Журнал "Information Security/ Информационная безопасность" #6, 2025

сопоставимая с той, что формирует белых аудиторов? И если да, на что она нацелена? Формально в стране дей- ствуют Федеральные государственные образовательные стандарты высшего образования по направлениям инфор- мационной безопасности. Они доста- точно успешно готовят специалистов ИБ широкого профиля, однако далеко не полностью охватывают узкие и практи- ко-ориентированные области 1 . Одна из таких зон – тестирование на проникно- вение. А именно представителей этого узкого и во многом обособленного сообщества и принято называть белыми хакерами. В общественном сознании прочно уко- ренился образ хакера как высокоинтел- лектуального самоучки, своего рода самородка, который благодаря личному опыту и упорству достиг мастерства в поиске уязвимостей. И в этом образе есть доля правды. Сегодня по сути не существует целостной, долгосрочной системы подготовки и воспитания спе- циалистов по тестированию на проник- новение, несмотря на устойчивый и растущий спрос на них со стороны рынка. Оставленные без понятных ориентиров, такие самородки нередко оказываются перед выбором, и отсутствие выстроен- ной образовательной траектории вполне может подтолкнуть их к темной стороне – просто потому, что белая сторона институционально не оформлена. Этот пробел давно заметили в Ассо- циации руководителей служб информа- ционной безопасности. Под эгидой АРСИБ был создан школьный учебник для 10–11 классов "Безопасность в информационном пространстве", а также развернута система многоуров- невых и масштабных игр CTF 2 для школьников и студентов, направленных на практическое выявление уязвимо- стей. В ходе таких соревнований про- являются талантливые ребята, которых участники АРСИБ поддерживают в про- фессиональном развитии и помогают с трудоустройством в крупные компании и государственные структуры. Эти же компании обеспечивают финансовую устойчивость игр, одновременно при- сматриваясь к участникам как к потен- циальным сотрудникам. Что поправить в консерватории? Почему за действительно сильными специалистами идут на игры CTF, а не в вузы, притом еще и на платной основе? Ответ на этот вопрос, по сути, уже был сформулирован. Во время Международ- ной конференции "Путешествие в мир искусственного интеллекта" Президент Российской Федерации Владимир Путин отметил, что важно учить детей само- стоятельно мыслить, а не просто нажи- мать кнопки 3 . Эта мысль точно описы- вает разрыв между формальной подго- товкой и реальными требованиями про- фессии. Именно самостоятельность мышления является ключевой компетенцией для специалистов по тестированию на про- никновение. И именно ее целенаправ- ленно формируют игры CTF, где нельзя действовать по шаблону, а приходится искать нестандартные решения, экспе- риментировать, ошибаться и делать выводы. Следовательно, отдельный, спе- циализированный ФГОС ВО для таких специалистов должен быть изначально ориентирован не на воспроизведение знаний, а на развитие самостоятельного мышления. В логике сквозного образо- вания аналогичные положения целесо- образно закрепить и в ФГОС ООО, закладывая основы информационной безопасности еще на школьном уровне. Сегодня при формировании перечня компетенций выпускников вузы вынуж- дены опираться не только на ФГОС ВО, но и на реестр профессиональных стан- дартов Минтруда России. Однако суще- ствующие коды профессий в целом относятся к деятельности в сфере ИБ и слабо описывают специфику специали- стов по тестированию на проникновение. В результате университетам попросту не на что опереться при проектировании образовательных программ. Логичный выход из этой ситуации оче- виден: сначала необходимо нормативно создать профессию "специалист ИБ по проведению тестов на проникновение", включить ее в реестр профессиональных стандартов Минтруда России и лишь после этого разрабатывать профильный ФГОС ВО. Только так вузы смогут четко понимать, кого и чему они учат. Пока же вместо системной работы по оформле- нию профессии в публичном поле актив- но обсуждается ужесточение уголовной ответственности для представителей этой, по сути, еще не оформленной и нормативно не существующей специ- альности. Выводы Подводя итог, можно сформулировать несколько принципиальных выводов. 1. Стоит отказаться от звучных, но размытых обозначений. Термин "белый хакер" больше апеллирует к мифологии, чем к сути деятельности. Гораздо точнее говорить о "специалисте ИБ по прове- дению тестов на проникновение" – в этом названии меньше пафоса и больше про- фессионального смысла, четко описы- вающего содержание работы. 2. Деятельность такого специалиста должна быть нормативно описана через профессиональный стандарт и внесена в реестр Минтруда России. Это позволит уйти от догадок и субъ- ективных трактовок и оперировать документально закрепленным переч- нем функций и целей, ради которых ведется эта работа. 3. Появление профессионального стан- дарта сделает возможной разработку профильного ФГОС ВО для подготовки специалистов по тестированию на про- никновение, а также корректировку ФГОС ООО с включением базовых поло- жений по информационной безопасно- сти. Прикладной характер профессии требует соответствующей педагогики: меньше лекций и пересказов, больше самостоятельного поиска знаний и прак- тической работы. Специалист по тести- рованию на проникновение по опреде- лению должен уметь находить нужную информацию и осваивать ее самостоя- тельно, а практические занятия стано- вятся одновременно и обучением, и про- веркой усвоенных навыков. Логично также заложить во ФГОС ВО игровые формы обучения: сама профессия строится на противоборстве, поиске уязвимостей и их устранении. Изобре- тать новые форматы нет необходимости – игры CTF уже доказали свою эффек- тивность. Важно встроить подготовку к ним в образовательные программы вузов, вплоть до проведения внутриву- зовских CTF и учета их результатов в итоговой оценке обучающихся. 4. Вопрос ответственности должен решаться после, а не до нормативного оформления профессии. При наличии профессионального стандарта все, кто действует в его рамках, должны рас- сматриваться как законопослушные спе- циалисты. Те же, кто выходит за пределы стандарта или нарушает требования законодательства, автоматически пере- ходят в категорию злоумышленников и подлежат ответственности. Таким образом, проблема заключает- ся не в недостатке уголовно-правовых норм для наказания нарушителей, а в отсутствии четкого определения самой профессии. Пока не зафиксиро- ваны ее границы, функции и цели, неизбежно возникает неопределенность – в том числе и в отношении того, кого именно предлагается наказывать. Имен- но поэтому дискуссия об ужесточении ответственности тянется годами. Ответ на вопрос, кто такой хакер и какими знаниями и навыками он дол- жен обладать, логично и правильно давать не в Уголовном кодексе, а в образовательных и профессиональных стандартах. Пора снять с этого слова пелену тумана и, наконец, сделать вос- требованную профессию легальной и понятной. l • 69 БЕЛЫЙ ХАКЕР www.itsec.ru 1 Например, ФГОС ВО "Бакалавриат по направлению подготовки 10.03.01 – Информационная безопасность". 2 https://ctfcup.ru/ 3 https://ria.ru/20251119/putin-2056120738.html Ваше мнение и вопросы присылайте по адресу is@groteck.ru