Журнал "Information Security/ Информационная безопасность" #2, 2022

Компании в целом низко оценивают уровень зрело- сти обеспечения своей информационной безопас- ности Обеспечение качества образования по ИБ является частным случаем обеспече- ния инженерного образова- ния в целом в Российской Федерации, вместе с тем оно имеет свою специфику. В выводах отчета отмечается, что: l менее 18,2% отечественных производителей вторичного оборудования используют оте- чественную электронную ком- понентную базу, программное обеспечение российского про- изводства используют почти 60% опрошенных; l более 50% опрошенных ком- паний обеспечивают соответ- ствие своей продукции требо- ваниям ИБ независимо от нали- чия требований заказчиков про- дукции, вместе с тем менее чет- верти опрошенных готовы инве- стировать ресурсы в стандар- тизацию ИБ своей продукции. Таким образом, в настоящий момент опрошенные произво- дители видят две основные про- блемы импортозамещения: l достаточно трудно обеспечить полную цепочку производствен- ного цикла производимых изде- лий за счет исключительно рос- сийской электронной компо- нентной базы; l производители российского электронного оборудования уделяют мало внимания реше- нию проблем информационной безопасности, что в условиях как реальных угроз, так и тре- бований нормативной базы сни- жает привлекательность его использования. Отдельно в исследовании отмечено, что компании в целом низко оценивают уровень зре- лости обеспечения своей информационной безопасности: только 14% опрошенных нахо- дятся на высоком уровне зре- лости, что свидетельствует о необходимости более активно заниматься безопасностью цепи поставок. Возможно, это связано с обширностью трактовок и осо- бенностью применения норма- тивной базы. Проблематика понятности нормативной базы также была рассмотрена груп- пой в 2021 г. Согласно отчету "О норма- тивной правовой и методиче- ской базе Российской Федера- ции в областях информацион- ной безопасности и информа- ционных технологий" наиболее популярными направлениями развития нормативной право- вой и методической базы по ИТ и ИБ респонденты видят следующие. 1. Устранение неоднозначно- сти и противоречий. Исключе- ние возможности широкой и вольной трактовки, 55%. 2. Обеспечение одновремен- ного выпуска с нормативными правовыми актами их подза- конных актов, методических документов и средств для реа- лизации их положений, 20%; 3. Использование практики предварительной апробации нормативных правовых и мето- дических документов перед их утверждением, 10%. Эти тренды были поддержаны всеми группами респондентов, при этом 69% представителей интеграторов ИБ- и ИТ-услуг отдают безусловное первенство устранению неоднозначности документов. Вариант ответа "Исключение из практики выпуска документов в области ИТ и ИБ с ограничительными пометками" не выбрал ни один респондент. Проблемы воспитания кадров Завершающим для деятель- ности подгруппы в 2021 г. стало исследование по образованию в области ИБ, презентация результатов которого состоя- лась на ТБ Форуме в феврале 2022 г. Хотелось бы предста- вить неформальное изложение результатов исследования в том виде, как его видят сами авторы. С одной стороны, обеспече- ние качества образования по ИБ является частным случаем обеспечения инженерного обра- зования в целом в Российской Федерации, вместе с тем оно имеет свою специфику. Обычная схема подготовки специалистов может быть пред- ставлена классической картин- кой (см. рис. 1). В качестве лебедя можно рас- сматривать вуз, который обязан ориентироваться на норматив- ную базу Минобрнауки России, регламентирующую развитие у студентов достаточно широкого круга знаний и умений, в том числе носящих общегуманитар- ный характер. Вузы, образно выражаясь, тянут вверх, именно поэтому на рисунке их изобра- жает лебедь. При этом руково- дящими документами для вузов, помимо прочего, являются федеральные государственные образовательные стандарты (ФГОСы), которые определяют, чему и как нужно учить студен- тов. Так, например, существует приказ Минобрнауки России от 26.11.2020 г. № 1457 "Об утвер- ждении федерального госу- дарственного образовательного стандарта высшего образова- ния – специалитет по специ- альности 10.05.03 Информа- ционная безопасность автома- тизированных систем" (зареги- стрировано в Минюсте России 17.02.2021 г. № 62532). Работодатель – это щука или, в общем случае, рыба. С одной стороны, он вроде бы должен руководствоваться профессио- нальными стандартами. Причем профессиональные и образо- вательные стандарты – это не одно и то же, хотя образова- тельные стандарты ориентиро- ваны на профессиональные. Как показывает практика, рабо- тодатель "ищет, где глубже": на первый план выходят потреб- ности бизнеса, а формирование набора профессиональных тре- бований к конкретному специа- листу идет по остаточному прин- ципу. Более того, в конечном итоге именно потребности биз- неса и определяют облик спе- циалиста. Как следствие, суще- ствует несовпадение в запросе на компетенции конкретного специалиста, работающего у конкретного работодателя, и обобщающим эти компетенции профессиональным стандартом. Студент или абитуриент – это рак. Как правило, он еще не знает, чего хочет, какие компе- тенции ему надо развивать, но может точно сказать, от чего он бежит. Поэтому студент, осо- бенно на первых курсах, пробу- ет какую-нибудь деятельность и пятится, убегая от нее, если она не понравилась. • 29 ИмпортозамещенИе www.itsec.ru Рис. 1. Лебедь, рак и щука