Проблематика подготовки специалистов в сфере информационной безопасности

Автор: Михаил Савельев, директор Учебного центра «Информзащита»

В начале давайте попробуем понять, о ком конкретно идет речь и кого мы подразумеваем под всеобъемлющим термином «специалист в сфере информационной безопасности».

Разговор мы начнем с «идеального» подразделения по обеспечению информационной безопасности, которое, по идее, должно выглядеть так:

  • руководитель подразделения, непосредственно отвечающий за состояние безопасности ИТ и организацию работ по созданию систем защиты;
  • аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния безопасности ИТ, определение требований к защищенности различных подсистем и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
  • аудиторы, контролирующие текущее состояние системы защиты на предмет соответствия ее заявленным целям
  • администраторы средств защиты, контроля защищенности и управления безопасностью, отвечающих за сопровождение и администрирование штатных и дополнительных средств защиты информации и средств анализа защищенности;
  • специалисты по работе с конечными пользователями и обслуживающим персоналом организации, отвечающие за реализацию и контроль исполнения регламентов безопасной обработки информации.

Однако, опросы слушателей нашего учебного центра показывают, что в подавляющем числе организаций все эти роли исполняются коллективом от одного до трех человек. Даже с учетом того, что администрирование средств защиты можно передать в IT-подразделение, а работу с конечными пользователями отдать на аутсорсинг или передать назначенным сотрудникам из соседних отделов, трех человека все равно недостаточно. Их недостаточно хотя бы потому, что им приходится быть сведущими во всех отраслях ИБ, в том числе в:

  • Управлении информационной безопасностью
  • Сетевой безопасности
  • Безопасности операционных систем и приложений
  • Области PKI и электронная подписи
  • Обеспечении антивирусной защиты
  • Защите информации от утечек по техническим каналам
  • Обеспечении соответствия отраслевым, государственным и международным стандартам
  • Анализе и расследовании инцидентов и пр.

И если общие понятия о целях и задачах процесса обеспечения информационной безопасности должны быть понятны любому специалисту в области ИБ, то погружение в конкретное направление требует высокой степени вовлеченности, не допускающей дилетантизма.

Никакие разговоры о том, что большинство задач могут быть решены при помощи внешних аутсорсеров, не заменят необходимости в организации-заказчике персонала для анализа конкретной ситуации, постановки этим аутсорсерам задач, контроля за их исполнением, дальнейшим сопровождением внедренных решений.

Кроме того, помимо сугубо профессиональных знаний, от современного специалиста требуется быть немного

  • юристом, чтобы уметь читать и анализировать огромное количество нормативных документов в области безопасности,
  • финансистом, чтобы с одной стороны – как минимум уметь бюджетировать, а как максимум - постараться на цифрах доказать руководству экономический эффект от внедрения систем безопасности
  • маркетологом – чтобы уметь «продать» свои решения руководству и окружающим,
  • бизнес-аналитиком, психологом, IT-шником, программистом и еще многое кем.

Многое из таких вот «околобезопасных» компетенций, к сожалению, безопаснику приходится осваивать самостоятельно, на своем опыте. Обучаться же основным вопросам сейчас возможно: на рынке есть достаточное количество учебных центров и образовательных программ. Огромный плюс дополнительного образования – быстрое и глубокое погружение в рассматриваемую тему, получение выжимки уже накопленного опыта и т.п. Казалось бы, бери и учись… но и тут есть свои особенности.

Существенными ограничением на образовательном пути являются время и деньги. К сожалению, большая часть образовательных организаций находится в Москве, что существенно удорожает затраты на обучение. Казалось бы, тут на помощь могут прийти технологии дистанционного обучения, однако учиться не в классе сложнее - гораздо больше отвлекающих факторов. Когда сотрудник едет учиться – об этом все знают, его руководство и коллеги планируют свою деятельность, не рассчитывая на уехавшего, ему реже звонят по «неотложным» делам. Обучение в офисе – это постоянный соблазн отвлечься и почитать почту, ответить на звонок, доделать поручение руководителя, слушая преподавателя в пол-уха. Как результат – материал усваивается процентов на 20 хуже.

Опять же из-за ограниченности денег и времени, посетить все, что хочется не удается. И каждый раз приходится делать сложный выбор между тем, чему поучиться: например, узнать что-то на перспективу или научиться администрировать конкретное средство защиты, внедряемое вот-вот сейчас. Предпочтение чаще отдается насущным задачам, поэтому владение тонкими материями типа анализа рисков опять и опять приходится учиться самому.

С одной стороны, в Интернете и в материалах всевозможных отраслевых конференций, в статьях и блогах признанных и непризнанных экспертов рынка можно найти много информации на любой вопрос. Вот только тот, кто ищет и разбирается в незнакомой для себя предметной области, порой может не разглядеть, что тот или иной материал может преподносится ангажированно, некоторые вопросы могут выпячиваться в маркетинговых целях и т.п.

Есть и еще одна немаловажная проблема: некоторые просто боятся учиться. Объяснение чаще всего находится такое: а вдруг работодатель, когда я приду просить денег на обучение, решит, что я некомпетентен, раз нуждаюсь в дополнительных знаниях. Доходит порой и до смешного: присутствующие на всех мероприятиях по безопасности люди жалуются на отсутствие времени для посещения курса.

Порой препятствием на образовательном пути становится уже упомянутое руководство. Оно с одной стороны опасается, что повысив свою компетенцию, специалист просто найдет себе более высокооплачиваемую работу, а с другой - экономит бюджет, рассуждая, что раз мы более-менее справляемся с задачами, то и менять (в т.ч. учиться) ничего не надо. Говорить о том, что сотрудников надо мотивировать – можно, но и руководство можно понять. Страхи то обоснованы: примеров увольнения после учебы предостаточно.

В итоге, главные типовые проблемы подготовки специалистов в области обеспечения информационной можно сформулировать так:

  • Несоответствие численности подразделений ИБ объему решаемых задач
  • Жизненная необходимость быть специалистом широчайшего профиля с детальным знаниям
  • Нехватка денег и времени на обучение
  • Боязнь учиться и обучать

Наверняка на эти или аналогичные проблемы могут пожаловаться специалисты любой области, но сегодня разговор про информационных безопасников. С одной стороны, эти проблемы стары как мир, но можно и нужно надеяться, что от их регулярного обсуждения мы хоть что-то сдвинем с «мертвой точки» и подтолкнем специалистов к мыслям о том, что необходимо стремиться постоянно повышать свой профессиональный уровень, сметая намеченные в статье препятствия.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.