Журнал "Information Security/ Информационная безопасность" #2, 2022

Это говорит о том, что в целом мы пока проигрываем иностран- ным ИБ-вендорам как в части идей, так и в части реализации решений. Это опять приводит к определенному противоречию: российские регуляторы форми- руют собственные подходы, но рядовые предприятия предпочи- тают ориентироваться на зару- бежные решения. Следствием является запрос на доведение до студентов материалов из зарубежных источников инфор- мации по ИБ. Возвращаясь к исходному посылу, отмечаем, что значи- тельная доля опрошенных не удовлетворена качеством выпускников. Повышение каче- ства возможно фактически несколькими путями: l через более точные и акту- альные профессиональные и образовательные стандарты; l через участие сотрудников предприятий в образовательном процессе в качестве препода- вателей; l через оснащение вузов свои- ми разработками. Лучше всего предприятия реагируют на возможность про- ведения практики для студен- тов: такая форма получила под- держку около половины опро- шенных. Заключение В качестве итога данного краткого обзора можно отме- тить следующее. Основная неудовлетворенность каче- ством образования формиру- ется со стороны работодателей. Вместе с тем только незначи- тельная доля компаний, рабо- тающих в сфере ИБ, участвует в формировании обратной связи. Представляется, что более активное участие ком- паний в образовательной дея- тельности в сфере ИБ (в раз- личных формах) позволит в целом вывести качество обра- зования на новый уровень. Проведение опросов и иссле- дований позволяет подгруппе по кибербезопасности НТИ "Энерджинет" выявлять акту- альные проблемы в области информационной безопасности и стимулировать их обсуждение в профессиональной среде. Наличие в подгруппе предста- вителей различных профессий отрасли позволяет формиро- вать позицию, не связанную с деятельностью конкретных организаций, а также выраба- тывать актуальные предложе- ния, представляющие интерес для широкого круга возможных потребителей. Исследования подгруппы сви- детельствуют о том, что для достижения наиболее высоких результатов в части обеспече- ния информационной безопас- ности в Российской Федерации требуется сфокусировать уси- лия на работах, связанных с гармонизацией нормативной правовой и методической базы, усилении платформ и инстру- ментов для подготовки молодых и развития существующих спе- циалистов, а также поощрении и развитии экспертного сообще- ства. l • 31 ИмпортозамещенИе www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Проблемы импортозамещения и кадров давно являются актуаль- ными в сфере информационной безопасности. Особую актуальность вопрос импортозамещения приобрел в связи с изданием Указа Президента РФ от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и без- опасности критической информационной инфраструктуры Российской Федерации", согласно которому с 1 января 2025 г. подавляющему большинству субъектов КИИ запрещается использование иностран- ного программного обеспечения на значимых объектах. Пока что запреты касаются программного обеспечения ввиду того, что ситуа- цию с отечественными аналогами в этой части можно охарактери- зовать как более-менее нормальную. Но следующим шагом с боль- шой вероятностью будет запрет на применение зарубежной элек- тронной компонентной базы. При этом отечественная электронная компонентная база на текущий день практически отсутствует. Довольно старая, но так и не решенная проблема подготовки ква- лифицированных и готовых к полноценному выполнению функцио- нальных задач кадров. Информационную безопасность часто при- равнивают к инженерным специальностям, однако практическая деятельность специалистов по информационной безопасности очень тесно связана и с гуманитарными дисциплинами, в частности с юриспруденцией. Если посмотреть размещаемые работодателями вакансии, практически везде в требо- ваниях фигурирует знание 152-ФЗ или 187-ФЗ. Но одного знания – мол, прочитал и запомнил – мало, важно также понимание принципов правоприменения. В частности, важно понимать (хотя бы базово) специфику и отличие частного от публичного права, материального от процессуального. Так, например, специалисты по ИБ часто восприни- мают процедуру аттестации как некое требование по обеспечению информационной безопасности. Но аттестация – это не требование по защите информации, а процедура (процесс) подтверждения выполнения требований, обязанностей, установленных мате- риальным правом. Естественно, что таким моментам практически не уделяют внимания в учебных заведениях (исключение могут составлять отдельные преподаватели-практики) и студенты зачастую воспринимают гуманитарные дисциплины как нечто второстепенное, неинтересное. К слову, данную проблему отмечает и регулятор. Так, на одном из координационных советов, посвященных подготовке специалистов, в котором принимал участие автор, руко- водством одного из территориальных органов ФСТЭК России было обозначено, что наблю- дается неверное толкование и/или непонимание требований, изложенных в документах регуляторов, что требует дополнительных усилий образовательных учреждений в части юридической подготовки специалистов. Безусловно, присутствует и отраслевая специфика: АСУ ТП в энергетике сильно отли- чаются от АСУ ТП, например, в металлургии. Еще больше различий можно найти с банков- ской сферой (где, если говорить о бизнес-процессах, АСУ ТП вообще нет). Однако если мы говорим про подготовку специалиста, то основной акцент должен быть сделан на привитии базовых, характерных для всех отраслей экономики навыков. Дело в том, что реалии современного рынка труда таковы, что специалисты меняют специализацию (часто совместно с местом работы) в среднем раз в 3–5 лет. При этом и отраслевую специфику также можно учесть в процессе обучения, ее следует прорабатывать на этапе подготовки выпускной квалификационной работы, когда у студента уже есть понимание относительно своего будущего работодателя. На этом же этапе проще привлечь к данной работе практиков, например, в рамках производственной практики или как участников государственной экзаменационной комиссии. Ведь преподавать по совме- стительству в вузе или ссузе, а по сути иметь общественно полезную нагрузку, окупающую лишь затраты на ее осуществление, готов не каждый профессионал. Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности Комментарий эксперта