Тем не менее, нельзя отрицать, что сегодня информация имеет реальную цену, а утечка конфиденциальных данных приносит не менее реальные убытки. Если же взять ближайших соседей Украины в прицеле развития законодательства относительно защиты персональных данных, получается классическое распределение: в России закон принят давно, но вступил в полную силу лишь в прошлом году, в Белоруссии закона как такового и вовсе нет. Украина же расположилась "меж двух огней". Сам закон "О персональных данных" был принят в стране 1 июня 2010 года и вступил в силу с 1 января 2011-го. Но каково реальное положение дел? Видно, что из года в год интерес со стороны бизнеса к защите информации растет стремительно, но вот покупать украинские бизнесмены не спешат.
Кто с этим будет работать?
Если проанализировать заявки работодателей на специализированных порталах, большинство из них требует от претендентов на вакансию "специалист по информационной безопасности" умения формировать систему информационной безопасности (далее — ИБ) компании, мониторить ее и проводить аудит, анализировать информационные риски, устанавливать и настраивать технические средства защиты информации, обучать и консультировать сотрудников по вопросам обеспечения ИБ, а также составлять нормативно-техническую документацию. Кроме того, даже претенденты на сравнительно невысокий доход должны знать законодательство по ИБ, принципы работы сетей и средства криптозащиты. Как правило, на должности "безопасника" работодатели хотят видеть молодых людей в возрасте от 22 до 30 лет с высшим образованием и знанием английского языка на уровне, достаточном для чтения специализированной литературы.
Но способны ли вузы "выковать" такие кадры к 5-му курсу? По словам независимого эксперта в области ИБ Владимира Безмалого, "выпускники вузов получают очень мало практических знаний, особенно в базовых технологиях, таких как антивирусная защита, DLP, настройка операционных систем с точки зрения ИБ. У большинства студентов подготовка за компьютером — это только игрушки и ничего более. Предметов в ВУЗе дают много, да вот только тех, которые реально нужны — нет, также, как и практики".
Действительно, на первый взгляд набор дисциплин в соответствующих "alma mater" впечатляет:
- безопасность сетей — 150 часов (в ряде специализаций такой дисциплины вообще нет);
- безопасность баз данных — 150 часов;
- основы информационной безопасности — 80 часов;
- теоретические основы компьютерной безопасности — 200 часов;
- организационное обеспечение информационной безопасности — 100 часов (в ряде специализаций количество часов на данную дисциплину сокращено вдвое);
- правовое обеспечение информационной безопасности — 100 часов (в ряде специализаций количество часов на данную дисциплину сокращено или наоборот увеличено вдвое);
- криптографические методы защиты информации — 150 часов;
- технические средства и методы защиты информации — 150 часов (в ряде специализаций количество часов на данную дисциплину сокращается до 100);
- программно-аппаратные средства обеспечения информационной безопасности — 200 часов (в ряде специализаций количество часов на данную дисциплину сокращается до 100);
- комплексное обеспечение информационной безопасности автоматизированных систем — 100 часов.
Вот только если чуть детальнее изучить учебные планы, окажется, что предметы профессиональной направленности составляют от 900 до 1500 часов при общей сумме гуманитарных дисциплин, превышающих планку в 2200 часов. Выводы, как говорится, делайте сами.
Косвенным подтверждением вышесказанного служит малая популярность различных союзов и групп специалистов по информационной безопасности. На сегодняшний день основная концентрация украинских "безопасников" сосредоточена в паре групп в соцсети LinkedIn. Откровенно говоря, в России ситуация не намного лучше. Сообществ больше по количеству, но не по качеству.
Еще одна причина парадоксальной ситуации с защитой данных кроется непосредственно в менталитете. Сергей Борисович Дяченко, подполковник запаса СБУ, бывший сотрудник подразделения по борьбе с киберпреступлениями с 2000 года, так комментирует эту ситуацию:
"На сегодня ситуация с ИБ полностью созвучна нашему национальному славянскому менталитету: „Либо все, либо ничего". В сфере ИБ это проявляется так: либо полное разгильдяйство, либо доведенная до маразма ситуация. Хуже всего — в государственном секторе. Если на обеспечение ИБ и выделяется какой-то бюджет, то лишь по остаточному принципу: руководство не видит реальной выгоды от создания специального отдела ИБ, установки полноценной системы. По крайней мере, до тех пор, пока не столкнется с несколькими (!) серьезными инцидентами. Хотя я наблюдал и пару примеров того, как в бюджетной организации использовались достаточно современные и дорогие решения от Cisco, но при этом админы путали 2-й и 3-й уровни OSI и не могли правильно настроить firewall".
Какие можно из этого сделать выводы? Чтобы получить положительные результаты, необходимо разрушить "порочный круг". Для появления понимания необходимости защиты данных нужны не только законы, но и люди, которые эти законы будут соблюдать. Также нужны специалисты, которые будут понимать, для чего нужны современные средства защиты и как с ними работать. В последствии, эти специалисты, собираясь в профессиональные союзы, смогут помогать дорабатывать и улучшать законодательство, отходя в них от абстрактных фраз к конкретным предписаниям. Хочется верить, что такие времена наступят уже скоро.