22/12/2022

Дефицит специалистов ИБ — это, наверное, самая набившая оскомину тема. И вроде делается в этом направлении много, и вузов, которые готовят таких специалистов, не счесть, а проблема менее острой не становится. Так, может, проблема не в количестве вузов и даже не в их программах обучения?

 

ПЛЯСАТЬ ОТ ПЕЧКИ

Давайте зададимся простым вопросом: кто они, самые востребованные рынком специалисты? На первый взгляд, ответ вроде бы очевиден: существуют стандарты специальностей в некоторых предметных областях, формулируются портреты выпускников, существуют пожелания заказчиков. Но если в вузовских документах логика образования ещё прослеживается, то в типичных требованиях, в том числе и нормативных, звучит примерно такое: «Высшее техническое образованиев области ИТ или ИБ, опыт работы в области ИБ такой-то, а для руководителей такой-то». Уловка-22 состоит в том, что на должность даже просто специалиста можно взять только человека, имеющего опыт работы, то есть не выпускника вуза. Откуда в таком случае такие специалисты берутся изначально?

Мой достаточно продолжительный опыт руководства разными подразделениями ИБ позволяет классифицировать эти источники на житейском уровне.

Во-первых, небольшие организацииищут, как правило, «универсальных» специалистов и наименее требовательны к наличию первичного опыта. Это и есть своего рода инкубаторы будущих настоящих ибэшников.

Во-вторых, в средних и крупных организацияхуже важна специализация по разным направлениям ИБ, но, главное, тут нужны те, кто знает, ЗАЧЕМ нужно что-то делать, ЧТО нужно делать, и те, кто не только знает, но и умеет, КАК делать. Очевидно, первую и вторую категорию (ЗАЧЕМ и ЧТО нужно делать) готовят в вузах, а вот откуда берутся специалисты третьей категории? Пока в основном это энтузиасты-самоучки, недоучившиеся в вузах, или просто самоучки из интернета. Для работодателей приём на работу таких «бойцов» — настоящая лотерея, в которой иногда везёт. Сейчас крупные игроки рынка ИБ создают для решения собственных кадровых задач свои центры дополнительного образования или профессиональной переподготовки, но в целом такой подход создавшееся положение в стране не исправит.

 

НЕ ВУЗОМ ЕДИНЫМ…

На самом деле, решением могло бы стать создание системы среднего профессионального образования по направлению информационной безопасности. Тем более что именно эта категория специалистов наиболее востребована, в том числе и в регионах.

 

ОБЛАЧНОЕ РЕШЕНИЕ

Не секрет, что в разных регионах совершенно разные возможности по созданию и содержанию высокотехнологичных учебных центров. Поэтому выход видится в создании серьёзной технологической базы облачного типа, которая на уровне облачных сервисов могла бы предоставить доступ любому учебному заведению, любому студенту к получению практических навыков по защите информации на самом современном уровне.

Целью создания таких центров могла бы стать выработка как новыхподходов к воспитанию специалистовсреднего звена в сфере ИБ, так и отраслевых требований к таким специалистам, что поможет эффективному достижению главной цели — формирования федерального кадрового резерва в области защиты информации.

Для этого необходимо решить ряд задач, среди которых:

  • создание некоммерческой учебно-методической и просветительской организации (НУМПО ЗИ) по вопросам подготовки специалистов среднего технического звена с акцентом на изучение использования российских программно-аппаратных СЗИ всех направлений для различных отраслей;
  • создание и поддержание в актуальном состоянии облачных сервисов, на которых колледжи и техникумы, работающие по программам ЗИ, могли бы получать некоммерческий доступ для своих студентов для практики на технических средствах защиты в условиях моделирования сложных кибератак на инфраструктуры различного назначения;
  • разработка и поддержание в актуальном состоянии моделей различных типов инфраструктур для различных отраслевых решений;
  • создание и поддержание в актуальном состоянии базы данных по актуальным угрозам и видам атак и своевременное создание моделей актуальных видов атак для различных типов инфраструктур;
  • формирование требований на изменения к различным направлениям специализаций в области ЗИ для подготовки рекомендаций для внесения изменений в стандарты образовательной деятельности (включая ФГОС, модели выпускников и т. д.) на основе опыта применения киберполигонов, анализа тенденций развития вредоносной активности и развития средств ЗИ, анализа передового опыта российских разработчиков;
  • формирование и поддержание в актуальном состоянии программно-аппаратной базы облачных киберполигонов на базе отечественных решений;
  • формирование и поддержание базы данных текущих и перспективных потребностей предприятий для своевременного внесения изменений в планы обучения по числу специалистов и их квалификации, в том числе потребностей военных комиссариатов в подготовке указанных специалистов;
  • оказание помощи в трудоустройстве специалистов — выпускников средних технических учебных заведений;
  • организация полноценного самостоятельного центра повышения квалификации специалистов по направлению ЗИ на базе УМПО ЗИ;
  • получение лицензий регуляторов, включая лицензии на образовательные виды деятельности.

 

БИБЛИОТЕКИ С ОТКРЫТЫМ КОДОМ

Параллельно с созданием образовательного центра необходимо будет решить ещё одну сопутствующую задачу. Образовательный центр должен базироваться на отечественном программном обеспечении (ПО), а одной из особенностей современного развития разработки ПО самого разного уровня — от сетевого/системного до приложений/облачных приложений — является широкое использование библиотек с открытым кодом.

Использование таких библиотек несёт в себе две большие проблемы — отсутствие гарантий поддержки в случаях форс-мажорных обстоятельств и высокая потенциальная степень угрозы включения в библиотеки вредоносного ПО и наличие недекларируемых возможностей (НДВ). Частично проблема могла бы быть решена сертификацией (оценкой соответствия требованиям) библиотек ФСТЭК. Однако такой подход не позволяет быстро и гибко реагировать на изменения требований к конечному продукту, и, кроме того, для библиотек с открытым кодом часто бывает невозможно найти заявителя работ.

 

НЕКОММЕРЧЕСКИЙ ЦЕНТР РАЗРАБОТКИ ПО

Указанные проблемы создают значительные трудности в реализации программы импортозамещения на федеральном уровне. Одним из подходов в этом направлении может стать создание некоммерческого центра компетенций разработки программного обеспечения (НЦК РПО), создание и поддержание федеральной базы проверенного набора библиотек открытого кода.

Основными задачами НЦК РПО будут задачи, связанные с созданием и поддержанием жизненного цикла федеральной базы проверенного набора библиотек открытого кода(БОК):

  • анализ потребностей производителей ПО в различных типах БОК;
  • каталогизация и классификация различных типов БОК;
  • проведение оценки актуальности использования БОК;
  • формирование заказов на разработку и возможная разработка БОК, не имеющих аналогов;
  • формирование решений на включение в базу новых БОК на основе заключений тестирования;
  • тестирование на отсутствие НДВ и уязвимостей БОК, подлежащих включению в базу;
  • обязательное тестирование Базы (части базы) БОК при выявлении новых критичных уязвимостей, актуальных для Базы (части базы);
  • периодическое тестирование на НДВ и новые уязвимости всей базы;
  • формирование рекомендаций производителям по использованию БОК для различных типов предметных областей;
  • проведение на базе НУМПО ЗИ тестирования готового ПО на различных математических моделях в условиях воздействия различных типов критических угроз;
  • формирование рекомендаций по использованию отечественной элементной базы для разработки программно-аппаратных комплексов, в том числе для защиты информации;
  • разработка предложений по исключению БОК из базы.

 

ПОДВОДЯ ИТОГИ

Подводя итоги можно и нужно сделать выводы:

  1. Специалисты разные нужны, специалисты разные важны.
  2. Подготовка технических специалистов по ИБ/ЗИ — сложная многогранная задача, имеющая много вариантов решения на самых разных уровнях, и без активного участия непосредственных заказчиков подготовки таких специалистов решить её будет трудно.