Добры ИБ-молодцы
IT / Статьи
информбезопасность персональные данные
13.1.2023

Добры ИБ-молодцы

Перспективы сертификации кибербезопасников в РФ и поможет ли она остановить утечки данных

Нынешний год будет посвящен развитию регуляторики в сфере защиты персональных данных (ПД), заявил глава Минцифры РФ Максут Шадаев. Кроме прочих мер, ведомство задумалось о создании отечественной системы сертификации специалистов по информационной безопасности (ИБ). Необходимость в ней назрела, ведь в ближайшие годы рынок ИБ в России перейдет на продукцию отечественных производителей, а международные программы сертификации в нынешних условиях становятся все более недоступными, отмечают эксперты.

ОНО НАМ НАДО

О планах по созданию отечественной системы сертификации для ИБ-специалистов глава Минцифры РФ Максут Шадаев сообщил в ходе вебинара в конце декабря 2022 года. По его словам, нововведения будут стимулировать компании больше инвестировать в защиту своих IT-инфраструктур.

«Необходимо сформировать целую отрасль, запустить аккредитационные центры, кибербез должен сформулировать требования. Эта тема связана с планируемым введением оборотных штрафов за утечки данных», – сказал министр.

Руководитель комитета по информбезопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK компании БЕЛЛСОФТ Роман Карпов назвал идею Минцифры «новым вектором развития». В беседе с RSpectr он подчеркнул, что

в нынешних условиях создание собственных стандартов обучения и сертификации экспертов по кибербезопасности абсолютно необходимо

Аналогичные иностранные программы довольно распространены в РФ, например, Certified Information Systems Auditor (CISA), Certified Information Systems Security Professional (CISSP) и Certified Information Security Manager (CISM). При этом

количество специалистов, сертифицированных по зарубежным образцам, составляет всего 1-2 тыс. человек

По оценке зампреда Сбера Станислава Кузнецова, в 2022 году в России работали около 5 тыс. специалистов в области кибербезопасности. При этом нужно в десятки раз больше, уверен он.

Отраслевые комитеты IT-ассоциаций обычно подключают к подобным вопросам для экспертной оценки на финальных этапах, когда реализация находится на сформированной стадии и ее можно оценить, рассказал RSpectr руководитель комитета объединения РУССОФТ по информационной безопасности, руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Сертификация – это массовый процесс, поэтому нельзя переложить ответственность за создание методик и срез знаний на отдельный комитет или совет, отметил он. По мнению эксперта,

необходим некий аналог ЕГЭ для начальных и средних уровней сертификатов, и для высших необходимо привлекать вендоров

Алексей Парфентьев, «СёрчИнформ»:

– Без разработчиков в этом вопросе не обойтись, именно они имеют наибольшую экспертизу по отдельным направлениям. Тем более что у многих вендоров уже есть сформированные учебные курсы по повышению квалификации ИБ-специалистов.

Формирование даже концепта системы сертификации ИБ-сотрудников – объемная задача для одного ведомства, отметил в беседе с RSpectr ведущий консультант по ИБ AKTIV.CONSULTING (компания «Актив») Александр Моисеев. Поэтому необходимо привлечение других ведомств, высшей школы и представителей рынка ИБ, полагает он.

УЧИТЬСЯ ДОЛЖНЫМ ОБРАЗОМ

Для создания отечественной системы подтверждения соответствия стандартам кибербезопасности существует ряд объективных причин, убежден Алексей Парфентьев. Он подчеркнул, что

сертификация связана с практическими навыками, основанными на знании конкретных технологий. Российский стек типовых ИБ-продуктов существенно отличается от зарубежного, особенно после оттока вендоров

Алексей Парфентьев, «СёрчИнформ»:

– Та же Международная организация по стандартизации ISO имеет иностранную специфику, начиная со значительного уклона во внешние риски информбезопасности. В РФ внутренние и внешние рынки оцениваются в сфере кибербезопасности одинаково критично. Кроме того, в текущей ситуации сложно получить международные сертификаты и возникают проблемы с доступом к учебным материалам.

Исполнительный директор компании OMION Олег Макарский в беседе с RSpectr указал, что

на фоне оттока программистов, многие из которых осели за рубежом и начали сотрудничество с различными организациями, нашей стране нужны новые стандарты в IT-профессиях и специалисты, отвечающие им

Он обратил внимание на рост числа коммерческих курсов по ИБ, выпускающих низкоквалифицированных работников. На фоне критического дефицита кадров они занимают вакантные места в организациях и отвечают за сохранность данных, посетовал эксперт.

Задумываемая система позволит объективно определять компетентного специалиста, но такой подход повысит порог входа в профессию, отметил в беседе с RSpectr руководитель направления Центра компетенций по информационной безопасности «Т1 Интеграции» Валерий Степанов.

По мнению директора по маркетингу и коммуникациям цифровой платформы «Ракета» Дарьи Зубрицкой, сертификацией должен заниматься некоммерческий консорциум компаний. Он будет разрабатывать соответствующие стандарты, прокомментировала она RSpectr.

За сертификацию должно отвечать Минцифры или подведомственная ему структура, считает Олег Макарский. При этом, подчеркнул он,

нет проблемы в том, чтобы сертификация ИБ-специалистов стала обязательной

Привлечение частных организаций усложнит процесс, ведь сертификация потребуется уже для них, обратил внимание эксперт.

МЕНЯТЬ ПОДХОД

Создание коммерческой структуры, занимающейся сертификацией ИБ-профессионалов, приведет к дополнительной нагрузке на бизнес, обратила внимание в беседе с RSpectr независимый эксперт Татьяна Плотникова. При этом отечественная система в контексте защиты от утечек персональных данных (ПД) должна опираться на международные наработки, полагает она.

По ее мнению, ближе всего к российской специфике защиты ПД находится опыт Международной ассоциации профессионалов в сфере защиты данных (International Association of Privacy Professionals, IAPP), где существует сертификация направлений противодействия киберинцидентам и утечкам (CIPP, CIPM и CIPT).

Однако эксперт сомневается, что сертификация ИБ-специалистов поможет в борьбе с утечками сведений.

Татьяна Плотникова, независимый эксперт:

– Около 80% случаев подобных инцидентов происходят из-за аутсорсинговых организаций, которые разрабатывают и поддерживают интернет-сервисы по поручению крупных операторов ПД. Как правило, это малые предприятия, которые не имеют в штате ИБ-сотрудников.

Алексей Парфентьев напомнил о президентском указе №250, в котором сформулированы требования для руководителей ИБ-отделов. Логично, чтобы и другие сотрудники, отвечающие за защиту IT-инфраструктуры в организациях, имели достаточную квалификацию, которую и будет подтверждать система сертификации, рассуждает эксперт. По его мнению,

прохождение отраслевой программы будет полезным: кто-то подтвердит квалификацию, другие подтянут навыки. Естественно, выявятся сотрудники с серьезными пробелами в знаниях

Утечки данных – это масштабная комплексная проблема, решение которой лежит не в плоскости средств и систем ИБ или квалифицированных специалистов, а в области организации бизнес-процессов и управления рисками, рассуждает Александр Моисеев.

Сертификация кибербезопасников не решит всех проблем с утечками данных. Как и десятки других инициатив, это лишь борьба с последствиями, но не устранение причин, констатировал Олег Макарский. По его словам, чтобы добиться фундаментальных изменений, необходимо системно менять подход к защите данных.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock, Freepik

Еще по теме

Что делают вузы для преодоления кадрового голода в отрасли

Каких мер господдержки ждут разработчики ВКС-решений

В правительстве РФ заявили о перевыполнении планов по программе «Цифровая экономика»

Что стоит за ростом производства компьютеров в России

Какой должна быть защита персональных данных в 2023 году

Мотивировать IT-специалистов к возвращению из эмиграции предлагается законодательно оформленной бронью и расширением льгот

Какие эффекты ожидаются от использования информсистемы пространственных данных

На портале можно будет записаться на прием к юристам

Каковы итоги уходящего года и перспективы будущего для рынка 1С

Как будет развиваться рынок low-code в России

Как в 2022 году проходило импортозамещение на рынке вычислительной техники

Какую архитектуру выбрать при разработке сложного приложения для крупного бизнеса

Как продолжить верить в Деда Мороза, но не попасть в новогоднюю аферу

Сможет ли искусственный интеллект проверять школьные сочинения

Кому поможет механизм гарантированного спроса на доработанный российский софт