Статья рассматривает проблемы подготовки к возникающим вызовам в области информационной безопасности (ИБ) и кибербезопасности (КБ) с позиции системного анализа. Рассмотрены стандарты, технические средства, кадровый потенциал при реализации Национальной Технической Инициативы (НТИ) в ИБ и КБ. Предложены направления по корректировке системы образования и встраивания ее в контекст реальной отраслевой среды.
Технические средства и стандарты: надо успевать
Стремительное развитие технологий ведет к появлению новых способов атак на программно-аппаратные комплексы, в том числе распределенные. Развитие технологий искусственного интеллекта, AI-инструментов приводит к возникновению новых угроз.
Согласно ГОСТ 56939-2024 в п. 3.2.2, для обеспечения безопасности ПО, должно быть проведено фаззинг-тестирование программы. С учетом отсутствия (и соответственно сертификации) средств фаззинга для нестандартных и создаваемых программно-аппаратных комплексов широкого спектра операционных систем и аппаратных платформ, применение данного стандарта затруднительно. Также существуют вопросы для методики оценки готовности при его проведении — трактовать данный стандарт можно совершенно по-разному и получить разные результаты для ПО. Очень похожая ситуация была со стандартами группы FMEA — у западных стандартов показатели количественные, а у отечественной группы стандартов — качественные.
Возрастает актуальность создания новых стандартов связи, включающих комплексную защиту в сетях 5G и 6G в связи с развитием рынка персональной спутниковой связи и технологий «цифровых двойников». Развиваются технологии передачи данных во сне, которые, возможно, станут повседневными через несколько лет (Induction of a pre-chosen melody inside a lucid dream).
Текущие стандарты не успевают адаптироваться к возникновению новых концептуальных проблем, а возможность использования отечественных инструментов сдерживается политикой теневого присутствия западных вендоров. Система подготовки кадров в отрасли нуждаются в пересмотре — чему, как и зачем учить. Казалось бы, вот перечень проблем, которые принято обсуждать, но окончательно решить их так и не удалось.
Тем не менее, сдержанный оптимизм в этой области присутствует, ведь проблемы — это точки роста, обозначен курс на импортонезависимость, а в области подготовки кадров идет процесс обсуждения новых образовательных стандартов.
Стандарты в области ИТ и ИБ разрабатывают сразу несколько значимых комитетов: ТК166 в области программно-аппаратных комплексов, ТК167 — в области критической информационной инфраструктуры, ТК 362 — в области защиты информации. Также существуют кооперации и межотраслевые рабочие группы, принимающие технические решения по различным вопросам, требующим кооперации, что является распространенной практикой, но таких важных органов для принятия законодательных решений точно должно быть больше с учетом интенсивности развития технологий.
Подготовка специалистов по ИБ и КБ в вузах и ссузах: кто защитит будущее
Современная система подготовки специалистов в области ИБ и КБ в вузах и ссузах сталкивается с комплексом проблем, начиная от методики разработки образовательных стандартов и заканчивая вопросами актуализации учебных материалов. Рассмотрим шесть ключевых вызовов и обозначим возможные пути их решения.
- Стоит отметить отсутствие методики разработки и обсуждения новых образовательных стандартов.
Данная проблема приводит к хаотичному процессу создания стандартов, где мнения различных заинтересованных групп часто противоречат друг другу.
Решение этой проблемы требует:
- формирования образа будущего выпускника по ИБ и КБ;
- разработки четкой методики создания и актуализации образовательных стандартов, включающей критерии добавления тех или иных компетенций;
- создания независимых экспертных советов с участием всех заинтересованных сторон.
- Сфера ИБ и КБ страдает от отсутствия единой терминологической базы. Попытки отдельных экспертов предложить систему терминов не приносят ощутимого результата вследствие:
- отсутствия механизмов корректировки, утверждения и распространения глоссариев в отрасли;
- быстро меняющейся природы информационных угроз;
- различных подходов к формированию глоссария в академической и профессиональной среде.
- Текущая система оценки качества подготовки специалистов в вузе, делегированная Министерству образования и реализованная через унифицированную систему тестирования, требует поддержки со стороны профессионального сообщества в связи с высокой динамикой и практико-ориентированностью ИБ и КБ.
Целесообразно привлечение существующих Центров компетенций НТИ, которые работают в рамках глобальной задачи проектирования передовых технологий, позволяют координировать работы технических комитетов и осуществлять пилотирование, что позволит ускорить разработку, стандартизацию и сертификацию средств защиты для развивающихся технологий. Для РФ было бы целесообразно:
- создать независимые сертификационные центры;
- внедрить систему профессиональной сертификации по ИБ и КБ, признаваемую работодателями;
- совершенствовать механизмы сбора обратной связи от индустрии к образовательным организациям.
- Профессиональные стандарты в области ИБ и КБ не успевают за динамикой развития отрасли.
Мониторинг рынка труда, за исключением отдельных инициатив ФСТЭК РФ, носит фрагментарный характер. Для решения этой проблемы необходимо:
- создать систему регулярного мониторинга потребностей в ИБ и КБ специалистах с учетом региона и отрасли;
- разработать механизмы оперативного обновления профстандартов по ИБ;
- установить тесное взаимодействие между регуляторами, образовательными учреждениями и бизнесом.
- Текущая модель взаимодействия с работодателями, рассматривающая их преимущественно как источник финансирования, себя исчерпала.
При этом необходимо:
- активное вовлечение специалистов из индустрии в разработку образовательных программ;
- создание совместных учебных центров и лабораторий;
- развитие системы наставничества и стажировок;
- включение реальных кейсов и практик в учебные материалы.
- Подготовка преподавательского состава.
Кадровый голод в области преподавания ИБ и КБ обусловлен несколькими факторами:
- быстрым устареванием знаний с учетом развития ИТ;
- недостаточным взаимодействием между академической средой и индустрией;
- отсутствием системной подготовки преподавателей нового типа (переходом от лекторов к наставникам).
Таким образом, преодоление кризиса образования в области ИБ и КБ требует системного подхода и совместных усилий всех заинтересованных сторон — от регуляторов и образовательных учреждений до бизнеса и профессионального сообщества.
Ключевыми направлениями развития (точками роста) должны стать:
- создание гибкой и прозрачной методики разработки образовательных стандартов;
- развитие системы независимой оценки качества подготовки выпускников;
- установление эффективного диалога между образовательными организациями и индустрией;
- перманентное обновление содержания образовательных программ и поиск новых форматов обучения;
- подготовка нового поколения преподавателей-практиков по основным направлениям ИБ и КБ.
Только комплексный подход позволит подготовить специалистов, способных отвечать на вызовы быстро меняющегося цифрового мира.
Задачи НТИ с учетом ИБ и КБ сфокусированы на нескольких факторах — создании быстрого варианта реакции на новые угрозы, оперативной корректировке стандартов под появляющиеся угрозы и интеграции процессов образования в реальное поле кибербезопасности для роста профессионалов отрасли, нацеленных на обеспечение ИБ и КБ человека, организации, государства.
Для реализации поставленных задач необходимо организовать экспертно-аналитическую межотраслевую группу для кооперации и координации специалистов ИБ и КБ для:
- создания единого глоссария в области ИБ и КБ;
- сертификации специалистов в области ИБ и КБ по единому стандарту для бизнеса и образовательных учреждений;
- корректировке образовательных программ высшего и среднего профессионального образования c включением обучающихся в пилотные проекты ведущих компаний отрасли ИБ и КБ.