Допуск к КИИ
Федеральная служба по техническому и экспортному контролю (ФСТЭК) готовит изменения в нормативную базу, которые позволят привлекать специалистов по информационной безопасности (ИБ) со средним специальным образованием к обслуживанию критической информационной инфраструктуры (КИИ). Об этой инициативе рассказал заместитель директора департамента кибербезопасноти Минцифры Евгений Хасин.
Начальник первого управления ФСТЭК Николай Мартинец подтвердил данную информацию, уточнив, что речь идет о корректировки приказа службы №235 от 2017 г. «Об утверждении требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования». Сейчас данный приказ требует для специалистов по ИБ, обслуживающих КИИ, наличие высшего профессионального образования.
В соответствие с принятым в 2017 г. законом, к объектам КИИ относятся предприятия транспорта, связи, энергетики, науки, здравоохранения, банковской сферы, топливно-энергетического комплекса, атомной энергетики, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Фото: © HayDmitriy / Фотобанк Фотодженика Власти упростят жизнь специалистам по ИБ без высшего образования
Хасин добавил, что отрасль ждет от регулятора послабления еще в одном вопросе. Желательно, чтобы специалисты по ИБ со среднем специальным образованием могли работать в госорганизациях. Сейчас специалисты по ИБ, не имеющие высшего образования, не допускаются к обслуживанию серьезных информационных систем в госорганизациях.
ФСТЭК и подготовка кадров для ИБ
ФСТЭК стала регулятором образовательного направления по подготовке ИБ-специалистов в 2017 г. В том числе подведомственный службе Государственный научно-исследовательский институт проблем технической защиты информации проводит мониторинг потребностей госорганизаций и предприятий оборонно-промышленного комплекса в специалистах по ИБ. На основе этой информации ФСТЭК формирует цифры приема специалистов по ИБ в учебные заведения, которые затем утверждаются Министерством образования.
Заместитель директора департамента государственной политики в сфере среднего профессионального образования и профессионального обучения Минпросвещения Марина Софронова сообщила, что сейчас в колледжах по направлениям, связанным с ИБ, проходит обучение 25 тыс. человек.
В 2022 г. по двум профильным направления — информационная безопасность автоматизированных систем и информационная безопасность телекоммуникационных систем — в колледжи было принято 9 тыс человек, что превзошло прием в 2021 г. Сафонова считает, что объемы приема специалистов по ИБ увеличивать не нужно. Но при этом в образовательные программы стоит добавить новые модули по ИБ.
Проблемы с профстандартами и ФГОС в ИБ
В последнее время все чаще звучит критика в адрес действующих в России профессиональных стандартов и федерального государственного образовательного стандарта (ФГОС) в области ИБ. Профстандарты разрабатываются Ассоциацией предприятий компьютерных и информационных технологий (АПКИТ), где за направление ИТ отвечает Евгений Белов. Он же является заместителем председателя Федерального учебно-методического объединения в сфере высшего образования по ИБ.
безопасность
Из АПКИТ профстандарты уходят в Национальной агентство развития компетенций, после чего их утверждает Минтруд. Как отмечает директор центра кадровой экспертизы компании Positive Technologies Марина Сигаева, профстандарты в области ИБ создавались в 2016-2017 гг. и уже не отвечают современным вызовам информбезопасности. Кроме того, данные профстандарты предполагают, что ИБ-специалист должен обладать всеми возможными компетенциями в этой области, чего на практике достичь невозможно.
Если в организации работает большое число специалистов по ИБ, она может разделить между ними обязанности по разным направлениям, отмечает Сигаева. Но обычно в госорганизациях из-за ограниченного бюджета небольшое число специалистов по ИБ, в результате чего имеющиеся профстандарты не могут помочь обеспечить должный уровень защиты организаций.
Советник гендиректора Positive Technologies Артем Сычев добавляет, что в профстандратх в сфере ИБ отсутствуют направления, по которым ФСТЭК ведет лицензирование деятельности. Среди них — реагирование на инциденты и анализ уязвимостей.
Для решения указанных проблем Positive Technologies подготовила карту компетенций в сфере информационной безопасности. Как говорит Сигаева, данный документ поможет сравнить, что происходит в мире с точки зрения подготовки специалистов по ИБ, и что происходит в этой области в России. Благодаря карте можно будет понять, как направления в сфере ИБ не покрыты действующими профстандартами и ФГОС.