Бражников Александр
председатель (Некоммерческое партнёрство «Союз защитников информации»)
Разработка профессиональных квалификационных стандартов для специалистов по информационной безопасности будет вестись совместно со всеми участниками отрасли
Пресловутый «кадровый голод», дефицит квалифицированных кадров, во многом коренится в отсутствии проработанных критериев профессионального соответствия специалиста различным должностям, в том числе в обеспечении информационной безопасности. Устранить этот пробел, от которого страдают и работодатели, и работники, должны разработка и принятие профессиональных стандартов для различных отраслей и специальностей.
УСТАРЕВШАЯ КЛАССИФИКАЦИЯ
Проблема, которую предстоит решить разработкой профессиональных стандартов, – это отсутствие актуальной классификации качества трудовых ресурсов по отраслям. В том числе и в обеспечении информационной безопасности, в частности – банков и платёжных систем. Отсюда и частые нестыковки образовательных программ вузов с потребностями рынка труда, которые приходится устранять по ходу дела, в рамках практической работы, или с повышением квалификации работников – поствузовским дополнительным образованием.
Насущная потребность в профессиональных стандартах в сфере информационной безопасности созрела исторически и является следствием предшествовавшей классификации трудовых ресурсов. Достаточно вспомнить такие документы как ЕКСД (Единый квалификационный справочник должностей руководителей, специалистов и служащих) или ОКПДТР (Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов). На примере истории последнего документа, представляющего собой список всех существующих в стране трудовых позиций, особенно ярко видно отставание государственных классификаторов от реальной ситуации в отечественной сфере образования и на рынке труда.
Почти 20 лет назад, 26 декабря 1994 года постановлением № 367 Комитета Российской Федерации по стандартизации, метрологии и сертификации был принят ОКПДТР, введённый в действие 1 января 1996 года. Этот документ пришёл на смену общесоюзному классификатору 1986 года, определив все возможные на то время виды профессиональной деятельности в отечественной экономике.
В последующие годы, по мере появления новых видов деятельности, в особенности IT-сферы, ОКПДТР дополнялся и обновлялся – 23 декабря 1996 года, 10 июня 1999 года, 29 декабря 2003 года, в мае 2004 года и в июне 2007 года. Однако его основная структура и назначение оставались неизменными. Наделённый нормативным статусом, классификатор использовался при расчёте заработной платы и начислении пенсий. С ориентацией на классификатор разрабатывались образовательные программы: профессиональные училища и вузы выпускали дипломированных специалистов с квалификацией, которая чётко соотносилась с конкретными строчками и кодами ОКПДТР.
Этот классификатор являлся государственным нормативным документом, разработанным практически без привлечения участников рынка труда, и закономерным следствием этого подхода стали нестыковки с реальными потребностями экономики. Классификатор часто не поспевал за меняющимися потребностями рынка в специалистах новых направлений, не давал практических критериев оценки трудовых ресурсов. По ОКПДТР можно было лишь приблизительно определить качества работника как специалиста – учесть «бумажные» трудовые способности сотрудника, которыми он должен располагать согласно имеющимся у него документам об образовании.
В целом старая система классификации труда функционировала, но в наиболее динамично развивающихся отраслях работодатели часто сталкивались с её недостатками. В первую очередь – в компаниях, работающих в сфере и с использованием информационно-коммуникационных технологий. Наиболее распространёнными были жалобы работодателей, которые, приняв на высокооплачиваемую должность в подразделение информационной безопасности выпускника вуза, отучившегося по этой специальности на «красный» диплом, не получали от него ожидаемой отдачи.
Порой оказывалось, что вчерашний выпускник совершенно не обладал необходимыми для работы на этой должности навыками, опытом, и даже представления не имел о большинстве должностных обязанностей. Этим профессиональным багажом молодому специалисту приходилось овладевать уже на рабочем месте на страх и риск работодателя, до первой серьёзной «осечки» или проверки государственного регулятора. Винить в недостаточной подготовке преподавателей вузов было нельзя, так как их образовательные стандарты и программы создавались с ориентацией на всё тот же ОКПДТР.
Неоправдано было бы предъявлять претензии и к кадровикам компаний. Чтобы определить квалификацию претендента на рабочее место в такой специфической сфере, как информационная безопасность, кадровик сам должен в ней хорошо разбираться. А это, конечно, встречается довольно редко. Прежняя система классификации трудовых ресурсов не давала кадровикам чётких критериев для определения квалификации специалистов в таких новых профессиях, как обеспечение информационной безопасности.
Выходили из трудного положения по-разному. В некоторых компаниях для кадровиков готовили список вопросов, ответы кандидата на которые помогали определить его способность решать реальные задачи службы информационной безопасности. Слишком общие критерии ОКПДТР, разработанного во времена низкого уровня развития рыночных отношений, изобилие разнообразных образовательных сертификатов, ограниченные возможности процедуры собеседования с кандидатом на рабочее место – все эти факторы существенно затрудняли выявление того, насколько претендент соответствует будущей работе.
КРИТЕРИИ КОМПЕТЕНТОСТИ
Импульсом к решению назревшей проблемы критериев стало резкое увеличение потребности рынка в специалистах по информационной безопасности. Скачок спроса стал следствием вступления в силу федерального закона №152 от 27 июля 2006 года «О персональных данных». Информационные технологии в наше время распространились почти повсеместно, а потому выполнять требования закона защищать персональные данные пришлось, пожалуй, большинству частных компаний и государственных учреждений разного профиля.
Профессионалы информационной безопасности оказались востребованными в образовании, здравоохранении, связи и многих других отраслях. В финансовой сфере вопрос защиты информации всегда был одним из важнейших, включая охрану банковской тайны, бесперебойную работу автоматизированных информационных систем и безопасность клиентских удалённых сервисов. К традиционным сферам ответственности добавилась защита персональных данных, увеличив нагрузку подразделений информационной безопасности банков.
Увеличение количества вакансий профессионалов информационной безопасности актуализировало задачу чётко дифференцировать кадры, напрямую поставив вопрос о критериях оценки соответствия их компетенций тому, чего требует практика. Решение этого вопроса уже готовилось: с 2010 года в России была начата реформа системы классификации трудовых ресурсов.
Роль главного драйвера преобразований была отведена профессиональным квалификационным стандартам. Разработка отраслевых профессиональных стандартов – методологически новый подход к решению кадровой проблемы. В определённой степени это веяние времени, подобно тому, как на смену государственным стандартам, обязательным для выполнения, приходят рекомендательные нормы.
В августе 2010 года Президент России Дмитрий Медведев поручил Правительству России приступить к разработке профессиональных квалификационных стандартов, тесно взаимодействуя с государственными компаниями, объединениями работодателей, саморегулируемыми организациями и исследовательскими центрами. Среди отраслей и видов профессиональной деятельности, требующих срочной разработки квалификационных стандартов, были указаны стратегические компьютерные технологии, программное обеспечение и телекоммуникации.
Министерство труда и социальной защиты РФ было уполномочено организовать разработку профессиональных квалификационных стандартов. В 2011–2012 годах ведомство сформировало нормативную и методическую базу для проведения работы, а также план разработки профессиональных стандартов для различных отраслей до 2015 года. Были подготовлены и федеральным законом № 236 от 3 декабря 2012 года приняты поправки в Трудовой кодекс РФ, составлен макет профессиональных стандартов, чётко дифференцированы уровни квалификации.
В настоящий момент установлен следующий порядок разработки и принятия профессиональных стандартов. Рабочая группа, разрабатывающая стандарт того или иного вида профессиональной деятельности, направляет заявку в Минтруд России о начале своей работы. Далее группа совместно с экспертами, представляющими разных участников отрасли, готовит проект профессионального стандарта.
Этот документ поступает в Минтруд России, далеее его направляет на экспертизу в отраслевые ведомства и экспертный совет, а также выставляют на общественное обсуждение на сайте в интернете. Так, проект профессиональных стандартов специалистов по информационной безопасности должен оцениваться специалистами отраслевых государственных регуляторов – ФСБ России, ФСТЭК России и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).
По результатам проверки эксперты либо одобряют проект, либо, суммируя замечания, возвращают рабочей группе для доработки. Когда проект безоговорочно принимается экспертами, Минтруд России утверждает его приказом, а затем документ направляется на регистрацию в Министерство юстиции Российской Федерации.
После регистрации профессионального стандарта предстоит его интеграция в отраслевую нормативно-правовую базу, внесение соответствующих изменений в «смежные» документы – стандарты отраслевые и образовательные. Далее дело – за участниками отрасли, принимать и выполнять нормативы профессионального стандарта. Предусмотрены и механизмы «обратной связи»: по заявкам работодателей профессиональные стандарты будут дорабатываться, проходя все процедуры – подготовку, обсуждение, согласование и утверждение.
КАЧЕСТВУ ОБРАЗОВАНИЯ – НОВУЮ ПЛАНКУ
Нормы профессиональных стандартов в отраслях информационных технологий и информационной безопасности, несомненно, будут учитываться в нормативных актах государственных регуляторов и условиях лицензирования. Сегодня для получения лицензии на защиту конфиденциальной информации организации требуется наличие и специального оборудования, и нормативных документов, и штатных специалистов. Но ключевой фактор здесь – именно специалисты. Именно они способны правильно подобрать, настроить оборудование и работать с ним, разрабатывать нормативные документы и выполнять их положения.
Критерии профессиональных стандартов позволят объективно оценивать квалификацию специалистов, находящихся в штате организации. Государственные регуляторы, естественно, будут обращать внимание уже не только на формальное наличие профильного высшего образования у сотрудников подразделения информационной безопасности. Важным критерием станет компетентность сотрудника в выполняемой работе – то, насколько он действительно способен обеспечить защиту информационных систем.
Нормы профессиональных стандартов в самом близком будущем обязательно будут интегрированы в отраслевые нормативные документы. Профессиональные стандарты специалистов по информационной безопасности будут востребованы не только IT-компаниями или банками. Любые компании и организации – школы, больницы, предприятия связи и другие, где обрабатываются персональные данные, – принимая на работу специалистов, смогут при помощи профессионального стандарта чётко понять, достаточен ли уровень квалификации претендента.
Появление профессиональных стандартов задаст новую планку качеству образования, в том числе при обучении защите информации и информационной безопасности. В соответствии с конкретными квалификационными требованиями разработчики будут актуализировать как образовательные стандарты, так и учебные программы вузов и учебных учреждений среднего профессионального образования.
Чтобы отраслевой профессиональный стандарт был не декларативным, а рабочим инструментом, его нормы будут немногочисленными, скорее всего ограничиваясь 10-15 основными позициями. Среди них будут образование, опыт работы, способность руководить коллективом. Эти общие позиции должны дополняться и детализированными, специальными, в зависимости от отрасли.
Профессиональные стандарты чётко выстраивают иерархию уровней квалификации специалистов по информационной безопасности. Кроме точного определения уровня способностей сотрудника, профессиональные стандарты могут служить рекомендацией того, как повышать свою квалификацию, чтобы достигнуть более высокого уровня. Послевузовские образовательные курсы и практические навыки будут соотноситься с различными квалификационными ступенями на пути карьерного роста.
МАКСИМАЛЬНО ПРЕДСТАВИТЕЛЬНОЕ УЧАСТИЕ
В настоящий момент перед рабочей группой, разрабатывающей профессиональные стандарты, стоит задача создать общую «матрицу» профессиональных стандартов. Что означает сформулировать ориентир, на основании которого будут разрабатываться отраслевые и более узкоспециализированные профессиональные стандарты. Ключевая особенность нового подхода, перехода от государственного классификатора к разработке профессиональных стандартов, заключается в том, что он ориентирован на рынок, на реальные потребности компаний в специалистах.
Речь идёт о стандартах, которые носят не директивный, а рекомендательный характер. И не создаются «наверху», чтобы «спускаться вниз», а разрабатываются с участием всех представителей отрасли. Тем самым предполагается высокий уровень самоорганизации отрасли, порядок постоянного взаимодействия её субъектов, устоявшиеся правила ведения профессиональной деятельности.
Было бы правильно, если бы в разработке профессиональных стандартов для отрасли компьютерных технологий изначально участвовали представители компаний, специализирующихся на информационной безопасности. А также – сотрудники подразделений информационной безопасности банков.
Вначале их практический опыт и видение проблематики пригодились бы для создания эффективных профессиональных стандартов отрасли компьютерных технологий. Позднее опыт взаимодействия в рабочей группе Минтруда России сослужит им хорошую службу при разработке более узких профессиональных стандартов, – для специалистов по информационной безопасности собственно банков и платёжных систем.
Профессиональные стандарты должны создаваться именно так, с участием лучших экспертов, представляющих разные субъекты отрасли. Тогда критерии компетентности специалистов будут прекрасным подспорьем для кадровиков, подбирающих специалистов на рынке труда.
В настоящий момент в рабочую группу Минтруда России, которая готовит единые профессиональные стандарты, входят представители образовательных учреждений Москвы и Московской области и эксперты из различных отраслей. Ближайшие планы таковы: «эскизы» профессиональных стандартов одобрены, и в течение лета 2013 года с ними будут ознакомлены представители разных отраслей – государственные регуляторы, общественные и саморегулируемые организации, а также экспертные сообщества.
Собирать и обрабатывать предложения и рекомендации рабочая группа Минтруда России будет до сентября включительно. На октябрь – ноябрь планируется общероссийское слушание с участием всех заинтересованных сторон, включая учебно-методическое объединение вузов, обучающих по специальностям в сфере информационной безопасности и защиты информации.
После аккумулирования и сведения воедино всех предложений, в декабре документы должны быть переданы в Минтруд России, а затем рассмотрены государственными регуляторами и экспертным советом по профессиональным стандартам при Минтруде России. После прохождения этих инстанций, согласно установленной процедуре, профессиональные стандарты будут утверждены и зарегистрированы в Минюсте России.
При успешном выполнении плана в намеченные сроки, если базовые профессиональные стандарты будут приняты, с начала 2014 года предстоит их детализировать для более узких отраслей и специальностей. А также разрабатывать конкретику, в частности, методику оценки и подтверждения квалификации специалистов.
Максимально представительный круг участников – залог успеха разработки профессиональных стандартов, а также надёжная гарантия того, что их практическое применение будет проходить наиболее эффективно. Государство крайне заинтересовано в успехе этого начинания и обещает всяческую поддержку разработчикам профессиональных стандартов для государственного сектора и приоритетных сфер экономики. Напомним, что среди самых важных отраслей – высокотехнологичные и те, что связаны с использованием информационных технологий.
Государственная поддержка не отменяет, а напротив, придаёт особую значимость широкому участию экспертов и участников рынка в разработке профессиональных стандартов. К сотрудничеству с рабочей группой Минтруда России приглашаются все участники отрасли обеспечения информационной безопасности, заинтересованные в стратегическом обеспечении её квалифицированными кадрами. И компании – разработчики и поставщики решений, интеграторы, и представители банковского сообщества.
Профессиональные стандарты, идущие на смену устаревшим классификаторам профессий, призваны реформировать систему воспроизводства трудовых ресурсов в обеспечении информационной безопасности. Создаваемые при непосредственном участии всех заинтересованных сторон, они должны стать эффективным инструментом удовлетворения кадровых потребностей отрасли.
Источник: BIS-Journal http://www.journal.ib-bank.ru/