Це я вам як експерт кажу, bisa

Вітаю колеги! Увечері п'ятниці хочеться поговорити на філософські теми. Сьогодні я хотіла б обговорити з Вами поняття "експерт" в контексті інформаційної безпеки. Надихнув мене на написання цього поста 22 випуск Науки 2.0 під назвою "Віктор Вахштайн: слово« експерт »перетворюється в лайку" (послухати можна тут).

Взагалі мені завжди було цікаво, коли фахівець починає іменувати себе експертом? Повинно пройти n трудових років, дисертацію потрібно захистити, взяти участь в k-проектах? Чисто інтуїтивно зрозуміло, що людина, що розбирається в будь-якому питанні досить глибоко, що має досвід роботи, є експертом. Мені здається, кращий варіант - коли приставку "експерт" додають до Вашого прізвища інші люди, причому розбираються в питанні, представники спільноти, можливо професійні ЗМІ. Але як оцінити себе самостійно. )

Може здатися, що питання дійсно філософський і практичного сенсу обговорювати його немає, проте на експертних оцінках без перебільшення будується вся інформаційна безпека. Як створити ефективну систему захисту інформації, оцінити можливі збитки, визначити актуальні загрози - точну відповідь не дасть жоден нормативний акт. Експертна думка вирішує майже все (не варто забувати про обмежений бюджет :)). І в той же час до самого експерту ніяких вимог не висувають, за винятком того, що при прийомі на роботу з нас в основному вимагають наявність освіти за спеціальністю та стажу роботи (теж не особливо є показником).

Для великих компаній з розвиненою ІБ-структурою ситуація складається не так уже й погано - є і навчання, і досвідчені колеги, які підкажуть "початківцю експерту", проводяться атестації та інші перевірки знань. Але є компанії, які ще вчора нічого не чули про інформаційну безпеку, а сьогодні у них з'явився єдиний фахівець, думка якого оскаржити нікому. Колись я в такій компанії працювала, починала ще студенткою, і чесно кажучи, мої рішення були тоді далекі від ідеалу, але це я розумію зараз, а коли на мої плечі звалилася організація системи захисту інформації з нуля, доводилося робити швидко і не завжди правильно.

Продовжуючи тему поєднання обов'язків. не можна не згадати про сисадмінів-безпечники, кадровиків та юристів-безпечники. Всі такі ж експерти. До речі кажучи, ще широко поширена думка, що захист інформації - елементарна річ (розпитайте айтішників, якщо не вірите :)). Тут я трохи думка втратила, тому що довелося лагодити зарядний від ноутбука, перегризенное нашим улюбленим котом. Цей же кіт став джерелом натхнення для однієї з моїх статей (Привчання до лотка і захист інформації). Можна зробити певний висновок про те, що кота в лоток ходити навчити можна, тільки він ще що-небудь придумає :)

Вибачте, відволіклася. Проблема експертів добре видно на курсах підвищення кваліфікації. Один раз я була слухачем на чудових курсах від однієї великої компанії, семінар вела жінка, яку представили експертом в області закону "Про персональні дані". Спочатку вона розповідала про особливості кадрового обліку і про організаційні заходи захисту персональних даних і було досить цікаво, але коли мова пішла про заходи технічного захисту - мої очі стали схожі на блюдця :) Ви б здивувалися, як пересічний користувач уявляє собі процедуру створення системи захисту інформації . Було забавно, коли вона називала ФСТЕК "ФЕЕСТЕКА". Найсумніше полягає в тому, що слухач курсу може відрізнити експерта від неексперта тільки якщо сам вже хоч трошки "експерт". Такий ось парадокс.

Не хочу висловлювати заклик про стандартизацію та введення ЄДІ для ІБшніков, але проблема визначення компетентності існує і її треба вирішувати. А як думаєте Ви, шановні експерти. )