чемпионатов мастерства по всем направлениям подготовки кадров и гармонизированный экзамен выпускников колледжей в рамках стандарта спецификаций. На сегодня это — единственный общенациональный стандарт для оценки практики, когда выпускник СПО по направлениям инфобеза, помимо диплома, в течение шести часов выполняет работу по защите с использованием средств защиты информации. Этот опыт уже скопирован такими странами как Казахстан и Китай.

Как показывает статистика, навыки выпускника колледжа порой выше навыков выпускника бакалавриата и магистратуры. Статистка по ИТ и ИБ-направлениям и опыт коллег показывают отсев кандидатов на уровне 80%. При этом процент трудоустройства выпускников колледжей растет. Но есть сдерживающие факторы — квалификационные требования специальностей ИБ по ФГОС от 2009 г., которые определяют выпускника СПО по направлениям 10.00.00 как специалиста уровня «техник». Поэтому молодые люди вынуждены поступать в университеты на заочное обучение и идти на работу как студенты для соответствия требованиям ФГОС при работе в госорганизациях.

Участники круглого стола отметили, что ранее регуляторы заявляли готовность пойти на пересмотр требований к уровню подготовки специалистов в области ИБ, оставив требования к высшему образованию только для сотрудников, работающих с КИИ.

Бурную дискуссию участников круглого стола и присутствующих в зале вызвал вопрос «Кто нужен разработчикам, интеграторам и эксплуатантам?». В предлагаемых регуляторами учебных программах по ИБ вызывает недоумение деление на направления, идет защита одной и той же инфраструктуры, разница в конечных бизнес-решениях (банки, вендоры) и рисках. Но программы разные, хотя отличаются минимально. Отдельный сегмент — ИБ АСУ ТП и методы криптографической защиты информации, которые имеют свою специфику и выходят за рамки дискуссии.

Компания Positive Technologies создала свою матрицу компетенций с использованием зарубежного опыта требований к специалистам по ИБ и разложила на ней один из девяти отечественных профстандартов, рассказала Мария Сигаева. Оказалось, что он «размазывается» по всем блокам и частично не закрывает требования к работам по ИБ.

О схожей позиции под другим углом зрения рассказал и Денис Дубицкий. По его мнению, нужны разные специалисты по защите в зависимости от инфраструктуры. Необходимо моделирование угроз для определения, какие угрозы актуальны для объекта. «Можно вложить много ресурсов, но не закрыть один канал и поставить под угрозу всю систему», — отметил Денис Дубицкий. Выпускников надо готовить под конкретные задачи, если есть специалисты, преподаватели и соответствующие практики.

В споре о том, что насколько целесообразно давать выпускнику университета фундаментальное техническое образование и стоит ли закладывать специализацию в вузе, приняли активное участие присутствующие в зале слушатели.

Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности Минцифры России, считает, что нужен специалист с базовым техническим ИТ-образованием, полученным в первые два года обучения, который будет специализироваться по одному из ИБ направлений. Необходим практико-ориентированный подход не как широкий спектр знаний, а как усвоение фундаментальных принципов и готовность создавать новые решения и двигать инфобез как науку и практику, отметил представитель Минцифры.

За исключение «ненужных» для инженера ряда технических и гуманитарных дисциплин из программы подготовки высказался Антон Сергеев. Он отметил, что за первые два года подготовки по фундаментальной программе студенты, поступившие на ИБ направления, не получают знаний по выбранной специальности и бросают учебу. По его мнению, при возвращении на программы специалитета ситуация не изменится и количество часов практической работы не увеличится. И если федеральные университеты, которых мало в общем числе вузов, еще смогут пробить свои программы, то региональные учебные заведения пойдут по программам ФГОС и в подготовке специалистов ничего не поменяется.

В защиту классического подхода к подготовке специалистов с высшим образованием выступил Артем Сычев, советник генерального директора Positive Technologies. Он отметил необходимость подготовки всесторонне развитого специалиста, способного вести диалог с разной аудиторией в различных ситуациях, а не просто получившего образование по ИБ, которому не нужна физика для ловли хакеров. Это касается всех направлений обучения.

Отдельный вопрос — обучение специалистов по ИБ для работы в отраслях, где требуется знание специфики работы в конкретной сфере. В ряде отраслей эта проблема успешно решена. Где-то стоит готовить инженеров узкого профиля с последующим погружением в вопросы ИБ, считают участники дискуссии.

Участники круглого стола предложили создать рабочую группу из представителей отрасли ИБ, которая в тесном сотрудничестве с регуляторами и ФОИВ будет формулировать запрос на направления подготовки и специальности по направлению «Информационная безопасность».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных