В рамках X Уральского форума состоялась сессия «Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы РФ». В ней приняли участие представители регуляторов, университетов, учебных центров и банков, которые обсудили волнующий всех вопрос подготовки кадров и их соответствие современным требованиям в сфере ИБ. Роль модератора исполнил заместитель председателя Банка России Руслан Вестеровский.
Руслан Вестеровский: Мир становится все более волатильным, скорость изменений и внедрения инноваций повышается с каждым годом. Футурологи утверждают, что через пять лет банков в классическом понимании практически не останется. Они уйдут в цифру, в онлайн-решения – и этот тренд уже сегодня набирает реальную силу. В этих условиях важно оценить угрозы, в том числе увеличение кибератак на индустрию в целом. По мнению экспертов, потери мировой экономики от киберпреступности составляют порядка $1 трлн в год. И чтобы уберечь средства на счетах, компании совершенно справедливо повышают требования к специалистам по ИБ.
А достаточно ли у нас таких специалистов? Как оценивают работодатели количество и качество выпускников ВУЗов? Трудно ли найти хорошего специалиста? Если верить сайтам по трудоустройству, то вакансий на них много, но соискателей еще больше, при этом кадровый голод велик. Претенденты, как это ни парадоксально, не удовлетворяют потребности рынка, а часто они даже не востребованы рынком. Почему? Замечу, что Банк России активно занимается рекрутментом в сфере ИБ, и под наши запросы и требования трудно найти специалистов нужной квалификации.
Вопрос работодателю: приходят ли к вам на работу те, кто вам нужен, или приходится доучивать их под требования и стандарты банка?
МНЕНИЕ РАБОТОДАТЕЛЯ
Сергей Пазизин, начальник Управления по обеспечению ИБ, Банк ВТБ: Безусловно, дефицит специалистов - это факт. Он связан с «экспоненциальным» ростом спроса на кадры, и удовлетворить эту потребность в ближайшее время не получится даже при увеличении приема студентов на специальности, связанные с обеспечением ИБ.
Что касается качества подготовки, то у нас нет избыточных ожиданий. Мы не рассчитываем, что к нам придёт полностью готовый к работе молодой специалист. Во многом это связано со спецификой отрасли: нормативное регулирование, банковские и платёжные процессы… Человек, который будет заниматься безопасностью бизнес-процессов, использующих информационные технологии, внедрением безопасных банковских приложений, должен знать специфику банка. Как правило, этому в ВУЗах, выпускающих специалистов по общим направлениям ИБ, не учат. Другой аспект – работа удостоверяющего центра, сетевая безопасность, разработка приложений – все эти направления требуют узко специальных знаний, для получения которых потребуется дополнительная подготовка. Есть также специфика, связанная с работой в крупной организации со своей внутренней нормативной базой и требованиями, наработками, бэк-граундом, корпоративной культурой. Человек, который приходит к нам, должен все это освоить, понять принципы работы и влиться в команду. Поэтому, конечно, мы в первую очередь ищем перспективных талантливых людей, которые смогут у нас раскрыться и остаться надолго.
Руслан Вестеровский: Вы набираете выпускников или людей с опытом?
Сергей Пазизин: В подразделении безопасности мы отдаем предпочтение специалистам с опытом работы. Можно взять выпускника, отличника, но потом оказывается, что на работе ему скучно. Когда у человека есть опыт, то уже на собеседовании становится понятно, что он умеет, к чему стремится и как работает. Конечно, выпускникам тоже нужно давать шанс. В ВТБ имеются все возможности для развития и обучения для молодых специалистов. В условиях дефицита кадров, мы, случается, берём сотрудников и без базового образования по профилю, но с опытом работы в сферах, близких к ИБ, например, если они занимались разработкой и эксплуатацией автоматизированных систем или поддержкой сетевой инфраструктуры.
Учитывая свой опыт преподавания, я бы добавил следующее. Необходимо, с одной стороны, достаточно жестко регламентировать базовые дисциплины, давать фундаментальные знания по математике и информационным технологиям, а с другой, обеспечивать гибкость при наполнении дисциплин на старших курсах.
Поскольку будущие оттенки специализации заранее предсказать невозможно, университетам должна быть предоставлена свобода формирования программ в части дисциплин по выбору и факультативов, чтобы на последнем году обучения они могли дать студентам набор знаний, который будет учитывать последние киберугрозы и нововведения в нормативной базе и обеспечить специализацию по актуальным направлениям. Тогда работодателям не придётся доучивать человека. А если опираться только на профстандарты, мы будем вечно отставать.
О ПРОФСТАНДАРТАХ
Руслан Вестеровский: По оценкам аналитиков, в 2022 г. в мире будут востребованы 1,8 млн специалистов по ИБ. По данным Минобрнауки, в России потребность в новых специалистах по ИБ до 2020 г. составит 21 тыс. человек в год при том, что отечественные ВУЗы выпускают 5000 человек в год. Т.е. у нас выпускников в четыре раза меньше, чем требуется экономике в целом. ВУЗам необходимо ориентироваться на потребности рынка труда и увеличивать квоты и число мест на ИБ-направлениях.
В российских университетах специальность ИБ появилась 15 лет назад. В связи с развитием цифровых технологий ее значимость и популярность среди абитуриентов растет, поскольку одновременно есть спрос у работодателей. И тут я бы хотел обратить внимание на кооперацию российских компаний и университетов, которые в партнерстве открывают базовые кафедры и получают на выходе из ВУЗа уже готовых к работе выпускников. Это прямой заказ на подготовку выпускников, который позволяет удовлетворить спрос крупных игроков на хороших специалистов. Но таких случаев пока сравнительно немного.
Евгений Белов, заместитель председателя Совета ФУМО ВПО ИБ: Сегодня у нас есть линейка профессиональных стандартов. Семь профстандартов, которые задают основные требования к выпускникам высшей школы (ВПО), заведений среднего специального образования (СПО) и к дополнительному профессиональному образованию (ДПО). Стандарты прошли экспертизу у работодателей, утверждены и введены в действие. Это основа для работы системы образования, основная смычка между образованием и практикой, а также основа для оценки специалистов в области ИБ в ходе их профессионального роста.
Что есть в системе образования? В системе образования в области ИБ существует 10-я группа, которая включает три специальности СПО, бакалавриат и магистратуру высшего образования, семь специальностей высшего образования, аспирантуру и агентуру. Система достаточна по всем образовательным направлениям и закрывает потребности федеральных органов исполнительной власти и всего рынка в целом.
Последние три года образовательные программы по ИБ реализуют около 170 учебных заведений ВПО, порядка 89 СПО (многие из них имеют право, но им не пользуются) и 40 учебных центров. Вот официальные контрольные цифры приема Минобрнауки: в начале 2000 годов мы готовили 2000 специалистов в области ИБ, в 2019 г. - более 7000.
Образовательные стандарты закрывают всю индустрию ИБ, учитывая как государственные, так и коммерческие интересы, в т.ч. ОПК и кредитно-финансовую сферу. Именно по запросам банковского сообщества ФУМО разработало новые образовательные программы. Так по обновленному бакалавриату, где существует 6 профилей, выделен профиль «информационно-аналитические системы финансового мониторинга», который напрямую связан с кредитно-финансовой сферой, но в большей степени ориентирован на финансовый мониторинг. Есть и другие профили, более широкие. Учебные заведения вместе с заказчиком могут взять профиль, например, «Безопасность автоматизированных систем» и добавить слова «в кредитно-финансовой сфере», что дозволяется нормативами. В самом профиле бакалавриата, согласно новым актуализированным стандартам, существуют обязательные профессиональные компетенции, которые прописаны в программе и учитывают специфику направления.
Одновременно с актуализацией образовательного стандарта идет развитие базовых кафедр. Такую работу ведет Банк России в ряде ведущих университетов, возможно, будет создавать там свои кафедры и Сбербанк. Финансовый университет, который имеет тесные связи с кредитно-финансовой сферой, разработал свои компетенции.
По направлению «Компьютерная безопасность» есть специализация по информационно-аналитической, технической экспертизе компьютерных систем. Она опосредованно применяется для подготовки специалистов для кредитно-финансовой сферы. Как и стандарт по специалитету ИБ АС. Вместе с Центробанком и с представителями Сбербанка России мы ввели новую специализацию в этом стандарте: «Безопасность автоматизированных систем в финансово-кредитной сфере». И мы благодарны экспертам Банка России, в первую очередь, Артему Сычеву и его сотрудникам, которые приняли активное участие в подготовке направления.
И в заключение хочу отметить специальность «Информационно-аналитические системы безопасности» с четырьмя специализациями, в т.ч. «Информационная безопасность финансово-экономических структур». Есть специальность «Безопасность информационных технологий в правоохранительной сфере», где направление компьютерной экспертизы и компьютерных инцидентов заинтересует кредитно-финансовую сферу.
Мы считаем, что любые вопросы и проблемы можно решить при сотрудничестве всех заинтересованных сторон. Спасибо.
ПОЗИЦИЯ ФСТЭК
Руслан Вестеровский: В 2016 г. президентом России утверждена «Доктрина информационной безопасности РФ», в 2017 г. - программа «Цифровая экономика РФ». Документы предусматривают создание правовых условий для развития отрасли ИБ. Банк России как мегарегулятор считает необходимым правовое оформление деятельности, обеспечивающей ИБ в кредитно-финансовой сфере. Это принципиально важно, потому что специфика деятельности сегмента, в котором строится ИБ, всегда должна учитываться.
В Центральном банке сейчас разработали проект программы повышения квалификации в области ИБ. Аналогичная типовая программа повышения квалификации разрабатывается для руководителей в сфере ИБ. К 2021 г. мы планируем разработать систему аттестации специалистов и руководителей подразделений по ИБ, прошедших обучение по программам ВПО и переподготовки. Мы хотели бы четко сформулировать, кто и как должен обеспечивать информационную безопасность в финансово-кредитном блоке, и создаем соответствующий аналог сертификации Банка России в области операций. Слово представителю регулятора в этом направлении.
Анатолий Марченко, начальник отдела управления ФСТЭК России:
Федеральная служба по техническому и экспортному контролю (ФСТЭК) является федеральным органом исполнительной власти, который осуществляет госполитику по реализации таких вопросов, как противодействие иностранным техническим разведкам, техническая защита информации и обеспечение безопасной критической информационной инфраструктуры. И в рамках своих ограниченных полномочий в сфере образования мы занимаемся методическим руководством, подготовкой, переподготовкой и повышением квалификации специалистов в области защиты информации. Поэтому ФСТЭК имеет право утверждать квалификационные требования к специалистам по защите информации, разрабатывать и утверждать программы переподготовки и повышения квалификации. В том числе, в области кредитно-финансовой сферы.
Стоит напомнить, что по заказу ФСТЭК России разработаны и утверждены квалификационные требования к специалистам по защите информации, которые вошли в Единый квалификационный справочник должностей руководителей, специалистов и служащих, утвержденный приказом №205 Минздравсоцразвития.
Раздел «Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации» описывает характеристики 5 должностей, 3 руководителей и 7 специалистов по защите информации. Служба принимала большое участие в разработке профессиональных стандартов, о которых уже говорили коллеги. Мы принимали участие в разработке программ ДПО, которые велись при участии соответствующих образовательных организаций. Сегодня в рамках ДПО работают четыре программы переподготовки и восемь программ повышения квалификации. Есть и еще одна программа - программа повышения квалификации по обеспечению безопасности персональных данных, которая утверждена приказом Министерства труда. В настоящее время над своей программой работает Банк России.
Хочу отметить, что у нас не существует типовых программ. Заинтересованное ведомство может взять за основу примерные программы в области ДПО и ВПО для разработки собственной программы повышения квалификации. ФСТЭК России, в соответствии с приказом Министерства образования, имеет право рассматривать программу профессиональной переподготовки, высказывать свое мнение и согласовывать ее в части своей компетенции, а именно: технической защиты информации.
Замечу, что качество образования зависит не только от ФГОСов, но и от профессионального сообщества – преподавателей, которые должны иметь базовое образование в области ИБ, от учебной материально-технической базы, используемой в образовательном процессе, и от самой организации образовательного процесса. То есть качество во многом зависит от того, как это все реализуется в образовательных организациях.
А КАК НА «ЗЕМЛЕ»?
Руслан Вестеровский:
Слово Сергею Ерохину – ректору МТУСИ, одного из ключевых университетов в сфере подготовки специалистов по ИБ.
Сергей Ерохин, ректор Московского технического университета связи и информатики:
Мы являемся отраслевым университетом, находимся в ведении Федерального агентства связи. В подчинение у Агентства четыре университета - в Москве, Санкт-Петербурге, Самаре и Новосибирске. Есть восемь филиалов от Архангельска до Ростова-на-Дону и от Хабаровска до Санкт-Петербурга. Они ведут подготовку по пяти из одиннадцати специальностей по ИБ. В этом году мы выпускаем 200 человек по всем направлениям подготовки по ИБ. Контрольные цифры приема на этот год - более 250 человек.
В университетах мы готовим не только по классической программе по 10-му направлению ИБ, у нас есть профили по информационной безопасности в другом направлении ФГОС – «информатика и вычислительная техника». Это IT-специалисты с «окраской» ИБ. Есть профили по ИБ в инфокоммуникации. И на всех выпускников есть спрос.
Мне было грустно слышать выступление Сергея Пазизина, который с некоторым пессимизмом высказался о выпускниках, предпочитая им людей с опытом. Мы, как университеты, прежде всего, заинтересованы в том, чтобы готовить качественных специалистов, чтобы их не надо было доучивать на производстве. Как это сделать?
Текущее законодательство дает много механизмов, чтобы качество образования выпускников соответствовало ожиданиям работодателя. И если у предприятия есть постоянная потребность в сотрудниках по направлению ИБ, приходите к нам. Есть много способов оценить молодого специалиста. Это преддипломная практика, целевая подготовка, что особенно важно для регионов. Это базовые кафедры и образовательные центры. У нас есть успешный опыт сотрудничества с Лабораторией Касперского и компанией 1С.
Каждый год мы актуализируем образовательные программы, добавляем новые курсы. Например, в этом году у нас появились курсы по распределенному реестру и технологии блокчейна для магистров. Это веяние времени. Самое главное, мы можем готовить в два раза больше специалистов по ИБ, чем готовим сейчас.
Руслан Вестеровский: Спасибо. От себя добавлю, что Банк России тоже начал активно привлекать студентов старших курсов, организуя стажировки и практики. За 2017 г. больше 200 человек прошли через эту студенческую программу. Это очень хороший результат.
ПРОБЛЕМЫ ПРЕПОДАВАНИЯ
Артем Сычев, заместитель начальника ГУБиЗИ ЦБ РФ: Человек физиологически меняется не так быстро, как информационные технологии. Поэтому врачи выходят из мединститутов уже с опытом работы, а в нашей сфере выпускникам этот опыт только предстоит получить. В FinCert Банка России сегодня работают два выпускника, которые прошли стажировки и были интегрированы в структуру нашей организации. Это подтверждение того, что с вузами мы готовы работать и работаем.
Мы также готовы работать и как преподаватели, но тут есть проблемы. Первая: учебные мероприятия требуют гибкого подхода кафедр к загрузке привлеченного преподавателя, так как неизбежен отрыв от основной работы. Вторая и главная: объем документации, которую преподаватель должен заполнить, занимает 80% времени при подготовке к учебному курсу. Этот вопрос необходимо решать, поскольку часто именно эта проблема мешает привлечению в университеты квалифицированных специалистов. А приглашение опытного специалиста-практика - это единственная возможность подготовить студента так, что на конкретном рабочем месте ему останется только войти в курс дела.
КАК РАБОТАТЬ С ТАЛАНТАМИ?
Руслан Вестеровский: Еще одно направление: поиск талантов. Недавно Банк России, Ассоциация Финтех и Образовательный центр «Сириус», который находится под управлением Образовательного Фонда «Талант и успех», подписали соглашение о сотрудничестве. Планируется большой спектр совместных проектов.
Андрей Ермаков, заместитель руководителя Образовательного фонда «Талант и успех», Образовательный центр «Сириус»: Мы работаем с теми самыми талантливыми школьниками, которые через несколько лет станут локомотивами отечественной экономики. У нас порядка 20 тыс. выпускников и ежемесячно их становится больше. 70% из них ориентируются на сферу IT. Не потому, что там большие зарплаты, главное для них - получить от работодателя сложную задачу. Эти ребята заметно отличаются от остальных, управлять ими трудно. Например, у них большая смычка между работой и личной жизнью, они часто асоциальны, но именно они могут совершить технологический прорыв, повернуть ход истории. О чем я говорю? О том, что, если не изменить подход и отношение к талантливым кадрам, их исход из профессии через какое-то время будет массовым.
Многие партнеры, с которыми работает «Сириус», создают департаменты по работе с талантливыми детьми. Эти структуры понимают, как надо работать с талантами, как ставить задачи, что получать в ответ. Это сложная комплексная работа и вести ее нужно со старших классов.
Сегодня скорость изменения технологий и появления новых вызовов такова, что за время между окончанием школы и выходом человека на работу меняется многое. Если за это время мы расслабляем студента, не даем ему интересных задач, не включаем в процесс развития, взаимодействия с отраслью, то любой, даже самый талантливый школьник, перегорает или находит своим талантам другое применение.
На базе «Сириуса» мы запускаем инновационный НТЦ из трех лабораторий: когнитивное исследование в образовании, биотех и IT. Основная цель лабораторий - произвести смычку между работодателями и выпускниками «Сириуса». Один из партнеров по направлению ИБ - Центробанк.
Руслан Вестеровский: Действительно, сейчас перед компаниями стоят вопросы, как работать с разными поколениями: что предлагать, как интегрировать? В Центробанке мы стараемся, чтобы система мотивации была ориентирована на разные возрастные группы с учетом их интересов.
ОБУЧЕНИЕ ВЗРОСЛЫХ
Руслан Вестеровский: И еще одна тема нашей дискуссии - это дополнительное профессиональное образование, - важнейший компонент обучения людей со стажем работы.
Юрий Малинин, ректор Академии информационных систем: Главное достоинство центров, аналогичных нашему, - мы мобильны, потому что жесткие требования Минобразования направлены напрямую в сторону ВУЗов и мало затрагивают нас. За счёт этого мы можем оперативно менять программу. На подготовку программы переподготовки продолжительностью от 360 ч. мы затрачиваем полгода, проходим согласования, и запускаем. Это не касается краткосрочных программ, а в сфере ИБ повышение квалификации начинается от 40 ч. (а не от 16 ч., как для других отраслей). Это было заложено изначально, с учетом мнений регуляторов и экспертного сообщества. На переподготовку специалистов в области ИБ необходимо не менее 360 ч. Опыт показал, что программы профессиональной переподготовки в ИБ занимают в среднем 500 ч. и выше. И эти программы востребованы среди работодателей и слушателей.
Сегодня много говорили о создании более тесной связки производства с работодателями, с ВУЗами. Эта связка есть, она развивается, движется, создаются учебные лаборатории совместно с работодателями, учебные лаборатории совместно с ВУЗами. Именно у университетов есть фундаментальная материальная база за счёт государственного и целевого финансирования, хотя этого бывает и недостаточно. Есть академии Cisco, Huawei, учебные центры крупных компаний – это все результат взаимодействия. Есть ещё формы сетевого взаимодействия, которые появились относительно недавно, но активно используются. Идея заключается в создании сильной лаборатории на базе одного крупного и успешного ВУЗа в регионе, и использования этой дорогостоящей лаборатории другими ВУЗами и учебными центрами.
Многим интересен портрет того, кто приходит на переподготовку по направлению ИБ. Мы провели анализ и получили слушателя 32 лет, мужчину (89%) с высшим образованием (93%). Люди повышают квалификацию и проходят переподготовку, имея базовое образование, хотят карьерного роста и понимают всю необходимость переподготовки.
И о развитии онлайн-образования, спрос на которое будет повышаться, в ближайшие три года ожидается прирост до 10% в год. Минобразования, регуляторы отметили активность в продвижении дистанционного онлайн-образования, и тут необходим федеральный закон об электронном обучении. Я думаю, когда закон примут, продвижение этой формы обучения станет еще более активным.
УЧЕНАЯ СТЕПЕНЬ
Евгений Белов: Мы забыли еще один аспект - вопрос научной специальности и наличия ученой степени в этой области. Сегодня базовое образование по группе ИБ или ученую степень по научной специальности, связанной с вопросами защиты информации, имеют не более 30% специалистов. И в ближайшей перспективе вопрос научной степени встанет остро. Поэтому требования по переподготовке надо вводить в профстандарты, как в области защиты информации, так и в смежных отраслях.
В завершении сессии Руслан Вестеровский поблагодарил коллег и подчеркнул, что состоявшийся разговор имеет исключительно важное значение для развития кадрового потенциала отрасли ИБ в целом и ИБ кредитно-финансовой сферы в частности.