Компетентностная модель специалиста по специальности компьютерная безопасность

Компетентностая модель — это попытка создания наиболее адекватной модели специалиста, которая бы учитывала потребности рынка в специалистах по компьютерной (информационной) безопасности, требования предъявляемые предприятиями к таким сотрудникам, а также возможности самого высшего учебного заведения по подготовке таких специалистов.

Следуя основному постулату управления о том, что мы не можем управлять тем, что мы не можем измерить, необходимо создать условия управления подготовкой специалистов по специальности компьютерная безопасность. Основной вопрос или цель, которая ставится в настоящей работе – это создание наиболее адекватной компетентностной модели специалиста, которая бы учитывала потребности рынка в таких специалистах, требования предъявляемые предприятиями к таким сотрудникам, а также возможности самого высшего учебного заведения по подготовке таких специалистов.
Кроме этого необходимо учесть передовой отечественный и зарубежный опыт в сфере информационных технологий, психологии и подбору персонала. Ибо большей частью специалист по компьютерной безопасности будет сталкиваться с работой современных информационных систем, а также препятствовать недобросовестным людям завладеть информацией, составляющей коммерческую ценность.
Настоящая работа разделена на три главы. В первой главе даётся понимание того, что считать компетенцией, что считать компетентностной моделью, какие методы используются на практике для создания качественной компетентностной модели специалиста.
Во второй главе приводится описание компетентностной модели, которая была составлена в результате анализа, классификации и обобщения материала ассоциации предприятий компьютерных и информационных технологий (АПКИТ) по стандарту ГОС ВПО третьего поколения для специальностей, связанных с информационными технологиями, а также компетентностей, которые указывает ОАО «Связьинвест» для специалистов по информационной и экономической безопасности. Важно отметить, что АПКИТ при создании компетентностных моделей использовала опыт таких компаний как ABBYY, Intel, Microsoft, Motorola, IBM, Oracle, 1C, EMC, Sun, Cisco, Luxoft, Лаборатория Касперского, которые являются лидерами в индустрии информационных технологий и их требования к подготовке специалистов основываются на реальных потребностях этого рынка.
В третьей главе даётся обобщение получившейся модели специалиста и оценка существующего уровня подготовки специалистов по специальности компьютерная безопасность на соответствие разработанной модели. Кроме того, указывается дальнейшие пути по улучшению самой компетентностной модели и усовершенствованию учебного процесса.

Компетенция – это определённая характеристика личности, необходимая для выполнения определённых работ и позволяющая её обладателю получать необходимые результаты работы.
Компетентность – это способность индивидуума, обладающего личной характеристикой для решения рабочих задач, получать необходимые результаты работы.
Иными словами, компетенция – это требуемый для определённой деятельности стандарт поведения, а компетентность – уровень владения этим стандартом поведения, то есть конечный результат его применения.
Ключевые компетенции – набор компетенций, позволяющий работнику выполнять свои профессиональные должностные обязанности максимально эффективно.
ЗУН – знания, умения, навыки.
ПВК – профессионально важные качества: индивидуальные качества субъекта деятельности, влияющие на эффективность деятельности и успешность её освоения. «Профессионально важные качества – это качества, важные для профессии, безотносительно к той или иной компании».
Модель компетенций – структурированный набор необходимых, идентифицируемых и измеряемых компетенций с индикаторами поведения.
Индикаторы поведения – это стандарты поведения, которые соответствуют эффективным действиям человека, обладающего конкретной компетенцией. При этом, как правило, объектом являются проявления высокого уровня компетенции.
Кластеры компетенций – это набор компетенций (обычно от двух до пяти), связанных между собой в единый смысловой блок. Чаще всего в моделях выделяют такие кластеры, как: интеллектуальная (мыслительная) деятельность, достижение результата, работа с людьми, работа с информацией.

___

Говоря о видах компетенций, следует отметить два существенных момента:
— видовое разнообразие компетенций в условиях отсутствия стандартов;
— существование нескольких классификаций, то есть видовое разнообразие (единой классификации видов компетенций не существует, есть много различных классификаций по разным основаниям.

Кроме того, не следует забывать, что компетенция должна быть измеряема. То есть вводя компетенцию, необходимо проверять её на возможность оценки. Это важно помнить именно при разработке модели компетенций, т.к. часто велик соблазн в их число включить личностные качества социального характера.

СТРУКТУРА КОМПЕТЕНЦИЙ

Структура компетенций служит основой для разработки модели компетенций. О том, что собой представляет модель компетенций, мы поговорим далее.
А теперь о собственной структуре компетенций — о том, из каких элементов состоят компетенции и что собой эти элементы представляют, см. табл. 1.
Из таблицы мы видим, что структура компетенции достаточно сложна, включает множество элементов, комбинация которых и делает, собственно, компетенцию тем универсальным инструментом, о котором мы ведем речь. Из представленной структуры становится понятно, почему под компетенцией нельзя рассматривать только ЗУН или ПВК, которые являются лишь элементом компетенции.

Необходимо отметить, что в теории и практике построения модели компетенций существуют различные виды структуры компетенций. Например, активно используется, так называемая ПУСК — полная универсальная структура компетенций (см. рис. 1).
Кроме того, многие не используют готовых разработок, принципиально идут своим путем и разрабатывают собственные структуры компетенций. Это оправдано и эффективно лишь в том случае, если разработкой модели занимаются опытные специалисты, так как для начинающих разработчиков эта задача либо не по силам, либо грозит созданием некорректной и неэффективно работающей структуры компетенций.

Модель компетенций
Модель — это логическое описание компонентов и функций, отображающих существенные свойства моделируемого объекта.
Модель компетенций — это логическое описание элементов и функций компетенций. Модель компетенций содержит детальное описание стандартов поведения человека, занимающего конкретную должность, ведущих к достижению должностных целей.

Как уже стало понятно из всего сказанного выше, в содержание модели компетенций включаются:
— полный набор компетенций и индикаторов поведения;
-описание стандартов поведения или стандартов действий, ведущих к выполнению поставленных задач и достижению целей;
— уровни компетенций (если они предусмотрены и применяются).

Качественное содержание модели должно отвечать следующим критериям:
1. Соответствие стратегическим целям отрасли. Это означает, что разрабатываемые компетенции должны способствовать дальнейшей деятельности выпускников в различных компаниях в профильной отрасли, направленной на достижение именно данных целей, а не включать весь мыслимый и немыслимый набор возможных компетенций.
2. Полезность для всех, кто участвует в ее эксплуатации (специалисты различных компаний, использующие модель в качестве инструмента, преподаватели). 3. Оптимальный набор элементов модели, отсутствие повторений и пересечений.
4. Измеряемость компетенций и наличие системы учета ожидаемых изменений.

5. Простота и прозрачность модели компетенций. Очень важным моментом содержания модели компетенций является ее объем. Некоторые умудряются разработать настолько объемную модель, что ее описание представляет собой увесистый том с многостраничным пространным описанием сотни компетенций и множественными примерами.

Модель компетенций может быть упрощенной (без уровней компетенций) и более сложной (с уровнями). Простая модель «Компетенции без уровня» содержит лишь основные стандарты поведения и, как правило, одинаковый для всех набор поведенческих индикаторов. При этом не учитываются уровни подготовки. Модель компетенций может содержать так называемые уровни компетенции и позволяет охватить более широкий спектр уровней подготовки студентов и учесть различные нюансы. И такую модель называют «Компетенции по уровням». В этом случае индикаторы поведения для одних и тех же специальностей, относящихся к разным уровням, будут различными. Например, для администратора и управляющего вполне могут совпадать некоторые компетенции, но уровень их проявления — разный, в зависимости от уровня полномочий и ответственности.
Структура модели компетенций наглядно демонстрируется схематичным изображением. В качестве примера ниже приводится схема так называемой форматно-кластерной модели компетенций (см. рис. 2).

Профиль компетенций
Профиль компетенций, по сути, представляет собой набор компетенций, которыми должен обладать работник, соответствующий занимаемой должности, либо выпускник специальности, соответствующий требованиям к выпускникам ВУЗа. Но это не просто набор, а перечень, включающий необходимый уровень развития каждой компетенции для конкретной специальности/должности. Профиль компетенций чаще всего составляют в виде диаграммы, позволяющей наглядно проиллюстрировать необходимый уровень. После оценки имеющегося у работника уровня компетенций диаграммы сравнивают. Становятся очевидными расхождения требуемого уровня и действительного. Разница между ними — это и есть область обучения и развития работника.

Источники [2], близкие к министерству образования и науки Российской федерации предлагают изначально классифицировать компетенции выпускников по двум большим группам:

• Общие компетенции (универсальные, ключевые, надпрофессиональные);
• Предметно-специализированные компетенции (профессиональные).

была найдена интересная статья С. М. Авдошина [4]. В статье автор обобщает опыт, полученный при работе в проекте разработки информационных стандартов для отрасли информационных технологий [5]. Так вот, этот проект осуществлялся под эгидой ассоциации предприятий компьютерных и информационных технологий (АПКИТ) и на сайте [6] этой ассоциации в свободном доступе имеются следующие компетентностные модели специалистов:
1. Программист;
2. Системный архитектор;
3. Специалист по информационным системам;
4. Системный аналитик;
5. Специалист по системному администрированию;
6. Менеджер информационных технологий;
7. Администратор баз данных.

Для чего нам необходимы все эти, на первый взгляд, не относящиеся к делу, компетенции? Дело в том, что в основе компьютерной и информационной безопасности лежит постулат о том, что успех в области безопасности может принести только комплексный подход. Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий, для успешного усвоения которой важно с самого начала усвоить современный, согласованный с другими ветвями информационных технологий базис [7]. Т.е. все вышеперечисленные компетенции в области информационных технологий необходимы в качестве базиса для построения качественной разносторонней компетентностной модели специалиста по компьютерной безопасности.

Созданные АПКИТ компетентностые модели подразделяются на квалификационные уровни от самого нижнего уровня 1 (помощник системного администратора, оператор персонального компьютера) до самого верхнего уровня 8 (менеджер по информационным технологиям, имеющий учёную степень и опыт работы в руководящей должности не менее 5 лет). Кроме того по этим квалификационным уровням компетентностные модели, предложенные АПКИТ, подразделяют подготовку бакалавров, специалистов и магистров.
Согласно действующему в настоящее время стандарту ВПО для специальности «Компьютерная безопасность» [8]: «Нормативный срок освоения основной образовательной программы подготовки специалиста по защите информации по специальности 075200 – компьютерная безопасность при очной форме обучения составляет 5 лет 6 месяцев». Т.е. студенты проходят 6 курсов обучения, поэтому по некоторым компетентностным моделям, разработанным в АПКИТ можно брать за основу квалификационные уровни магистров.

Исходя из вышесказанного, выберем следующие квалификационные уровни:
1. Программист – 3 квалификационный уровень;
2. Системный архитектор – 4 квалификационный уровень;
3. Специалист по информационным системам – 3 квалификационный уровень;
4. Системный аналитик – 3 квалификационный уровень;
5. Специалист по системному администрированию – 5 квалификационный уровень;
6. Менеджер информационных технологий – 4 квалификационный уровень;
7. Администратор баз данных – 4 квалификационный уровень.

Итак, если просто объединить методом сложения те умения и навыки, которые соответствуют приведённому выше списку, то получится более 2000 позиций, содержащих умения и навыки, причём они будут повторяться, т.к. речь идёт об одной отрасли. Если выделить только уникальные умения и навыки, свойственные для всех вышеописанных базисных компетентностых моделей из области информационных технологий, то получится 673 уникальных умения и навыки, которые специалисты из АПКИТ посчитали необходимыми для внесения в стандарт подготовки специалистов соответствующих профилей.
Но со списком из более, чем шестисот умений и навыков (не считая знания) достаточно проблематично работать в силу специфики восприятия информации человеческим мозгом [9], то необходимо как-то классифицировать эти умения и навыки, чтобы уменьшить сложность и трудоёмкость работы по созданию компетентностной модели.
Следуя методологии объектно-ориентированного анализа и проектирования [10], для того, чтобы модель специалиста выглядела как модель, а не как груда трудночитаемых и трудноразличимых компетенций на основе умений и навыков. Необходимо произвести классификацию компетенций. Поскольку не существует методов создания идеальной классификации, то придётся опираться на собственную интуицию и опыт.
Первое, что приходит на ум – это следующая классификация:
подразделение первое (предметное)
1. Математика;
2. Физика;
3. Информационные технологии;
4. Экономика и руководящие документы;
5. Безопасность в широком смысле.

Но чем это отличается от ГОС ВПО 2 поколения, в котором идёт именно знаниевая модель. Пожалуй, ничем. Поэтому лучше предложить классификацию на основе умений и навыков, но не знаний. Знания в модели должны находиться в симбиозе с умениями и навыками.

Предлагается следующая первоначальная классификация компетенций:
1. Документы и стандарты (мировые и отечественные стандарты по информационным технологиям, защите информации, санитарной и пожарной безопасности, ГО ЧС, стандарты качества, федеральные законы, КЗОТ, руководящие документы ФСТЭК, прочие нормативно-правовые акты, внутренняя и проектная документация)
2. Личностно деловые качества и мотивация (способности, саморазвитие, устойчивость к стрессам, способность мобилизовать свои силы в короткий отведённый промежуток времени, умение убеждать, умение слушать, умение подчинять себе толпу, нацеленность на результат, высокий уровень самомотивации)
3. Программирование (языки программирование, процесс создания ПО, методы обеспечения качества программных продуктов, инспекции и т.д. и т.п.)
4. Операционные системы, компьютеры и сети (идеология, архитектура, проектирование, внедрение и сопровождение)
5. Базы данных (создание, администрирование, защита)
6. Системный анализ и управление (анализ любых информационных систем, бизнес процессов, управление инфраструктурой)
7. Работа с людьми (взаимодействие с заказчиками, управление персоналом, взаимодействие с пользователями, работа с разрешающими и уполномоченными органами, работа с представителями власти)
8. Экономическая безопасность (экономика, основы бухучёта и аудита, формы собственности, интересы криминала, физическая безопасность объектов, организация режима безопасности на предприятии, понимание взаимодействия всех структур компании, умение проводить служебные расследования, взаимодействие с МВД, ФСБ и прочими силовыми структурами, понимание основ бизнес аналитики, основы психологии)
9. Инструментальный контроль (предотвращение утечки информации по физическим полям, обнаружение закладок и жучков, проверка оборудования на предмет наличия в нём посторонних закладных устройств)
10. Информационная безопасность (шифрование, VPN, FireWall, Antivirus, IDS, СКУД, пароли, восстановление данных, политики безопасности).

Для того, чтобы связать модель с реальностью, необходимо произвести эксперимент на реальных людях, который количественно покажет качество соответствия отдельного человека принятой модели компетенций. Существует достаточно большое количество методов, позволяющих произвести оценку компетенций. Наиболее полные и широко распространёнными методами оценки компетенций являются методы Assessment Center [12] и методика 360 градусов.
Эти методы достаточно сложные и требуют достаточно больших людских и финансовых ресурсов, поэтому их применяют в основном только в крупных компаниях. В рамках настоящей работы эти методы не будут применяться в связи с жёсткими временными ограничениями. Хотя для качественной и количественной оценки модели их применение обязательно.

Идеальный специалист по компьютерной безопасности.
В результате проделанной работы получилось 67 компетенций:
1. Проектные документы
2. Технические задания
3. Отчёты
4. Технологическая документация
5. Согласование документации
6. Внесение изменений в документы
7. Проверка документов
8. Государственные и отраслевые стандарты
9. Прочие нормативно-правовые акты
10. Использование документации
11. Работа в команде
12. Самоконтроль и ответственность
13. Умение правильно читать
14. Саморазвитие
15. Навыки публичных выступлений
16. Языки программирования
17. Понимание процесса и методов создания ПО
18. Обеспечение качества и безопасности создаваемого ПО
19. Контроль текущего состояния ПО
20. Установка и настройка ПО
21. Модернизация ПО
22. Фиксация событий и документирование различных процедур, связанных с работой оборудования
23. Устранение неполадок в оборудовании
24. Эксплуатация оборудования
25. Контроль и мониторинг состояния ИСиС
26. Эксплуатация и сопровождение ИСиС
27. Выявление и устранение причин неисправности ИСиС
28. Разработка документов и регламентов по работе с ИСиС
29. СУБД
30. Обработка информации
31. Резервное копирование
32. Осуществление контроля и документирования работы с базами данных
33. Управление проектной деятельностью
34. Понимание стратегии организации
35. Управление администрированием информационных систем
36. Управление планово-отчётной деятельностью
37. Работа с заказчиком
38. Обеспечение норм охраны труда
39. Работа с пользователями информационных систем
40. Люди и проекты
41. Анкетирование и интервью
42. Обеспечение взаимодействия между людьми
43. Управление персоналом
44. Поддержание позитивной рабочей атмосферы
45. Аналитическая работа и сбор сведений
46. Проведение экспертиз
47. Оптимизация бизнес процессов с точки зрения экономической безопасности
48. Методология защиты конфиденциальной информации
49. Работа с нарушениями безопасности: локализация, предотвращение, расследование, предвидение.
50. Проведение интервью с людьми: кандидаты на работу, работники, партнёры, конкуренты.
51. Работа с правоохранительными органами
52. Работа с учредительными документами, договорами, правами собственности, законами и прочими НПА
53. Физическая охрана объектов и устройства охранной сигнализации
54. Датчики противопожарной сигнализации и системы пожарной безопасности
55. Средства и методы обеспечения специальной связи
56. Специсследования, спецпроверки, спецобследования
57. Следование инструкциям по обеспечению информационной безопасности
58. Применять технические средства защиты информации
59. Контроль функционирования оборудования
60. Анализ и аудит информационных систем и систем безопасности
61. Работа с системами антивирусной защиты
62. Создавать ограничивающие политики и процедуры
63. Контролирование использования вычислительных ресурсов
64. Формирование политик безопасности
65. Анализ рынка программно-технических средств
66. Работа с учётными записями информационных систем и пользователей
67. Реагирование на критические события и устранение аварийных ситуаций
Теперь, если принять в качестве оценок компетенций специалистов некоторый процент соответствия знаний умений, навыков, личностно-деловых качеств, ответственности и целевых качеств желаемому результату, то идеальным вариантом будет 100% соответствие по каждой компетенции (см. рис. 4 и 5).

Поскольку идеальных людей и процессов подготовки не бывает, попробуем оценить то, как выглядит более или менее реалистичная картина соответствия специалиста по такой модели компетенций.
Сразу можно сказать, что отечественные учебные заведения не уделяют должного внимания таким компетенциям, которые относятся к командной работе, саморазвитию, навыкам публичных выступлений, грамотному ведению документации и работе с заказчиками. Исходя из этих допущений, можно построить оценку, показанную на рисунке 6.

Эволюция модели специалиста от курса к курсу.
Всё вышесказанное относилось к оценке уже готового специалиста, т.е. выпускника ВУЗа. Но хорошая модель должна подразумевать развитие самой себя, и поэтому включать подмодели. Поскольку обучение специалиста проходит на протяжении 6 курсов, то целесообразно указать на то, что и модель должна эволюционировать вместе со студентом. На рисунке 7 примерно показано то, как должна эволюционировать такая модель. Указана зависимость не количества компетенций, а мощность компетенций потому, что компетенции должны развиваться по мере накопления знаний, умений и навыков в процессе обучений и из одной базовой компетенции, которая была дана студенту на первом курсе может к выпуску сложится десять итоговых компетенций, некоторые базовые компетенции, возможно, объединятся. Но всё это необходимо учитывать в рамках отдельных предметов на протяжении всего процесса обучения. Но такие изыскания выходят за рамки настоящей работы.
Помимо этого настоящая работа не учитывает знаниевую компоненту, т.к. для того, чтобы построить полную модель с учётом знаний, необходимо просматривать учебные планы по каждой преподаваемой на данной специальности дисциплине, что займёт время, превышающее, отведённое для выполнения настоящей работы.

Заключение

Целью школы всегда должно быть воспитание гармоничной личности, а не специалиста.

Альберт Эйнштейн
Если подводить итог настоящей работе, то можно заметить, что компетенции являются связующим звеном между ВУЗом и предприятием, на которое пойдёт работать специалист после выпуска. Однако, подготовка специалистов в ВУЗе в настоящее время не учитывает реальные потребности предприятий в тех знаниях, умениях и навыках, которые действительно необходимы для работы. Подготовка специалистов в рамках учебных дисциплин смещается в основном в сторону фундаментально-научных предметов, упуская реальные потребности во взаимодействии с людьми, работе в команде, умение грамотно работать с документами. Несомненно, фундаментальная подготовка очень важна, как база, но нельзя останавливаться только на фундаментальных естественнонаучных дисциплинах. Нужно двигаться дальше. Сейчас в рамках проекта министерства образования и науки РФ имеется уникальный шанс разработать и использовать в подготовке специалистов комплексный стандарт, основанный на компетентностной модели. ВУЗам в ГОС ВПО третьего поколения даётся большая свобода по созданию таких стандартов для ряда специальностей и этими возможностями необходимо воспользоваться для того, чтобы выпускающийся из ВУЗа специалист был ближе к идеалу, а не к тому страшнодеформированному морскому ежу, который сейчас получается, если посмотреть на знания, умения и навыки выпускника. Высшая школа должна в первую очередь заботиться о воспитании человека, а уже дальше из человека делать специалиста.