Если говорить про профессиональную подготовку консультантов и аудиторов по ИБ, то, как таковой ее сегодня в ВУЗах нет. В настоящий момент специалистами в этой области становятся либо профессионалы по ИБ, либо юристы, которые работали в области ИБ (если речь идет о комплаенсе и аудите). Консультанты по ИБ – это в прошлом специалисты по ИБ, которые ранее работали в организациях, иногда нескольких различных отраслей, а затем решили, что хотят развиваться в качестве внешнего консультанта.
Что касается проведения технического аудита, пентестов, анализа защищённости и уязвимости ПО, то тут также отсутствую образовательные программы. В этом направлении обычно работают бывшие специалисты по ИБ, разработчики. Разница в обучении специалистов по ИБ и специалистов по комплаенсу и аудиту, на мой взгляд, есть. Не достаточно просто изучить регуляторику или базовые понятия из информационной безопасности. Нужно понимать процессы, то, как они реализуются на практике, как их внедрять и оптимизировать.
Помимо базовых знаний необходимы специфические знания по проведению аудитов: более глубокое погружение в регуляторику, знание федеральных законов, постановлений Правительства, регулирующих документв от ФСТЭК России, ФСБ, Минцифры, Роскомнадзора и Банка России.
Также нужно понимать сами процессы аудита и их этапы. На данный момент в России нет ГОСТа, который бы закрепил фреймворк, как проводить аудиты. Поэтому можно ориентироваться, в том числе на международные практики.
Что касается образования по аудиту, то, на мой взгляд, оно нужно. И, надеюсь, что в ближайшее время появится такой образовательный профиль для ИБ-специалистов. Что касается высшего образования, то всё зависит от появления образовательного стандарта.
В прошлом году уже появились профессиональные стандарты для аудиторов финансовой отрасли и на их основе должны быть созданы как раз образовательные стандарты.
На данный момент ассоциация АБИСС разрабатывает курсы для Академии информационных систем по разъяснению регуляторики. Мы стремимся объяснить простым языком законодательные акты, написанные сложным языком с большим количеством технических и юридических деталей, объяснениям, что регуляторы хотят от компаний на самом деле. В частности, в Академии информационных систем уже давно идет курс на тему ГОСТ 57580.1.2. В этом году мы разрабатываем курс по ГОСТ 57580.3.4, который регулирует управление рисками по обеспечению операционной надежности.
Что касается консалтинга, то здесь дополнительного образования не может быть. Консультант – это специалист, который прошел очень много проектов и имеет большой объем экспертизы оп разным ИБ-вопросам. Т. е. лучше говорить об образовании, которое связано с аудитов – compliance.
Если говорить о техническом аудите (пентестах и анализе уязвимости) – это отдельная история, которой занимается ФСТЭК России.