Если последние 10 лет вопрос сертификации и образования специалистов по информационной безопасности был понятным и предсказуемым, то буквально за пару лет ситуация в корне поменялась. Международные сертификаты продолжают работать в России, но их актуальность снижается из-за сложности получения. 

Еще одним фактором, повлиявшим на ситуацию, стал Указ Президента Российской Федерации от № 250. Согласно документу для ряда ИБ-специалистов стало обязательным наличие профессионального образования или прохождение профессиональной переподготовки длительностью не менее 360 часов.

Международные сертификаты CISSP, CISA, CISM, CEH все еще высоко ценятся и пользуются признанием в России, но на рынке появляется все больше альтернатив от российских вендоров. Так, есть ряд обучающих программ и сертификаций от компаний  «Лаборатория Касперского», «Positive Technologies», «ИнфоТеКС» и других. 

В этой статье мы расскажем важно ли сегодня ИБ-специалисту в России иметь международный сертификат, какие есть российские альтернативы и, как инициатива регулятора по созданию аналогов зарубежной сертификации может повлиять на рынок. 

Международные сертификаты сейчас

Международные сертификаты это хорошая основа для специалиста по информационной безопасности при трудоустройстве. Их наличие гарантирует более высокую заработную плату, чем у специалистов без сертификатов. 

Но получение международных сертификатов для российских граждан сегодня несет с собой некоторые сложности:

• ограничения доступа к обучающим программам и сертификационным экзаменам из-за санкций и геополитической изоляции;
• отсутствие официальных представительств западных сертификационных организаций в России;
• возможные ограничения на оплату и перевод валюты на территорию других стран.

Максим Головлев

Технический директор iTPROTECT

Популярные на данный момент сертификаты можно разделить на три основных группы. Первая – для сотрудников, отвечающих за управление ИБ, включая CISSP, CISM, CISA и др. Вторая – для специалистов по анализу защищенности, в том числе пентестам, например, OSCP, CEH. Третья – различные сертификаты по практическим решениям от вендоров сетевой безопасности, например CISСO, который имеет собственные сертификаты CCNх, до виртуализации, например AWS Certified Security и различных cloud-провайдеров VMWare STA, т.к. все больше компаний работают с облачными решениями. Эти сертификаты по-прежнему имеют ценность на российском рынке ИБ, и работодатели указывают их в требованиях к соискателям, потому что для получения этих сертификатов требуется длительная подготовка и наличие практического опыта. Также популярность набирают сертификационные экзамены российских ИБ производителей и курсы по направлениям «Безопасность ЗОКИИ», «Аттестация объектов» и «Безопасность финансовых организаций».

Сегодня остаются актуальны многие зарубежные сертификаты. Особенно CISSP сертифицированный специалист по информационной безопасности, ISACA CISA сертифицированный ИТ-аудитор, ISACA CISM сертифицированный менеджер по информационной безопасности). Эксперты считают, что ИБ сертификации в рамках одной страны быть не может, потому что это общемировая практика. Сертификаты должны быть международными. 

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

До сих пор актуальны те же сертификаты в области ИБ, что и год и три и пять лет назад: CISSP, CEH. Конечно, многое зависит от направления работы. Для аудиторов будут актуальны CISA и CISM. Эти зарубежные сертификаты до сих пор не потеряли своей актуальности. Да, тот же самый курс CISSP не ориентирован на особенности ИБ в РФ, но в любом случае он дает очень неплохие знания про общие проблемы в ИБ и способы их решения. Никакой замены этим сертификатам в рамках РФ не будет. Можно придумать множество систем сертификации, но действительно ценными они станут тогда, когда им будут доверять. А это произойдет не раньше чем через 5-10 лет.

Но есть и альтернативное мнение, часть игроков ИТ-рынка считает, что с каждым днем международные сертификаты теряют свою актуальность в России, в силу своего несоответствия запросам рынка и реалиям, а на первый план выходят отечественные обучающие программы и сертификации. 

Алексей  Бегаев

Основатель компании АО «ИНСЕК»

Западные сертификаты в России были популярны лет 10-15 назад, и эта популярность была обусловлена с одной стороны модой, а с другой стороны тем, что сами программы обучения, такие как CISSP/CISM, неплохо систематизированы и дают базовые знания. Мода на зарубежные сертификации в ИБ осталась позади. Для специалиста, работающего в российской организации, не предъявляются требования по наличию зарубежных сертификатов, и нет большого интереса к сертификации в зарубежных системах. Учебные центры по зарубежным программам продолжают обучать в России, однако, по имеющейся у меня информации, экзамены в России не принимают, и выдача зарубежных сертификатов не производится.

Самые востребованные в России сертификации в для ИБ-специалистов сегодня:

• Сертификаты ISC2, Certified Information Systems Security Professional (CISSP) и Certified Cloud Security Professional (CCSP);
• Сертификаты ISACA, Certified Information Systems Auditor (CISA) и Certified Information Security Manager (CISM);
• Сертификаты EC-Council, Certified Ethical Hacker (CEH) и Certified Network Defender (CND);
• Сертификаты CompTIA, Security+ и CySA+;
• Сертификаты GIAC,  GIAC Certified Incident Handler (GCIH) и GIAC Certified Forensic Analyst (GCFA).

Сергей Петренко

Руководитель направления Информационная безопасность Академии Softline

Требования о наличии  сертификатов CISSP, ISACA CISA и ISACA CISM могут встречаться в конкурсной документации на соответствующие проекты в области информационной безопасности, а также в порядка 10% вакансий в 2023 году. Однако с активным курсом на импортонезависимость в нашей стране, более востребованными становятся сертификаты по продуктам и решениям российских вендоров.

Если раньше специалисту по информационной безопасности было не важно в российской, зарубежной или международной компании он планирует работать, так как набор сертификатов, необходимый ему был всегда одинаков, то сегодня сначала придется определиться. Из-за импортозамещения и цифровизации появилась необходимость в построении российской системы сертификации для более актуальной оценки навыков российских ИТ и ИБ-специалистов.

Российская альтернатива

ИБ сертификация ни что иное, как официальное подтверждение навыков специалиста. А подтверждать необходимо именно актуальные для рынка знания и навыки. Сегодня российский рынок информационной безопасности имеет свою специфику и отличается от общемирового. В первую очередь, обновленным в этой части законодательством. 

Вместе с повышенными требованиями регулятор предлагает решения. Так, в конце прошлого года Минцифры сообщило о возможном запуске проекта по сертификации по аналогии с зарубежными ИБ-сертификатами типа CISSP, CompTIA Security+, CCNA Security и другими. 

Кристина Боровикова

Со-учредитель Russian Privacy Professionals Association

На мой взгляд, проект полностью зарубежные сертификаты не заменит, так как до сих пор у нас отсутствуют современные отраслевые требования к специалистам в области ИБ, понятные стандарты и контрольная среда, на которых также базируются сертификации. На развитие бренда и создание доверия к сертификатам уйдет время. К тому же, зачем стремиться что-то заменить? На мой взгляд, важно представить мощный аналог, а уже кандидат сам примет решение о количестве сертификаций.

Виктор Гулевич

Директор центра компетенций по информационной безопасности Т1 Интеграция

Проект по сертификации в России по аналогии с зарубежными ИБ-сертификатами может быть важным шагом для развития отечественной системы сертификации. Проект сможет частично заменить зарубежные сертификаты. Неполная замена связана с их широким признанием и долгой историей, а также с тем, что они разрабатываются и поддерживаются международными организациями, имеющими широкие ресурсы и опыт. Однако проект по сертификации в России может способствовать развитию местных специалистов в области информационной безопасности и повысить их уровень квалификации. 

Эксперты считают, что  отечественные сертификации окажутся полезными для карьеры ИБ-специалиста именно в России. Особенно, учитывая сложную ситуацию с получением и актуализацией зарубежных документов. Однако, для тех, кто планирует в будущем работать в международных компаниях, западные сертификации по прежнему будут незаменимы.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Проект по созданию национальной системы сертификации ИБ-специалистов потенциально может частично заменить зарубежные сертификаты, предлагая аналоги, более адаптированные к российским условиям и законодательству. Однако полная замена возможна, но спустя какое-то время, ведь международные сертификаты имеют широкое признание и считаются «золотым стандартом» в отрасли, обеспечивая профессиональное признание за её пределами, а также многие международные компании и организации требуют сертификаты, соответствующие установленным международным стандартам, таким как ISO/IEC.

Сергей Петренко

Руководитель направления Информационная безопасность Академии Softline

Востребованы сертификаты по информационной безопасности отечественного программного обеспечения, в частности ОС Astra Linux, СУБД Postgres Pro, РЕД ОС и др. В самое ближайшее время следует ожидать спрос на специалистов по безопасности сквозных информационных технологий. В первую очередь, в сфере безопасности искусственного интеллекта с технологиями сбора и обработки больших данных (AI+Big Data+ETL), а также по квантовой и постквантовой криптографии.

Отдельно стоит сказать о специалистах «красных» и «синих» команд. Например, уровень исследователя информационной безопасности можно определить по его положению в таблицах багбаунти-программ.

Нина Шипкова

Руководитель Академии кибербезопасности, Innostage

На данный момент нет сертификаций, способных составить достойную конкуренцию существующим западным. 

Но если работодатель хочет убедиться в знаниях и навыках кандидата, то альтернативой сертификациям может стать система рейтингования специалистов по информационной безопасности. Особенно это касается специалистов так называемой наступательной (red team) и оборонительной безопасности (blue team). Этого можно добиться с помощью введения общего подхода оценки эффективности сотрудников путём их участия в киберучениях и кибербитвах.

Из-за новых законодательных требования, введенных Указом Президента №250, приобрели особую актуальность удостоверения о повышении квалификации в области информационной безопасности и о профессиональной переподготовке. Особенно важны такие учебные курсы для руководителей по линии ИБ в компаниях, связанных с критической инфраструктурой. Вузы уже подготовили соответствующие программы, по результатам прохождениях которых, после экзаменов, выдается соответствующее удостоверение государственного образца. 

Выводы

Сегодня специалисту по информационной безопасности в России прежде всего необходимо определиться планирует ли он работать только в отечественной компании, выходить на международный рынок или работать исключительно в с зарубежными клиентами. 

В первом случае стоит сделать упор на российские обучающие программы и сертификации, которых с каждым днем появляется все больше. Кроме того, важно будет пройти курсы профессиональной переподготовки по направлению ИБ, на перспективу работы в должности руководителя.

Во втором случае необходимо ориентироваться и на российский рынок, на котором в скором времени будут свои, специфические требования к знаниям ИБ-специалиста и на международной, где по прежнему котируются  знакомые годами сертификации.