Rambler's Top100
Статьи ИКС № 8 2006
А. КИВИРИСТИ  01 августа 2006

Почему вуз не способен подготовить специалиста по безопасности?

Термин «специалист» трактуется так: это «работник, умственный труд которого требует специального образования». Для меня же специалист – всегда комбинация трех составляющих: знания, навыки и опыт. Отсюда – провокационный заголовок, отражающий мнение автора, сложившееся за годы работы в отрасли.

Итак, почему к категории «специалист» нельзя отнести ни выпускника вуза, получившего диплом «специалиста по защите информации», ни любого другого бывшего студента, обучавшегося по программе, где присутствовали слова «информационная безопасность»?

О программе обучения

Современный вуз должен следовать государственным образовательным стандартам. Но что мы видим в стандартах по специальностям, связанным с ИБ? Требования к обязательному минимуму начинаются не с профильных дисциплин, а с иностранного языка, физкультуры, отечественной истории, философии и др. (около 2000 ч). Еще более 2000 ч математики и естествознания и, наконец, в завершение программы – три с небольшим тысячи часов профильных дисциплин.

Достаточно ли этого (само предметное содержание в расчет не берем), чтобы считать себя специалистом? К сожалению, нет. Программа никак не учитывает такие темы, как безопасность приложений (ERP, CRM, SCM, биллинг и т.п.), веб-сервисов, телефонии (в том числе VoIP), систем хранения данных (SAN, NAS, DAS) и других технологий, без которых современное предприятие немыслимо. Государственный стандарт (http://academy.fsb.ru/icccs/1251/docs-umo.html) позволяет включить данные темы в учебный план, но большинство вузов не идет на это, дабы не нарушить ограничения по допустимой нагрузке на неокрепшие умы (иначе можно лишиться аккредитации). Есть и «глубинная причина»: специалистов, способных подготовить учебный план по названным темам, в штате вуза нет, а то, что преподается в рамках учебного плана, существенно отстает от современного уровня развития технологий ИБ. Косвенные признаки этого: многие учебные пособия, вышедшие из-под пера преподавателей российских вузов, описывают технологии и продукты 5–7-летней давности, а о современных тенденциях ни слова.

Впрочем, даже в актуальных темах слишком много внимания уделяется теории и далеким от практики вопросам. Живой пример – криптография. Студентов учат разным алгоритмам шифрования – DES, 3DES, ГОСТ 28147-89 и др. (AES встречается редко). Но реальность такова, что на практике эти знания не нужны.
В России официально принят только один алгоритм шифрования (из ГОСТ 28147-89), а использование любых других – не легитимно. Более того, знать ГОСТ даже и не нужно, ведь любой специалист любой организации сам никаких криптографических систем не разрабатывает (он на этот вид деятельности лицензию не получит!). Его сфера – предложения рынка, если он не попадает на работу в соответствующее ведомство или компанию-разработчика. Но число таких вакансий несоизмеримо меньше потребности в обычных специалистах по защите.

Зато в вузах не предусмотрены такие предметы, как аудит ИБ, международные стандарты по ИБ, методы оценки финансовой целесообразности и экономической эффективности системы защиты (ROI, ROR, ROA, KPI, BSC и т.д.) или наука общения с аутсорсинговыми компаниями. И… выпускник технически подкован, но совершенно не пригоден для реального производства.

О кадрах

Следующая больная тема – кадры, которые, как известно, решают все. Подготовка дипломированного специалиста, как следует из стандарта, должна обеспечиваться педагогическими кадрами, «систематически занимающимися научно-методической деятельностью и имеющими базовое образование, соответствующее профилю преподаваемых дисциплин, и ученую степень и/или опыт деятельности в соответствующей профессиональной сфере». Формально условие выполняется. На практике же преподаватели спецдисциплин не имеют профильного образования – оно, как правило, смежное: радиоэлектроника, вычислительная техника и т.п. Если же вам чудесным образом «достался» преподаватель с профильным образованием, то, скорее всего, оно было получено в начале 70-х. Кадровый состав преподавателей российских вузов, занимающихся вопросами безопасности, сопоставим с кадровым составом отделов защиты информации госструктур: 59% персонала – в возрасте от 55 до 65 лет, только 16% – от 25 до 35 лет, а 68% получили образование до 1975 г. Насколько они знакомы с современными технологиями, как отслеживают тенденции в области ИБ – остается только гадать. А об опыте работы вообще говорить не приходится, тем более что он и не требуется – достаточно ученой степени.

О практике и лабораторных работах

Программы по ИБ на практику отводят в 13 раз меньше часов, чем на теорию. Знания студент вроде бы получает, но проверить их за 12 недель «работы на производстве» проблематично. Так откуда навыки?

Хотя даже 12 недель практики можно было бы использовать по максимуму, если бы не одно «но». Согласно стандарту, «лабораторная база вуза должна быть оснащена современными стендами и оборудованием». А с этим проблемы. Если с программными решениями как-то можно еще справиться (многие компании готовы передать свое ПО для учебных целей, и цена вопроса – стоимость носителя: CD или дискеты), то с программно-аппаратными средствами ситуация далека от идеальной. В лабораториях вузов оборудование, как правило, очень устаревшее. А российские производители СЗИ, дорожащие каждым своим экземпляром, не торопятся делиться с вузами. Остается уповать на то, что будущие специалисты еще студентами начинают подрабатывать администраторами и имеют доступ к различным видам оборудования и программ.

О требованиях к выпускнику

При чтении образовательных стандартов складывается впечатление, что их разделы писали совершенно разные люди. Если содержательная часть программы еще понятна (но есть обозначенные выше проблемы), то раздел «Требования к уровню подготовки выпускника» рождает множество вопросов. Через слово – «государственная тайна». Складывается впечатление, что вузы готовят только специалистов по защите этого вида секретов. Чего стоит обязательное требование знать, владеть и уметь использовать «методы анализа и оценки возможного ущерба, наносимого безопасности РФ вследствие несанкционированного (противоправного) распространения информации, составляющей гостайну». Это сложно сделать в рамках отдельной компании, а как посчитать потенциальный ущерб в рамках целого государства?! Согласно стандартуна другую ИБ-специальность, выпускник должен «уметь оценивать техническую и экономическую эффективность приобретаемых или используемых решений» – а в самой учебной программе для этой специальности нет ни слова, как это умение получить.

Изумление вызывает и ряд других требований к уровню подготовки выпускника по специальности, например, 075500 – Комплексная защита объектов информатизации (http://cit.ifmo.ru/newpub/specializations/075500/7.php). Должен признаться, что ни одному из них я не удовлетворяю и за более чем 10-летний опыт работы не припомню ни одного случая, когда бы мне эти знания и навыки потребовались.

Часть выпускных требований выглядит более реальной, но только при поверхностном чтении. Например, выпускник должен уметь «анализировать основные механизмы, реализованные в современных ОС и СУБД, и модифицировать (выделено автором. – Прим. ред.) их для решения задач обеспечения ИБ». Не представляю, как можно модифицировать механизмы в Microsoft Windows или СУБД Oracle, не являясь разработчиком данных средств или сотрудником этих компаний.

А требование для рядового ИБ-специалиста «квалифицированно оценивать качество криптографических решений»?! Для этого нужны не только соответствующие знания и навыки в области криптоанализа (в вузе их не дают), но и доступ к инфраструктуре и ресурсам, которыми обладает всего несколько государств на Земле.

Зато в большинстве документов нет ни слова про умение говорить с руководством «на одном языке», доказывая необходимость инвестирования в системы безопасности, увязывания политики ИБ с общей стратегией развития бизнеса, показывать ценность (Added Value) СИБ для компании… Что уж говорить о таких «приземленных» вещах, как реагирование на инциденты, аутсорсинг безопасности, мобильная безопасность, безопасность видеоконференций, систем хранения данных, беспроводных сетей и т.п. Все это остается за пределами внимания как разработчиков государственных образовательных стандартов и администраций вузов, так и их выпускников (если те не проявляют рвения в свободное от учебы время).

Что делать?

Итак, из трех составляющих специалиста (знания, навыки и опыт) отечественные вузы не обеспечивают возможности получения ни одной. Доказательство – перечисленные проблемы, не позволяющие назвать выпускников вузов специалистами по защите информации.

Чтобы уровень подготовки выпускников вузов соответствовал запросам отрасли, нужна новая учебная программа, которая решала бы перечисленные (и не только) проблемы. А для этого необходимо знать и изучать потребности отрасли, привлекать к учебному процессу практикующих специалистов.

Пока же компаниям, работающим в этой отрасли, остается только самостоятельно «дорабатывать выпускников» или посылать их на курсы в специализированные учебные центры по ИБ.

Специальности в области ИБ
(по каталогу Минобрнауки)
  • Организация и технология защиты информации (код 090103)
  • Комплексная защита объектов информатизации (090104)
  • Информационная безопасность телекоммуникационных систем (090106)
  • Защищенные системы связи (210403)
  • Криптография (090101)
  • Компьютерная безопасность (090102)
  • Комплексное обеспечение ИБ автоматизированных систем (090105)

Структура обучения по защите информации
  • теоретическое обучение – 158 недель
  • экзаменационные сессии – 30 недель
  • практика – 12 недель
  • итоговая аттестация – 14 недель
  • каникулы – 36 недель

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: