Стандарты для антихакеров

Министерство труди при участии Банка России начал разрабатывать особые квалификационные требования для специалистов, работающих в сфере информбезопасности. Теперь, перед тем, как приступить к работе в госорганах, от антихакеров будет требоваться получение сертификата. Если компания - коммерческая, то его наличие будет носить необязательный характер.

Разработкой профессионального стандарта для специалистов по кибербезопасности заняты кроме Центробанка и Минтруда, еще Федеральная служба по техническому и экспортному контролю и Минобрнауки. Как указано в документе Минтруда, антихакер должен иметь полное представление о криптографии, теории алгоритмов, о кодах, математической логике, законодательстве об информации. Кроме того, у него должны быть свои наработки и опыт в выявлении киберугроз, их классификации, выработке против них защитных мер.

Необходимо также определять области защиты информации, уязвимости в автоматизированных системах, которые можно устранить, ему должно быть по силам успешное восстановление работы систем после кибератак, самостоятельное проведение тестовых взломов и расследование инцидентов. Вдобавок от антихакера потребуется прохождение дополнительных курсов повышения квалификации с получением в итоге сертификата.

Сегодня выдача сертификатов - прерогатива всего трех организаций: межрегиональной общественной организации «Ассоциация защиты информации», федерального учебно-методического объединения «Информационная безопасность», а также Академии ФСБ.

Наличие сертификата станет обязательным при найме сотрудников в любом министерстве и федеральной службе. Причем он должен быть как у соискателей на позиции кибербезопасников, так и у действующих сотрудников. А это означает, что министерствам и федеральным службам предстоит переаттестация.

На данном этапе в государственных учреждениях уже дан старт проверке специалистов, работающих в сфере защиты от хакеров. Как оценивает руководитель аналитического центра Zecurion Владимир Ульянов, чтобы переподготовить одного специалиста, госорганы потратят 100–200 тыс. рублей — именно столько стоит обучение.

Эксперты высказались за обязательный характер введение профессионального стандарта для антихакеров в госорганах, так как кибератаки способны вызвать паралич в работе некоторых ведомств и межведомственного взаимодействия в целом.

По словам директора по методологии и стандартизации компании Positive Technologies Дмитрия Кузнецова, также участвующего в разработке профстандарта, в настоящее время по указу президента началось создание государственной системы, способной противодействовать компьютерным атакам, и в каждом ведомстве - с учетом новых требований - должны работать центры реагирования на хакерские атаки, с высокопрофессиональными специалистами. Защита от хакеров не на бумаге, а на деле, требует серьезных специалистов.

Как считает помощник министра эконразвития Елена Лашкина, в органах госвласти необходимо повысить квалификацию специалистов по кибербезопасности. Обратной стороной масштабного распространения информтехнологий в госорганах можно назвать вызовы, которые связаны с электронной безопасностью, сохранностью персональный сведений, защиты передаваемой или обрабатываемой информации.

По мнению Дмитрия Кузнецова, крупные банки дополнят свой арсенал профстандартом для антихакеров. Так как им выгодно иметь высокопрофессиональных антихакеров, ведь в 2016 году хакерские атаки нанесли банкам мощный ущерб - в 4 млрд рублей.

По мнению кадровиков, есть определенные сложности во внедрении нового стандарта. По мнению руководителя департамента кадрового агентства Penny Lane Personnel Дмитрия Воронова, если буквально следовать профстандарту, велика вероятность как удлиннения сроков подбора кандидатов, так и отпугивания соискателей, от которых и без того требуется прохождение серьезного поэтапного отбора (тестирования, портфолио, проверки на «Полиграфе»). Ряд наиболее сильных специалистов в сфере кибербезопасности останавливают свой выбор на работе «на проекте», а не в штате. Они заняты решением конкретных задач, но при этом часть остаются в «тени», в связи с чем запуск профстандарта на их работу никак не повлияет. Кто-то из работодателей предпочитает нанимать бывших хакеров, ведь, как известно, все хорошие антихакеры — в прошлом были успешными хакерами. Это требование плюс широкий кругозор, профессиональные амбиции и фанатичная преданность своему делу сегодня стали очень ценными качествами. Кстати, наличие высшего технического образования нужно далеко не всегда.

По мнению Дмитрия Воронова, в вакансиях работодатели требуют, чтобы кибербезопасники обладали большинством навыков, перечисленных в проекте профстандарта - важно уметь анализировать угрозы, проверять защищенность систем и решений, тестировать их на уязвимости, разрабатывать рекомендации и технологии, способные повысить информационную безопасность (web-приложения, инфраструктура, разные системы и продукты).

Как оценил Нeadhunter, заработок специалистов по кибербезопасности составляет от 62 тыс. до 215 тыс. рублей с учетом их квалификации.