Кадровые проблемы в ИБ — есть нет отставить

Один из топовых вопросов, который сейчас звучит на всех уровнях, начиная с вице-премьера и министра цифровизации, это – острая нехватка кадров в ИТ и ИБ отраслях. О кадровых проблемах в ИБ говорят практически на всех конференциях за последние 3 года, в том числе на тех шести, на которых я побывал в феврале-апреле. Предлагаю явно сформулировать тезисы про основные кадровые проблемы в ИБ, изложить их системно.

Кадровые проблемы в ИБ — что на слуху

А на слуху два основных:

  1. Нехватка кадров.
  2. Нехватка квалифицированных кадров или претензии к уровню подготовки выпускников.

Второй вопрос я бы разделил, так как, строго говоря, это не одно и то же, ведь далеко не все вакансии закрываются выпускниками и даже самый квалифицированный из выпуска может через несколько лет оказаться не соответствующим новым требованиям.

Но многие проблемы, являющиеся причинами или следствием этих двух, можно и важно выделить, сформулировать.

Решительно размежеваться

А в каких конкретно областях и направлениях ИБ есть проблемы с кадрами? И для каких специальностей? 
Про нехватку каких специальностей мы не слышим? На какие должности практически не бывает вакансий?

Для чего это важно?

Выделить специальности (должности, вакансии) по образованию и профессии важно, чтобы верно посчитать и сопоставить предложение и спрос на рынке труда.

Нехватка — как измерили?

Действительно, как? Сравнили количество выпускников за определенный период (в соответствии с образовательными стандартами по ИБ) с вакансиями на hh и других подобных сайтах?

То есть вузы и ссузы выпускают меньше чем необходимо? Для каких отраслей?

Объявлений о поиске работы меньше, чем вакансий? Причем с разбивкой по специальностям.

Кстати, как с заполняемостью вакансий в гос-органах и еще ряде отраслей, которые подают заявки в соответствующую комиссию и на базе этих заявок формируются планы по бюджетным местам в образовательных учреждениях?

Считали, сколько людей, разместивших вакансию, отказывается от собеседований или не приходит второй раз?

Сколько откликнувшихся на вакансию не приглашают или не приглашаются после собеседования?

Считают по времени, когда свыше определенного периода не могут заполнить вакансию ИБ?

Какая в организациях и отраслях текучка кадров ИБ? Какие причины?

Я сталкивался с ситуациями, когда:

  • выпускники кафедр ИБ идут не в ИБ, а в разработку, потому, что там больше платят и больше перспектив роста;
  • опытные специалисты не идут в ИБ, особенно из ИТ, потому, что не хотят стать «козлами отпущения» — они прекрасно понимают, что на первом месте бизнес или реализация основного функционала организаций, потом уже — безопасность, даже есть ресурсы — у них не приоритет, а в случае инцидента чаще всего увольняют именно безопасников.

После того, как задали вопросы, посмотрим какие есть специальности.

Кого считать?

Важно отделить ИТ от ИБ, понимая, что в общественном понимании пересечение здесь получается в части защиты автоматизированных (информационных, компьютерных) систем, ИТКС от несанкционированного доступа (компьютерной безопасности, кибербезопасности).

Отделить, например, через профессиональные (ПС) и образовательные стандарты, хотя в полной мере все профессии что в ИБ-отрасли, что в ИТ-отрасли они не описывают.

К тому же, есть специальности вне отрасли или подходящие для обеих. Например, разработчик ПО. Считать её в ИТ? А если разработчик работает у вендора СЗИ, имеющего соответствующие лицензии ФСТЭК России и/или ФСБ России? 
То есть возможно разделение как по стандартам — то есть по направлению обучения или обязанностям (вместе с требованиями к уровню знаний, умений и навыков), так и по объекту (предмету) приложения сил.

Перечень образовательных стандартов можно найти в различных источниках, кроме того, вместе с интересными данными исследования он представлен в аналитическом отчёте центра кибербезопасности НТИ Энерджинет в 2023 году.

Также к ИБ в рамках её раздела «техническая защита информации» относятся профессии, связанные с противодействием утечке информации по техническим каналам.

По сути, специальности в ИБ, еще точнее, в ТЗИ в терминах ПП-79, ПП- 171 и ПП-313, можно разбить с точки зрения объектов:

  • средства обеспечения ИБ, в т.ч. средства защиты информации (не буду здесь спорить и пояснять, но, например, антифрод и антифишинг впрямую к ТЗИ не отнесешь);
  • объекты информатизации (АС, ЗП и т.д.), в состав которых входят СИБ (СЗИ).

И по направлениям лицензирования деятельности.

С моей точки зрения, разбивать профессии удобнее с точки зрения жизненного цикла системы, причём получается захватить и нелицензируемые виды деятельности. Предложу на таком уровне абстракции.

Для СИБ (СЗИ) это:

  • Архитектор;
  • Разработчики;
  • Тестировщики:
    - внутренние;
    - совместимость с другими СЗИ, ОС и т.п.;
    - внешние — пен-тесты.
  • Специалисты по сертификации;
  • Специалисты по уязвимостям (классификация, управление и т.п.);
  • Внедренцы (обычно, как практики, так и методисты со стороны вендора);
  • Специалисты по технической поддержке.

Классификация высокоуровневая и довольно условная, те же знания и навыки работы с уязвимостями требуются и специалистам по сертификации, и тестировщикам, и разработчикам. Но для исследования по нехватке кадров и сопоставления с вакансиями вполне подойдёт, специфические по объектам, языкам и т.п. вакансии будут попадать в укрупненные группы.

Для объектов информатизации:

  • Проектировщики подсистем ИБ/ЗИ или систем в защищенном исполнении (сюда же отнесу специалистов по разработке требований к системам, т.к. обычно всё ложится на них, от заказчиков в лучшем случае поступают акты классификации и модели угроз).
  • Внедренцы (установка, монтаж, настройка, наладка и т.п. ПО, ПАК, в т.ч. вспомогательных технических средств).
  • Испытания (приёмка, совместимость, аттестация).
  • Эксплуатация, в т.ч. SOC, администраторы СЗИ и подсистем защиты информации.
  • Контроль защищенности — отдельно от эксплуатации, т.к. контролировать должны другие люди и подразделения. Здесь и спецы по мониторингу, и по пентестам, и по противодействию утечке по техническим каналам (измерения).

Этапы, связанные с модернизацией и выводом систем из эксплуатации не предполагают наличие отдельных специальностей, хотя там имеется функционал с определенной спецификой.

ИБ-специальности, не впрямую связанные с жизненным циклом СЗИ или ОИ:

  • Руководитель подразделения по обеспечению ИБ в организации (защиты информации).
  • Заместитель руководителя организации по ИБ или безопасности, но в чьи обязанности входит обеспечение ИБ организации, кому подчиняется ИБ-подразделение.
  • Специалисты по созданию системы обеспечения ИБ в организации, в т.ч. по внедрению СМИБ (ISO 27002. …) или отраслевых стандартов, по консалтингу, разработке локальных нормативных актов и т.п..
  • Аудиторы СМИБ (ISO 27001) или отраслевых стандартов.
  • Криминалисты (компьютерная форензика, экспертиза).
  • Специалисты в сфере правоохранительной деятельности.

За кадром оставим кросс-платформенные специальности:

  • продажи;
  • продакт-менеджмент;
  • маркетинг;
  • руководители проектов;
  • аналитики
  • технические писатели.

Кстати, выступлений по нехватке таких специалистов не встречал. Интересно, есть ли проблемы?

Вот, примерно, какие специальности (укрупненно и качественно) предлагаю для исследования и обсуждений.

Примечания:

Укрупненно — исходя из основных обязанностей, описанных выше, т.к. в каждой компании названия должностей и подразделений часто различаются, вакансии конкретизируются (сужаются) под конкретные средства, системы и т.п.

Качественно — уровень квалификации кандидата применительно к:

  • владению современным инструментарием (техническим, управленческим) для разработки современных и перспективных систем с применением современного инструментария;
  • функционирующем системам, безопасность которых необходимо обеспечивать;
  • владению современными методами управления в рамках современной нормативно-методической базы для обеспечения ИБ организации.

Что интересно, практически не встречаю обсуждения кадровых проблем с «географической» точки зрения — следствие удаленки?

Почему и кто говорит о проблемах?

  1. Руководители организаций и отраслей.
  2. Руководители подразделений ИТ и ИБ.
  3. Преподаватели вузов и ссузов.

Отмечу, что применительно к ИБ отрасли преподавательский состав — это, пожалуй, самая активная составляющая. И не маленькая. На одном из пленумов ФУМО услышал, что у нас 92 выпускающих кафедры ИБ, а на конференциях, что всего в стране 133 ИБ-кафедры и что конверсия после выпуска — 90%.

А кого действительно не хватает?

Не видел вакансий на заместителя генерального директора по ИБ в соответствии с указом Президента России №250 от 1 мая 2023 года, а также ни разу не слышал о нехватки этой категории кадров ИБ.

Выскажу мысль, которая не претендует на глобальность, но основана на опыте:

Острая нехватка ощущается в молодых квалифицированных кадрах, готовых ответственно, увлеченно и сверхурочно работать за сравнительно небольшие зарплаты, не претендуя даже потенциально на должность своего руководителя.

Кроме того, встречается много вакансий, где ищут CISO, который должен, помимо построения системы обеспечения ИБ в организации, должен «администрировать СЗИ на профессиональном уровне, вести учёт и выдавать СКП, носители информации и т.п.». А иногда к ним добавляют «участие в создании и развитии концепций отрасли» в рабочих группах и вышестоящих организациях.

Кто-то скажет «универсал», «кентавр» — отвечу я, легендарное существо, которое везде описано, но в природе не встречается. Нет, конечно, многие CISO — руководители уровня директоров департаментов и т.п. не забыли как настроить и админить, но это и построение плюс контроль системы ИБ — разные навыки, которые необходимо поддерживать в актуальном состоянии и постоянно развивать, и по времени совместить это практически не реально. 
Интересно, такие вакансии заполняются? Во всяком случае, такие постоянно есть на hh.

ИТОГО

Перечислю, несколько формализовав, наиболее часто встречающиеся тезисы о нехватке кадров в ИБ и ИТ отраслях.

  1. Нехватка кадров.
  2. Нехватка квалифицированных кадров.
  3. Уровень квалификации (подготовки) выпускников недостаточен.
  4. Нужны универсалы — от построения системы ИБ до админов СЗИ.
  5. Заказчики практически не участвуют в подготовке специалистов как на уровне студентов, так и ДПО (повышение квалификации, переподготовка). Заказчики не хотят брать студентов на практики и стажировки, а если берут, то не могут дать им нужных знаний.
  6. У преподавателей вузов и ссузов отсутствует практическая подготовка в части современных систем.
  7. Для специалистов ИБ в ряде отраслей есть неудобные ограничения, т.е. небольшие зарплаты, но допуска и связанные ограничения с выездом за границу, поэтому молодежь не идёт.
  8. Нехватка кадров в сфере менеджеров продуктов, маркетинга и продаж ИТ/ИБ как тема нигде на конференциях и в статьях не звучит.
  9. Нехватка квалифицированных кадров для новых профессий, таких как безопасный и/или доверенный ИИ, безопасность цифровых двойников и систем обработки больших данных, и т.п. как тема нигде на конференциях и в статьях не звучит.

Коллеги, а как бы вы составили перечень вопросов, позволяющих сформулировать задание для проведения объективного исследования проблемы кадров?

Михаил Смирнов, Главный редактор BISA
Читать свежее