SOC Tech Киберзастава. Круглый стол о развитии профессионалов в ИБ
В рамках конференции SOC Tech Киберзастава состоялся круглый стол «Инструменты консолидации и систематизации работы бизнеса, образования и государства для развития профессионалов в сфере ИБ», организованный центром компетенций «Кибербезопасность» НТИ «Энерджинет» (далее — группа Кибербезопасность), на котором были рассмотрены вопросы развития системы подготовки профессионалов для сферы информационной безопасности (ИБ).
Повышенное внимание к данной теме обусловлено тем, что на текущий момент нет однозначного ответа по ряду вопросов:
- какова количественная и качественная оценка дефицита специалистов сферы ИБ, в том числе с учетом отраслевой и региональной специфики;
- какие компетенции специалистов сферы ИБ востребованы на текущий момент на рынке труда и в ближайшей перспективе;
- какова степень соответствия выпускников высшей школы и среднего специального образования (СПО) требованиям работодателей;
- какие подходы необходимы к независимой оценке квалификации специалистов.
Общая повестка по теме кадров гораздо шире, тем не менее, дискуссия по вышеперечисленным вопросам носила наиболее острый характер.
Эти вопросы затрагивались в рамках деятельности группы Кибербезопасность, реализовавшей ряд проектов, в том числе и отчеты, затрагивающие подготовку кадров в области ИБ. При этом существенным моментом является статус и состав группы. Во-первых, она является общественным объединением специалистов, во-вторых, в ее работе участвуют представители вузов, вендоров, интеграторов и иных компаний с равными правами голоса. Таким образом вырабатываемые подходы носят независимый и объективный характер.
Работа круглого стола началась с ключевого доклада лидера группы, руководителя отдела по развитию бизнеса InfoWatch ARMA Алексея Петухова. Он предложил скоординировать от имени группы усилия всех заинтересованных в области подготовки профессионалов. В качестве платформы для объединения предлагается открытая карта по развитию профессионалов ИБ (рис. 1), основными элементами которой являются роли специалистов по информационной безопасности, и описание каждой роли через матрицу компетенций (рис. 2), которое позволяет согласовать среди всех заинтересованных сторон фактические и нормативные требования.
Рисунок 1. Карта развития профессионала
Стоит отметить, что указанная карта составлена с учетом действующих профессиональных стандартов, фактического запроса работодателя ей и уровней иерархии, сложившихся в области обеспечения информационной безопасности. Как уже было отмечено, элементами карты являются роли (набор функциональных задач), реализуемые сотрудниками в зависимости от выбранного направления и уровня в иерархии. На этапе разработки карты было выявлено, что в настоящее время имеющийся набор принятых профессиональных стандартов описывает не все роли специалистов сферы ИБ, присутствующие на рынке труда. С другой стороны, часть работодателей ищет специалистов с набором компетенций, который однозначного можно трактовать как уникальный, что, как правило, приводит к увеличению сроков закрытия вакансий.
Рисунок 2. Таблица матрица компетенций
В ходе выступления также было отмечено, что кроме карты развития профессионалов, требуется вести активное и обширное общение всех участников образовательной системы для создания единого информационного поля. С этой целью предлагается развивать открытый чат в Телеграм, который не только позволяет координировать работу над картой и матрицей компетенций сотрудников сферы ИБ, но также обмениваться участникам тематическими новостями, информацией о планируемых мероприятиях и вести дискуссии.
В развернувшейся дискуссии по докладу в качестве экспертов приняли участие Директор Департамента цифровых технологий ТПП РФ Маслов В. А., заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) им. И. М. Губкина Правиков Д. И., заместитель руководителя экспертной группы по кибербезопасности Ассоциации «Цифровая энергетика» Капустин А. В. и другие эксперты.
Масловым В. А. обратил внимание на активный поиск специалистов в области обеспечения ИБ со стороны государственных структур и предприятий, в том числе относящихся к объектам КИИ. Он высказал мнение о необходимости при поиске специалистов в области ИБ точно указывать требования к их квалификации, а не пытаться найти «сверхспециалистов», обладающих гиперкомпетенциями в ИБ, и решать вопросы обеспечения защиты информации за счет одного специалиста.
Также Маслов В. А. поддержал идею взаимодействия представителей образовательной сферы с предприятиями, компаниями и организациями при формировании учебного плана подготовки специалистов в сфере ИБ, подчеркнув, что на выполнение Указов Президента России № 250 и № 166 осталось не так много времени — до 1 января 2025 года.
Д. И. Правиков отметил, что одной из актуальных задач, которые сейчас стоят перед высшим образованием, является обеспечение и подтверждение качества подготовки выпускников высших учебных заведений, получивших подготовку по укрупненной группе специальностей «Информационная безопасность». Без формального определения компетенций нельзя организовать проверку на их соответствие для специалистов. Вместе с тем, указанные компетенции должны быть актуальными по отношению к задачам, решаемым специалистами по информационной безопасности у основной массы работодателей. В этих условиях предлагаемая карта является удобным механизмом согласования компетенций и как следствие, требований к специалистам.
Предложенный подход, как одну из основ для развития взаимодействия для решения озвученных проблем, также поддержал заместитель руководителя экспертной группы по кибербезопасности Ассоциации «Цифровая энергетика». «Мы должны объединять усилия компаний и экспертного сообщества, ВУЗов, собирать полезную информацию совместно, обмениваться опытом, помогать развитию молодых специалистов, помогать им адаптироваться для наиболее эффективной работы с учетом актуальных потребностей и приоритетов ключевых отраслей экономики», — отметил Капустин А. В.
В частности, он отметил, что повышение осведомлённости в области ИБ среди компаний отрасли электроэнергетики — одна из задач Центра экспертизы по вопросам информационной безопасности в электроэнергетике («Энерго ЦИБ»), работающего при Ассоциации «Цифровая энергетика». На основании опыта отрасли во взаимодействии с ведущими учебными центрами эксперты АЦЭ планируют разработать учебные курсы по основам ИБ для руководителей и специалистов компаний отрасли, с учетом необходимых потребностей и компетенций для области ИБ в электроэнергетике. Предложенная карта компетенций может стать дополнительным инструментом для консолидации усилий совместного формирования и актуализации необходимых компетенций специалистов ИБ.
Дискуссия, в которой кроме заявленных спикеров приняли участие присутствовавшие в зале специалисты, позволила отметить, что представленная карта может быть полезна в решении следующих задач:
- формирование организационной и ролевой модели специалистов по информационной безопасности внутри компании;
- формирование требований при аттестации специалистов в компании;
- подбор программ дополнительного профессионального образования.
Ключевые результаты дискуссии:
1. Представленный прототип открытой карты по развитию профессионалов в целом положительно воспринимается заинтересованными экспертами и может быть использован для заявленных целей описания компетенций специалистов по информационной безопасности. Представляется целесообразным продолжить ее развитие в части описания ролей и соответствующих им компетенций.
2. Представленный прототип карты по развитию профессионалов ИБ является открытой платформой, позволяющей учитывать мнение заинтересованных сторон при описании отдельных ролей сотрудников по информационной безопасности. Присоединиться к доработке прототипа открытой карты можно, например, через участие в Телеграм-чате.
3. Группа Кибербезопасность берет на себя роль технической поддержки данной платформы, координации работ по ее наполнению.
Свои предложения можно высылать на почту группы Кибербезопасность Энерджинет: EnergyNetCS@yandex.ru.
