Не так давно шла дискуссия о разработке и принятии профессионального стандарта специалиста по информационной безопасности. И вот недавно, 18 сентября американская национальная академия наук на своей конференции признала, что профессии/специальности специалиста по кибербезопасности быть не может, т.к. кибербезопасность (или пока привычная нам информационная безопасность) слишком объемна и разнопланова,чтобы объединить ее под одним «зонтиком». На самом деле выводов было сделано 7. Большинство из них очевидны, но, пожалуй, впервые было признано (да еще и в стране, которая активно продвигает тему кибербезопасности в течение последних лет), что действий, направленные на унификацию и универсализацию профессии ИБ бесперспективны. А выводы были такие:
- Требуется больше внимания со стороны государства к вопросам кибербезопасности.
- Потребность в специалистах по кибербезопасности будет только расти, но спрогнозировать их число, а также нужное сочетание знаний и навыков в области кибербезопасности сейчас с уверенностью невозможно.
- Кибербезопасность охватывает разнообразные контексты, роли и виды деятельности. Такая ширина и разнообразие охвата не позволяет рассматривать кибербезопасность в качестве единой профессии.
- Кибербезопасность — это не только и не столько технические меры. Для эффективной работы в данной сфере необходим широкий спектр навыков и знаний.
- Профессионализм имеет несколько целей и достигаться они могут разными механизмами.
- Путь к профессионализму в области кибербезопасность может быть долгим и трудным.
- Профессионализм имеет как выгоды так и затраты, которые должны быть взвешены перед принятием решения о вступлении на путь кибербезопасности.
Нельзя быть специалистом по кибербезопасности (или по информационной безопасности) — слишком широко поле. Таков вывод американских академиков. Необходимо концентрироваться на какой-либо из областей и развиваться в ней. Государству и иным заинтересованным лицам также не надо концентрироваться на развитии профессии кибербезопасности как единой дисциплины. Необходимо разбивать ее на разные специальности, которые имеют четко очерченные границы. К граничным критериям могут быть отнесены:
- стабильные и не так часто изменяющиеся требования к знаниям и навыкам,
- стабильные роли и обязанности
- четкие границы, отличающие одну специальность от других.
Еще одним условием выделения отдельных специальностей по кибербезопасности должны стать достоверные доказательства недостатка в профессиональной рабочей силе, а также недостатка квалификации действующих специалистов.
Какие выводы можно сделать в России и для России? У нас отсутствует четкое понимание количества специалистов по безопасности, работающих сейчас в российских организациях разных форм собственности (в США такая оценка есть). У нас отсутствует прогноз потребностей в специалистах по ИБ (в США тоже не смогли оценить). У нас отсутствует качественное образование в области ИБ, соответствующее потребностям современных организаций (в США оно есть). У нас действия Рособразования, ФСТЭК, ФСБ и профессионального сообщества мало согласованы между собой (в США ситуация получше, но там и заказ на специалистов делает бизнес — ВУЗ просто не получит студентов и денег, если будут готовить так, как это делают в России). У нас есть государственный образовательный стандарт с 4-хлетним жизненным циклом обновления, что очень неоперативно в современной динамичной среде (в США вообще нет стандартов на образование в области информационной безопасности).
Что в итоге? А итоги неутешительны. Можно писать документы с требованиями по защите. Можно заставлять всех использовать сертифицированные СКЗИ отечественного производства. Можно спускать сверху разнарядку на прием девушек в учебные заведения ФСБ. Только вот при отсутствии достаточного количества грамотных специалистов все эту будет бесперспективно и никому не нужно — некому будет все это внедрять и реализовывать. И останется нам только ставить на окна решетки и запирать носители с защищаемой информацией в сейф для предотвращения угроз информационной безопасности, как советует 8-й Центр ФСБ.
Алексей, только что прочитал Ваш блог, до ответа на DLP, извините!
Да нету у нас специалистов по ИБ и не было никогда, все мы вышли из ТЗИ, которая есть маленькая толика от ИБ и все! Сам так считаю и с этого начинал обучение своих студентов! А кибербезопасность ….. это новый термин ничем не подкрепленный. Мода она и есть мода!
К слову о статистике: интересно какой процент нынешних безопасников имеет не ИБ-, а ИТ-образование.
Мне кажется это могло бы стать хорошим поводом для размышлений.
Насчет специалистов с IT образованием, работающих в ИБ, здесь все интересно.
Работал не в одной довольно крупной компании, в которых бо'льшая доля работников из подразделений ИБ была обычными ITшниками, которые быстро словили преимущества данной области и "переквалифицировались". И, замечаю, что у них нет той жилки (определяющий интерес к области ИБ), которая есть у специалиста ИБ.
Полностью согласен насчет кибербезопасности! Определения данного выброса нет. Даже если отталкиваться от определения кибернетики (то кибер ( κυβερ) это управление), т.е. выходит это управление безопасностью или все же это синоним ИБ? Проще и лучше не забивать свой мозг такими новомодными словечками (пусть их используют люди не сведущие, а мы же, услышав их, переконвентируем их) и пользоваться родными терминами и их закрепленными определениями.
Константин, привет, от вашего бывшего студента.
В американской академии наук похоже работает капитан очевидность! Выводы бессмысленны и беспощадны, вместо специалист по кибербезу, можно подставить например программист смысл будет тот-же.
P.S. Прошу прощения за эмоции, не удержался, абсолютно согласен с выводами Алексея по поводу образования.
Действительно, кибербезопасность су шествует пока как новый термин, и сейчас мало кто сможет нарисовать простейшую матрицу компетенций для специалиста по данному направлению.;)
А для ИБ нарисуете?
Менеджер по ИБ, еще не специалист в полном смысле этого слова, и уж не "эксперт по ИБ". Роли то у всех разные в компании (и по жизни: область интересов может быть ограничена, и многие развиваются исключительно в этой области). Или "Специалист" — это такое "звание" в дипломе? А вообще "специалистов по ИБ" навалом и в РФ, и в США, и в Европе, а вот когда до дела доходит — специалистов нету нигде, не только в РФ))
А вообще "Кибербезопасность" даже более четкий термин, чем ИБ, так как описывает именно "кибер" часть проблемы, как основную составляющую.
То, что американцы пришли к такому выводу, не удивительно. В современных условиях одновременно быть универсалом и хорошим специалистом нельзя. Это ведь только в России главный критерий защиты информации – выполнение требований законодательства. При таком подходе, чем тупее специалист, тем лучше. Во всём остальном мире главный критерий – эффективность. А для того чтобы быть эффективным нужны очень хорошие знания и очень хорошие умения. Иметь и то и другое сразу в нескольких видах деятельности невозможно. А то, что кибербезопасность сложносоставное понятие, по-моему, объяснять не нужно.
Среди посетителей этого блога, BISA, itsec и других аналогичных нет ни одного специалиста по информационной безопасности! Их в России вообще нет. А вот специалисты по ЗИ (или ТЗИ, как пишет Ржавский) есть и неплохие. Но и среди них имеется специализация. Одни «жучки» ищут, другие ПЭМИН, третьи – акустику, четвёртые – вирусы, пятые – инсайдеров и т.д. и т.п. И каждый должен быть спецом экстракласса в своём деле, иначе толков не будет. Вот и получается, что правы американцы.
По поводу отсутствия специалистов по ИБ сильное утверждение
А зачем мешать все в кучу? У нас всегда были понятия "квалификация", "специальность" и "профессия".
Почему в какой-то момент показалось, что все это должно совпасть?
Математик (квалификация) теоретический механик (специальность) легко может быть конструктором (профессия) и никого это не смущает.
А уж то, что математика "слишком объемна и разнопланова, чтобы объединить ее под одним "зонтиком" — вряд ли кто усомнится. Тем не менее, технические вузы (у которых специальность практически тождественна профессии) как-то учат основам математики (называя ее, правда, высшая 🙂 ) именно в том объеме, который нужен для соответствующей профессии.
А в Университетах (в классическом понимании этого слова) из студентов готовят именно математиков (обучение которых сводится к изучению основ огромного количества дисциплин), с прицелом на то, что эти люди будут развивать науку математику, но это не исключает наличие специальности и возможности осваивать различные профессии.
Поэтому смешивать не надо. У нас есть, как минимум, две специальности, готовящих "узких" специалистов по ИБ — это органгизация и технология защиты информации (готовит эдакого базового безопасника на предприятии) и компьютерная безопасность (готовит специалиста по компьютерной безопасности). Есть пробелы с уклонами в сторону чисто физической безопасности, а также чисто организационной (например, на факультетах, где готовят специалистов по СМК, могли бы с тем же успехом готовить специалистов по СУИБ — это почти то же самое).
Но все это не отменяет необходимости подготовки фундаментальных специалистов, которые будут двигать науку. Которые будут знать ТОКБ, requirements engeenering, будут знать методики построения моделей угроз, всевозможные SNA, attack tree diagramm и т.п. Т.е. весь тот передний край, который сильно опирается на базовые науки (логика, криптография, теория алгоритмов и т.п.). Эти люди будут визионариями, им сложно будет впарить уникальность примитивного SIEM решения, когда он знает реальные возможности современного развития алгоритмов корреляции, ему не скажешь, что iButton — это крутой способ аутентификации, потому что он будет знать, что это устройство идентификации и т.п.
У ИБ есть вполне себе широкий пласт фундаментальных понятий (как и в сетевых технологиях и ОС, например) — тот, кто изучал этот фундамент и может быть специалистом по ИБ в широком смысле.
Это не попытка кого-то обидеть. Это — вопрос терминологии.
Я неоднократно писал по поводу различения понятий "информационная безопасность" и "кибербезопасность", "информацйионная война" и "кибервойна". На DLP-эксперт есть статья, в "Инсайд. Защита информации", где расписано, что я понимаю под этими терминами. Обеспечение ИБ — это, в первую очередь, обеспечение информацией (достоверной, доступной, достаточной), во-вторую, защита от деструктивного информационного воздействия (когнитивная и консциентальная безопасность) и, только в третью, защита информации (информационных ресурсов). Там написано, но повторюсь, что сложившаяся у нас практика называть проблему защиты информации информационной безопасностью, не столь безобидна, как это может показаться на первый взгляд. Я — за правильное (корректное) употребление терминов. Не зря же говорят: как назовёшь, так и поплывёт. Давайте будем называть вещи своими именами и будет у нас всё хорошо, и будет у нас счастье! Пусть и не сразу ….
Надо смотреть на вещи, изрекаемые из-за океана проще.
Идет просто подготовка нового рынка путем переформатирования старого. Но с новыми бонусами основоположникам "нового" течения.
Это подтверждают и материалы обсуждения — логичное изложение имеющегося опыта. Нового ничего не предложишь, пока не возникнет новая угроза. Конкретная. Вот это и есть обеспечение безопасности, в том числе,и информационной. Специалисты в этом случае адаптируются, а студентам добавляются новые знания.
Товарищи старшие коллеги, вопрос "Кто виноват?" раскрыт, а вопрос "Что же делать?" — нет.
Интересно узнать Ваше мнение (особенно тех, кто может повлиять на ситуацию).
К примеру:
1) Оставить все как есть
2) Разделить специальности в ВУЗах на:
— специалист по поику уязвимостей
— специалист по подбору программно-аппаратных решений ИБ
— специалист по расследованию инцидентов
— разработчик систем и алгоритмов ИБ
— …
На счет улучшения ситуации.
Сейчас фирмы сотрудничают с ВУЗами и проводят лекции и даже курсы подготовки (бесплатные для студентов, платные для остальных).