CC BY
123
Раздел III ПЕДАГОГИЧЕСКИЕ НАУКИ
УДК 372.8, ББК 73в О А.Г. Анацкая
А.Г. Анацкая
ФОРМИРОВАНИЕ У СТУДЕНТОВ ВУЗА КОМПЕТЕНЦИЙ В СФЕРЕ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В КОНТЕКСТЕ ПРОФЕССИОНАЛЬНЫХ СТАНДАРТОВ
Статья посвящена вопросам обучения студентов вуза по специальности (направлению) 090303.65 (10.05.03) «Информационная безопасность автоматизированных систем», в частности по дисциплине «Управление информационной безопасностью» с учетом требований профессиональных стандартов. Автором обосновывается роль информации в условиях информационного общества и значимость обеспечения надежной защиты информационных ресурсов для современного бизнеса, аргументируется актуальность подготовки специалистов по информационной безопасности. В статье значительное внимание уделяется профессиональным стандартам и квалификации специалистов в области информационной безопасности. Выделяются и описываются характерные особенности трудовых обязанностей и трудовых функций, присущие профессиональной деятельности специалистов в данной сфере. Основное внимание в работе автор акцентирует на соответствии трудовых функций, выполняемых специалистом по защите информации и формируемым компетенциям при изучении студентами особенностей управления информационной безопасностью. Выполнен анализ целей профессиональной деятельности и обобщенных трудовых функций специалистов в сфере информационной безопасности в соответствии с уровнем квалификации. Дан обзор федерального государственного образовательного стандарта высшего образования по специальности (направлению) 090303.65 (10.05.03) «Информационная безопасность автоматизированных систем» в аспекте будущей профессиональной деятельности студентов. Рассмотрены образовательные программы отдельных российских вузов, осуществляющих подготовку будущих специалистов по защите информации. На примере образовательной программы подготовки будущих специалистов по информационной безопасности, реализуемой в ФГБОУ ВО СибАДИ приведен перечень компетенций по дисциплине «Управление информационной безопасностью» и обоснован их выбор. Выполнен сравнительный анализ формируемых в процессе обучения компетенций и трудовых функций практических специалистов.
Ключевые слова: информационная безопасность, профессиональные компетенции, трудовые функции, подготовка специалистов по информационной безопасности.
■ азвитие средств вычислительной 1—1" техники, телекоммуникаций и информационных технологий делают информацию важнейшим из ресурсов современного общества. В современном обществе ни одна из сфер бизнеса не обходится без компьютерных технологий сбора и обработки информации. Таким образом, информация имеет уникальную ценность и является одним из критически важных ресурсов. В связи с этим остро встает задача обеспечения надежной защиты информации, а задачи обеспечения информационной безопасности становятся актуальными для все более широкого круга организаций благодаря повсеместному внедрению информационных систем. Защита ценной информации - одна из главных проблем для организаций.
Зачастую владельцы информационных ресурсов не осознают, какие активы являются более критичными, какие риски информационной безопасности связаны с этими активами, какие защитные меры необходимо запланировать. Использование методов защиты информации, успешно применяемых в одной организации, может категорически не подойти для другой организации. Решением этих проблем является построение
эффективной системы управления информационной безопасности в конкретной организации, осуществить которое могут соответствующие специалисты.
Подготовка специалистов по информационной безопасности автоматизированных систем является актуальной. Для реализации эффективной защиты будущим специалистам по информационной безопасности необходимо уметь выполнять анализ рисков информационной безопасности и осуществлять управление информационной безопасностью.
Современный бизнес все чаще сталкивается с необходимостью обеспечить конфиденциальность данных, предотвратить утечку или
несанкционированный доступ к информации. Задача обеспечения комплексной защиты информации, входит в круг обязанностей специалиста по информационной безопасности. Список обязанностей такого специалиста достаточно широк: необходимо уметь проводить аудит существующей системы безопасности, анализировать информационные риски и в соответствии с этим разрабатывать и внедрять мероприятия по обеспечению информационной безопасности компании, в частности, выполнять выбор, установку и настройку технических и программных средств защиты информации,
составлять нормативно-техническую документацию и многое другое. Кроме этого специалист по информационной безопасности должен проводить постоянный мониторинг системы информационной безопасности и выполнять поддержку технических средств ее защиты. Помимо того, сотруднику, ответственному за безопасность информации, приходится обучать пользователей информационных систем соблюдению основ информационной безопасности.
Трудовую деятельность профессиональные стандарты, описываются характеристика необходимой работнику для определенного вида профессиональной деятельности. Под квалификацией работника понимается совокупность уровня профессиональных знаний, умений, навыков и опыта работы.
В профессиональных стандартах каждому виду профессиональной деятельности соответствует трудовые функции. Для каждой трудовой функции определяются трудовые действия, знания и умения, необходимые для их эффективного исполнения.
Министерством труда и социальной защиты РФ разработаны 5 профессиональных стандартов в области информационной безопасности:
регулируют в которых квалификации, осуществления
1 Специалист по безопасности компьютерных сетей и систем [1].
2 Специалист по защите информации в телекоммуникационных системах и сетях [2].
3 Специалист по защите информации в автоматизированных системах [3].
4 Специалист по автоматизации информационно-аналитической деятельности [4].
5 Специалист по технической защите информации [5].
Для выпускников вузов по специальности (направлению) 090303.65 (10.05.03)
«Информационная безопасность автоматизированных систем», которые могут занимать различные должности и выполнять различную деятельность, связанную с защитой информации,
профессиональные стандарты устанавливают уровень квалификации шестой и выше (6 уровень -бакалавриат, 7 и 8 уровни - магистратура или специалитет). Исходя из уровня квалификации, предъявляются требования к трудовым действиям, необходимым умениям и знаниям.
Основные цели и обобщенные трудовые функции специалистов в сфере информационной безопасности представлены в таблице 1.
Таблица 1
Цели и трудовые функции специалистов в сфере информационной безопасности*
№ п/п Профессия Основная цель профессиональной деятельности Обобщенные трудовые функции Уровень квалификации
1 Специалист по безопасности компьютерных систем и сетей Обеспечение защиты информации в компьютерных системах и сетях в условиях существования угроз их информационной безопасности Администрирование и эксплуатация программно-аппаратных средств защиты информации в компьютерных системах и сетях 6
Разработка и применение методов оценивания безопасности компьютерных систем, сертификация программного обеспечения, аттестация объектов информатизации 7
Проектирование и разработка технических и программно-математических средств защиты информации компьютерных систем и сетей 7,8
2 Специалист по защите информации в телекоммуникационных системах и сетях Обеспечение защиты технических и информационных ресурсов телекоммуникационных систем и сетей (ТКС) в условиях существования угроз их информационной безопасности (ИБ) Обеспечение безопасности технических и информационных ресурсов ТКС в процессе эксплуатации 6
Обеспечение безопасности технических и информационных ресурсов ТКС в процессе эксплуатации 6
Разработка средств защиты технических и информационных ресурсов ТКС 7
№ п/п Профессия Основная цель профессиональной деятельности Обобщенные трудовые функции Уровень квалификации
Обеспечение безопасности технических и информационных ресурсов систем специальной связи государственного управления 7
Менеджмент средств и систем защиты технических и информационных ресурсов ТКС 7
Экспертиза проектных решений в сфере защиты технических и информационных ресурсов ТКС 8
3 Специалист по защите информации в автоматизированных системах Обеспечение безопасности информации в автоматизированных системах, функционирующих в условиях существования угроз в информационной сфере и обладающих информационно-технологическими ресурсами, подлежащими защите Обеспечение безопасности информации в автоматизированных системах в процессе эксплуатации 6
Разработка и реализация проектов по защите информации в автоматизированных системах 7
Контроль защищенности информации в автоматизированных системах 6,7
Управление проектами по защите информации в автоматизированных системах 8
4 Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности Повышение эффективности поддержки принятия решений за счет использования ИАСБ, автоматизирующих решение задач мониторинга, обработки и анализа информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом Применение ИАСБ в процессах АИАД 7
Проектирование ИАСБ 7
Эксплуатация ИАСБ 7
Организационное управление в ИАСБ 7
Проведение научных исследований в области АИАД 8
5 Специалист по технической защите информации защита (некриптографическими методами) информации на объектах информатизации от утечки информации по техническим каналам и несанкционированного доступа к информации в целях ее копирования, уничтожения, искажения и блокирования доступа к ней Производство систем и средств защиты информации 6
Контроль эффективности защиты информации 6,7
Сертификационные испытания на соответствие требованиям по безопасности информации 7
Разработка средств технической защиты объектов информатизации 7
Проектирование объектов в защищенном исполнении 8
■"Сокращения используемые в таблице:
ИАСБ - информационно-аналитическая система в защищенном исполнении в сфере безопасности АИАД - автоматизация информационно-аналитической деятельности ТКС - телекоммуникационные системы и сети
Профессиональные стандарты отображают требования работодателей, к качеству и содержанию труда в области профессиональной деятельности и являются одним из механизмов, которые
обеспечивают согласование требований к квалификациям рынка труда и сферы образования. Условия к подготовке специалистов и условия образовательного процесса в области
информационной безопасности определяются в федеральных государственных образовательных стандартах высшего образования.
Так, ФГОС ВО по специальности (направлению) 090303.65 (10.05.03)
«Информационная безопасность автоматизированных систем» к областям профессиональной деятельности специалистов относит: сферы науки, техники и технологии, охватывающие совокупность проблем, связанных с обеспечением информационной безопасности автоматизированных систем в условиях существования угроз в информационной сфере [6].
К объектам профессиональной деятельности согласно ФГОС ВО относятся:
• автоматизированные системы, функциони-
рующие в условиях существования угроз в информационной сфере и обладающие информационно-технологическими ресурсами, подлежащими защите;
• технологии обеспечения информационной
безопасности автоматизированных систем;
• системы управления информационной безо-
пасностью автоматизированных систем.
В образовательном стандарте также указаны виды профессиональной деятельности и задачи, к решению которых должны быть готовы выпускники вуза.
Сравнивая основные цели и трудовые функции профессиональной деятельности специалистов в сфере информационной безопасности с характеристикой профессиональной деятельности, данной во ФГОС ВО можно отметить, что запросы профессионального рынка нашли свое отображение образовательном стандарте.
Учебные заведения, реализующие подготовку таких специалистов, соблюдают условия реализации обучения и требования к результатам освоения основных образовательных программ. Выпускник должен обладать соответствующими будущей деятельности общекультурными,
профессиональными компетенциями, а также компетенциями специализации.
Подготовкой специалистов в сфере информационной безопасности занимаются различные вузы РФ: Московский государственный технический университет им. Н.Э. Баумана, Томский государственный университет систем управления и радиоэлектроники (ТУСУР), Московский
технологический университет (МИРЭА, МГУПИ, МИТХТ), Пермский государственный национальный исследовательский университет (ПГНИУ), Сибирский федеральный университет (Институт космических и информационных технологий),
Омский государственный технический университет (ОмГТУ), Сибирская государственная автомобильно-дорожная академия (СибАДИ), Новосибирский государственный технический университет (НГТУ) и другие.
Во всех образовательных программах, реализуемых вузами, присутствует дисциплина «Управление информационной безопасностью», входящая в базовую часть профессионального цикла. В качестве вариативных вузы включают в учебные планы такие дисциплины как «Анализ рисков информационной безопасности», «Аттестация и аудит информационной безопасности» и другие подобные.
В образовательной программе по специальности (направлению) 090303.65 (10.05.03) «Информационная безопасность автоматизированных систем» реализуемой в ФГБОУ ВО СибАДИ дисциплине «Управление информационной безопасностью» соответствуют компетенции:
ПК-35: способность обеспечить эффективное применение информационно-технологических ресурсов автоматизированной системы с учетом требований информационной безопасности;
ПК-36: способность обеспечить эффективное применение средств защиты информационно-технологических ресурсов автоматизированной системы;
ПК-37: способность администрировать подсистему информационной безопасности автоматизированной системы;
ПК-38: способность выполнять полный объем работ, связанных с реализацией частных политик информационной безопасности автоматизированной системы, осуществлять мониторинг безопасности автоматизированной системы;
ПК-39: способность управлять информационной безопасностью автоматизированной системы;
ПК-40: способность обеспечить восстановление работоспособности систем защиты информации при возникновении нештатных ситуаций;
ПСК-8.3: способность применять инструментарий анализа безопасности программного обеспечения.
В таблице 2 представлено сопоставление компетенций и трудовых функций профессиональных стандартов. Исходя из содержания таблицы можно отметить, что компетенции, формирование и развитие которых закреплено за учебной дисциплиной «Управление информационной безопасностью» находят свое отражение в трудовых функциях.
Таблица 2
Соответствие компетенций учебной дисциплины и трудовых функций_
Компетенции Трудовые функции
Специалист по безопасности компьютерных систем и сетей Специалист по защите информации в телекоммуникационных системах и сетях Специалист по защите информации в автоматизированных системах Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности Специалист по технической защите информации
ПК-35: способность обеспечить эффективное применение информационно- технологических ресурсов автоматизированн ой системы с учетом требований информационной безопасности Приемка и освоение программно-аппаратных средств защиты информации Реализация средств и систем защиты технических и информационных ресурсов ТКС Мониторинг защищенности информации в автоматизированны х системах Обеспечение функционировани яПАСБ Аттестационные испытания и аттестация средств и систем информатизации на соответствие требованиям по защите информации
ПК-36: способность обеспечить эффективное применение средств защиты информационно- технологических ресурсов автоматизированн ой системы Управление рисками систем защиты технических и информационных ресурсов ТКС Анализ безопасности информационных технологий, реализуемых в автоматизированны х системах Применение средств защиты информации в ИАСБ Производство защищенных программных (программно- технических) средств обработки информации.
ПК-37: способность администрировать подсистему информационной безопасности автоматизированн ой системы Администрирование систем информационной безопасности компьютерных систем и сетей Управление персоналом, обслуживающим программные, программно- аппаратные (в том числе криптографически е) и технические средства и системы защиты технических и информационных ресурсов, оборудования ТКС Администрирование подсистем безопасности информации в автоматизированны х система Организация работ по выполнению в ИАСБ требований защиты информации ограниченного доступа Сертификационные испытания на соответствие требованиям по безопасности информации защищенных программных (программно- технических) средств обработки информации
ПК-38: способность выполнять полный объем работ, связанных с реализацией частных политик информационной безопасности автоматизированн ой системы, осуществлять мониторинг безопасности автоматизированн Применение методов и методик оценивания безопасности компьютерных систем и сетей при проведении контрольного анализа Анализ угроз информационной безопасности ТКС Разработка политик информационной безопасности автоматизированны х систем Выбор технологии и основных компонентов обеспечивающей части создаваемых ИАСБ Производство программных (программно- технических) средств защиты информации от несанкционированного доступа
Компетенции Трудовые функции
Специалист по безопасности компьютерных систем и сетей Специалист по защите информации в телекоммуникационных системах и сетях Специалист по защите информации в автоматизированных системах Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности Специалист по технической защите информации
ой системы
ПК-39: способность управлять информационной безопасностью автоматизированн ой системы Разработка требований по защите, составление политик безопасности компьютерных систем и сетей Управление функционирование м ТКС и безопасностью их технических и информационных ресурсов Управление безопасностью информации в автоматизированны х системах Разработка нормативных, методических, организационно- распорядительны х документов, регламентирующ их функционировани еИАСБ Производство защищенных программных (программно- технических) средств обработки информации
ПК-40: способность обеспечить восстановление работоспособност и систем защиты информации при возникновении нештатных ситуаций Проведение контрольных проверок работоспособности и эффективности применяемых программно аппаратных средств защиты информации Мониторинг функционировани я ТКС, защищенности их технических и информационных ресурсов Восстановление работоспособности систем защиты информации при возникновении нештатных ситуаций Настройка ИАСБ для решения задач в сфере профессионально й деятельности Контроль эффективности защиты информации от несанкционированно го доступа и ее модификации в средствах и системах информатизации
ПСК-8.3: способность применять инструментарий анализа безопасности программного обеспечения Проведение инструментального мониторинга защищенности компьютерных систем Управление рисками систем защиты технических и информационных ресурсов ТКС Диагностика средств защиты информации в автоматизированны х системах Исследование эффективности ИАСБ
Таким образом, выбор указанных выше компетенций представляется нам обоснованным.
Анализ характеристики профессиональной деятельности, описанной в ФГОС ВО по специальности (направлению) 090303.65 (10.05.03) «Информационная безопасность автоматизированных систем» показывает, что данным требованиям в наибольшей степени соответствуют трудовые функции профессионального стандарта специалиста по защите информации в автоматизированных системах.
Процесс управления информационной безопасностью способствует интеграции аспектов безопасности в организацию. Изучение студентами вуза дисциплины «Управление информационной безопасностью» позволит сформировать у них компетенции по выявлению и анализу рисков информационной безопасности, разработке, введению и оценке мер безопасности и выработке рекомендаций по управлению информационной безопасностью в конкретных организациях.
Библиографический список
1. Проект Приказа Министерства труда и социальной защиты Российской Федерации «Об утверждении профессионального стандарта «Специалист по безопасности компьютерных сетей и систем». [Электронный ресурс]. Режим доступа: http://dvunc.ru/profst/01.BKSiS.pdf, свободный.
2. Проект Приказа Министерства труда и социальной защиты Российской Федерации «Об утверждении профессионального стандарта «Специалист по защите информации в телекоммуникационных системах и сетях». [Электронный ресурс]. Режим доступа: http://www.consultant.ru/cons/cgi/online. cgi?req=doc; base=PNPA;n= 13 732;dst= 1 ООО 18#0, свободный.
3. Приказ Министерства труда и социальной защиты Российской Федерации от 15 сентября 2016 года № 522н «Об утверждении профессионального стандарта «Специалист по защите информации в автоматизированных системах». [Электронный ресурс]. Режим доступа: http://docs.cntd.ru/document/420377328, свободный.
4. Проект Приказа Министерства труда и социальной защиты Российской Федерации «Об утверждении профессионального стандарта «Специалист по автоматизации информационно-аналитической деятельности». [Электронный ресурс]. Режим доступа: http://www.garant.ru/products/ipo/prime/doc/56556703/, свободный.
5. Проект Приказа Министерства труда и социальной защиты Российской Федерации «Об утверждении профессионального стандарта «Специалист по технической защите информации». [Электронный ресурс]. Режим доступа: http://www.isedu.ru/profst.proj/05.TZI.pdf, свободный.
6. Федеральный государственный образовательный стандарт высшего профессионального образования по направлению подготовки (специальности) «090303 Информационная безопасность автоматизированных систем», квалификация (степень) специалист / Портал федеральных государственных стандартов высшего образования. [Электронный ресурс]. Режим доступа: http://fgosvo.ru/uploadfiles/fgos/62/20110505002644.pdf, свободный.
References
1. Proekt Prikaza Ministerstva truda i social'noj zashchity Rossiskoj Federacii "Ob utverzhdenii profes-sional'nogo standarta "Specialist po bezopasnosti komp'yuternykh setej i sistem" [About the approval of the professional standard "Security Specialist of Computer Networks and Systems"]. Access mode: http://dvunc.ru/profst/01.BKSiS.pdf (data obrashcheniya: 10.11.2016)
2. Proekt Prikaza Ministerstva truda i social'noj zashchity Rossiskoj Federacii "Ob utverzhdenii prof'essional'nogo standarta "Specialist po zashchite informacii v telekommunikatsionnykh sistemakh I setyakh" [About the approval of the professional standard "The Specialist in Information Security in Telecommunication Systems and Networks"]. Access mode: http://www.consultant.ru/cons/cgi/online.cgi?req=doc; base=PNPA;n=13732;dst=100018#0 (data obrashcheniya: 10.11.2016)
3. Prikaz Ministerstva truda i social'noj zashchity Rossiskoj Federacii ot 15 sentyabrya 2016 goda № 522n "Ob utverzhdenii prof 'essional'nogo standarta "Specialist po zashchite informacii v avtomatizirovannykh sistemakh"[ About the approval of the professional standard "The Specialist in Information Security in the Automated Systems"]. Access mode: http://docs.cntd.ru/document/420377328
4. Proekt Prikaza Ministerstva truda i social'noj zashchity Rossiskoj Federacii "Ob utverzhdenii prof'essional'nogo standarta "Specialist po avtomatizatsii informatsionno-analiticheskoj deyatel'nosti" [About the approval of the professional standard "Specialist in Automation of Information and Analytical Activity"]. Access mode: http://www.garant.ru/products/ipo/prime/doc/56556703/
5. Proekt Prikaza Ministerstva truda i social'noj zashchity Rossiskoj Federacii "Ob utverzhdenii prof'essional'nogo standarta "Specialist po technicheskoj zashchite informacii" [About the approval of the professional standard "Specialist in Technical Information Security"]. Access mode: http://www.isedu.ru/profst.proj/05.TZI.pdf
6. Federal'nyj gosudarstvennyj obrazovatel'nyj standart vysshego prof 'essional'nogo obrazovaniya po naprav-leniyu podgotovki (special'nosti) "090303 Informatsionnaya bezopasnost' avtomatizirovannykh sistem", kvalifikatsiya (stepen') specialist / Prtal federal'nykh gosudarstvennykh standartov vysshego obrazovaniya [The federal state educational standard of higher education in the direction of preparation (specialty) "090303 Information security of the automated systems", qualification (degree) the expert: Portal of federal state standards of the higher education]. Access mode: http://fgosvo.ru/uploadfiles/fgos/62/20110505002644.pdf
FORMATION OF HIGH SCHOOL STUDENTS COMPETENCE IN THE FIELD OF MANAGEMENT OF INFORMATION SECURITY IN THE CONTEXT OF PROFESSIONAL STANDARDS
Alla G. Anatskaya,
associate professor, Siberian State Automobile And Highway Academy
Abstract. Article is devoted to questions of training of students of higher education institution in the specialty (direction) 090303.65 (10.05.03) "Information security of automated systems", in particular on discipline "Information security management" taking into account requirements of professional standards. The author justifies an information role in the conditions of information society and the significance of support of reliable protection of information resources for the modern business, relevance of training of specialists on information security is reasoned. In article the considerable attention is paid to professional standards and qualification of experts in information security field. The characteristics of labor duties and labor functions inherent in professional activity of experts in this sphere are selected and described. The author focuses the main attention in operation on compliance of the labor functions executed by the specialist in information security and the created competences in case of a study students of features of information security management. The analysis of the purposes of professional activity and the generalized labor functions of experts in the sphere of information security according to skill level is made. The review of the federal state educational standard of the higher education in the specialty is this (direction) 090303.65 (10.05.03) "Information security of automated systems" in aspect of future professional activity of students. Educational programs of the separate Russian higher education institutions which are realizing training of future specialists in information security are considered. On the example of the educational program of training of future specialists in the information security in FGBOU by VO SIBADI the list of competences on discipline "Information security management is provided" was realized and their choice is reasonable. The comparative analysis of the competences created in training activity and labor functions of practical experts is made.
Keywords: information security, professional competence, work functions, training on information security.
Сведения об авторе:
Анацкая Алла Георгиевна - кандидат педагогических наук, доцент кафедры «Информационная безопасность» ФГБОУ ВО «Сибирская государственная автомобильно-дорожная академия» (644099, г.Омск, ул.П.Некрасова, 10), e-mail: anatskaya.ag@gmail.com. Статья поступила в редакцию 21.11.2016.
