Ведущие учебные центры страны информируют о проблемах, возникших на рынке переподготовки и дополнительного образования специалистов в области информационной безопасности в связи с выходом ряда новых нормативных документов.
Российский рынок образовательных услуг в области ИБ сегодня
Сообщество российских экспертов по информационной безопасности выпустило комплексное исследование рынка ИБ в России, в котором представлены также и результаты анализа сегмента образовательных услуг в области ИБ (автор исследований — проректор АИС Игорь Хайров).
Согласно результатам исследований г-на Хайрова, объем рынка дополнительно ИБ-образования в 2012 г. превысил 700 млн. руб.
Основную часть прошлогоднего оборота составили курсы и тренинги по продуктам средств защиты информации различных вендоров. Главным трендом 2012 г. стало обучение обеспечению ИБ с использованием шифровальных средств на курсах повышения квалификации (100 ч.) и курсах профессиональной переподготовки (свыше 500 ч.), что обусловлено прежде всего выходом в свет постановления Правительства РФ № 313 от 16.04.2012.
В 2012 г. образовательный сегмент поделили между собой учебные центры, вендоры и интеграторы следующим образом — 60%, 25% и 15% от общего объема предоставляемых услуг по ИБ-образованию соответственно. Среди учебных центров г-н Хайров выделяет тройку лидеров: УЦ “Информзащита”, АИС и “Институт АйТи”, совокупный оборот денежных средств которых составил более 50% общего оборота всех УЦ.
В текущем году, по прогнозу, объем рынка не увеличится, однако приоритеты в этом направлении сменятся. Из основных трендов нынешнего года г-н Хайров выделяет защиту мобильных систем, платформ и приложений; обеспечение безопасности при переводе денежных средств в рамках НПС; обеспечение безопасности облачных вычислений и приложений;, расследование инцидентов и случаев мошенничества в глобальных сетях; обеспечение экономической безопасности и защита коммерческой тайны; безопасность АСУ ТП; комплексные программы повышения квалификации и профессиональной переподготовки компаний и подразделений по защите информации по МВА в области ИБ (в том числе всплеск интереса российских специалистов к междуународным сертификациям, таким как CISSP, CISM, CGATE и CRISC).
Постановление Правительства РФ № 313 от 16 апреля 2012 г. “Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)” сильно изменило требования к персоналу, которым должны удовлетворять лицензиаты ФСБ России.
Проректор “Академии информационных систем” (АИС) Игорь Хайров обращает внимание на то, что отныне ФСБ требует наличия в штате у лицензиата руководителя, имеющего высшее профессиональное образование по направлению подготовки “Информационная безопасность” в соответствии с общероссийским классификатором специальностей или прошедшего переподготовку по одной из специальностей этого направления с нормативным сроком переподготовки, в зависимости от вида деятельности, свыше 100, 500 и 1000 аудиторных часов. В целом же в штате компании должно быть не менее двух специалистов с требуемой подготовкой в области ИБ. Вырвать дефицитного специалиста из рабочего процесса компании на такое время не просто. Как более подходящий вариант в этой ситуации АИС рекомендует использовать дистанционную форму обучения.
Г-н Хайров также подчеркивает, что ФСБ, в отличие от требований ФСТЭК, требует теперь наличия у ИБ-специалистов документов обязательно государственного образца, что подразумевает государственную аккредитацию учебного заведения, готовившего ИБ-специалиста и выдавшего ему документы (диплом, аттестат, свидетельство) об образовании, переподготовке, повышении квалификации по направлению “Информационная безопасность”.
В то же время, как напоминает директор УЦ “Информзащита” Михаил Савельев, новый закон № 3266-1-ФЗ “Об образовании”, вышедший в декабре 2012г., своей статьей 108 прекращает с 1 сентября 2013 г. действие всех ранее выданных учебным организациям свидетельств о государственной аккредитации, а общероссийский классификатор специальностей по направлению “Информационная безопасность”, на который ссылается постановление № 313, утвержден лишь в 2010 г., и между действующим ранее классификатором специальностей и новым нет никакой преемственности. В результате за прошедшие со дня издания классификатора три года подготовить специалистов по новым требованиям удалось совсем немного. Таким образом, получается, что из ныне действующих ИБ-специалистов требованиям постановления № 313 мало кто соответствует.
В ситуации противоречий между нормативными требованиями и реально возможными механизмами их выполнения, согласно наблюдениям г-на Савельева, у ФСБ в практике контроля своих лицензиатов в настоящее время нет единого подхода. Кто-то в региональных отделениях федеральной службы, по его словам, относится к проверкам формально, требуя выполнения постановления № 313, кто-то старается учитывать реальный опыт как самих компаний-лицензиатов, так и работающих в них специалистов. Однако ни тот, ни другой подход к выдаче и продлению лицензий не обещает соискателям лицензий уверенности в завтрашнем дне. Как выразился г-н Савельев, налицо законодательный вакуум вокруг дипломов и свидетельств ИБ-специалистов.
Регуляторы области образования предполагают, что проблемы с подготовкой ИБ-специалистов по новым требованиям будут решаться саморегулированием образовательного рынка. При этом Минобрнауки, как один из регуляторов, намерено минимизировать свою роль до выдачи лицензий образовательным организациям, в том числе и УЦ, переложив на саморегулируемые организации (СРО) образовательного рынка налаживание (взамен государственной аккредитации) процесса общественной аккредитации, подтверждающей все прежние статусы образовательных организаций. Однако при этом, как подчеркивает г-н Савельев, вопрос формального признания института общественной аккредитации со стороны госрегуляторов остается открытым.
Как пояснил г-н Савельев, новый закон № 3266-1-ФЗ, снимая часть вопросов обучения по направлению ИБ, ставит новые. Так, в нем указано, что порядок разработки образовательных программ в области ИБ и государственной тайны должен быть установлен Минобрнауки и согласован со ФСТЭК и ФСБ (однако эти госструктуры пока не наладили взаимодействия в этом направлении).
Минобрнауки издало два приказа, касающихся порядка разработки таких программ. Эти программы должны учитывать государственные образовательные стандарты, а также отраслевые квалификационные требования и профессиональные стандарты. Но если государственные образовательные стандарты есть, то отраслевых квалификационных требований и профессиональных стандартов пока не существует. В начале 2013 г. появилась новая редакция Трудового кодекса РФ со ссылками на такие стандарты, а Минтруда только недавно утвердило график разработки 800 профессиональных стандартов со сроком окончания работ в 2015 г.
В результате, как подчеркивает г-н Савельев, сегодня нет документов для разработки образовательных программ под новые требования законов, а начиная с 1 сентября текущего года некому будет готовить ИБ-специалистов, соответствующих этим требованиям, из-за отсутствия аккредитации у образовательных организаций.
Руководство УЦ “Информзащита”, по словам г на Савельева, в настоящее время направляет усилия на то, чтобы убедить ФСТЭК и ФСБ в том, что последствия образовавшегося правового вакуума в области оценки соответствия уровня подготовки ИБ-специалистов новым нормативным требованиям можно минимизировать, если эти структуры возьмут на себя задачу аккредитации УЦ страны. В УЦ “Информзащита” полагают, что именно ФСТЭК и ФСБ должны принимать решение о том, какие УЦ могут вести подготовку ИБ-специалистов, и закрепить за выдаваемыми ими документами соответствие новым требованиям, что именно они должны ввести и вести реестр таких УЦ.