CC BY
74
ПРОБЛЕМЫ ПОДГОТОВКИ СПЕЦИАЛИСТОВ
А.А. Малюк, Н.С. Погожин, А.И. Толстой
Россия, г. Москва, МИФИ
ОБУЧЕНИЕ ВОПРОСАМ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ СПЕЦИАЛИСТОВ-ПРОФЕССИОНАЛОВ И ПЕРСОНАЛА, СВЯЗАННОГО С ПРОТИВОДЕЙСТВИЕМ КОМПЬЮТЕРНЫМ АТАКАМ
Введение. Уровень знаний и умений в области информационной безопасности (ИБ) относится к основным факторам, определяющим эффективность противодействия компьютерным атакам на реальном объекте. Именно поэтому подготовка специалистов в области ИБ может быть отнесена к важнейшим организационно-техническим методам обеспечения информационной безопасности. При этом в числе первоочередных мероприятий по реализации государственной политики обеспечения информационной безопасности Российской Федерации, как это отмечено в Доктрине информационной безопасности Российской Федерации, выделено «развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности...». В данном случае система подготовки кадров в указанной области, основа которой уже создана в России, отнесена к наиболее важным объектам в области ИБ. В предлагаемом сообщении рассмотрены особенности системы подготовки кадров в области ИБ в России, определены основные направления учебной деятельности, выделены наиболее перспективные из них, связанные с дополнительным образованием, и сформулированы основные проблемы, решение которых обеспечит достижение необходимого уровня подготовленности специалистов и персонала объектов, информационные технологии которых могут подвергнуться компьютерным атакам.
Система подготовки кадров в области информационной безопасности в России.
В настоящее время в России создана основа государственной системы подготовки кадров в области ИБ. Ее образуют следующие компоненты:
Объекты системы: высшие учебные заведения (более 80), которые имеют лицензии на образовательную деятельность по одной из семи специальностей, входящих в государственный классификатор специальностей и направлений подготовки специалистов с высшим образованием; региональные учебно-научные центры (22), находящихся в отдельных регионах России на базе ведущих учебных заведений и предназначенные для решения проблемы обеспечения подготовки специалистов для конкретного региона; учебные центры дополнительного образования созданные организациями, активно работающими на рынке средств и услуг, связанных с защитой информации. На свою учебную деятельность данные Учебные центры получают лицензии от региональных органов государственной власти, отвечающих за образование. Такие учебные центры созданы практически во всех регионах России; их количество трудно определить.
Субъекты системы: студенты и слушатели, обучающиеся в высших учебных заведениях, Региональных учебно-научных центрах и Учебных центрах дополнительного образования; преподаватели различных учебных заведений и центров; административный персонал, организующий и сопровождающий учебный процесс.
Учебно-методическое обеспечение системы: государственные образовательные стандарты высшего профессионального образования по семи специальностям, входящим в группу специальностей «Информационная безопасность»;
учебные планы подготовки специалистов по конкретным специальностям; учебные программы отдельных учебных курсов, относящихся к определенной специальности; учебные программы курсов повышения квалификации или курсов переподготовки с целью получения дополнительной квалификации; учебники, учебные и учебно-методические пособия и лабораторные практикумы; информационные материалы, поддерживающие учебный процесс.
Подсистема управления: министерство образования Российской Федерации, осуществляющее лицензирование образовательной деятельности высших учебных заведений; органы исполнительной власти на региональном уровне, отвечающие за образование и лицензирующее образовательной деятельности, связанной с дополнительным образованием); учебно-методические объединения - общественные организации, объединяющие представителей учебных заведений, в которых ведется подготовка специалистов в области ИБ, а также организаций и ведомств, потребляющих таких специалистов. Данное объединение курирует образовательную деятельность различных учебных заведений и центров с целью обеспечения необходимого уровня подготовки, соответствующего требованиям, сформулированным в государственных образовательных стандартах.
Основными направлениями учебной деятельности, реализуемыми системой подготовки кадров в области ИБ, являются:
1. Подготовка специалистов с высшим образованием: специалистов (7 специальностей; квалификаций - «математик», специалист по защите информации; длительность подготовки - 5,0 или 5,5 лет); бакалавров (4 года); магистров (6 лет).
2. Дополнительное образование: повышение квалификации (72 и более учебных часов); дополнительная квалификация (до 500 учебных часов); переподготовка (более 500 учебных часов).
Оценка потребностей в специалистах по информационной безопасности в рамках решения проблемы противодействия компьютерным атакам показывает, что первое направление подготовки кадров не решает все задачи по следующим причинам:
- большая длительность подготовки специалистов (цикл обучения - до 6 лет). Созданная система подготовки только разворачивается в России. В полной мере она заработает по прохождении одного цикла обучения;
- не достаточное количество выпускаемых специалистов. Если ориентироваться на количество высших учебных заведений, выпускающих специалистов в области ИБ (порядка 80), и на среднее количество выпускаемых специалистов в год одним высшим учебным заведением (порядка 20), то среднее количество специалистов, выпускаемых в год, оценивается в 1600 человек. По некоторым оценкам только государственные учреждения имеют потребности в специалистах порядка 1500 человек в год. В данном случае не учтены потребности большого количества негосударственных предприятий и организаций;
- инерционность обучения, связанная с долговременной (в пределах одного цикла обучения) стабильностью учебных программ и планов. За это время требования к содержанию обучения могут существенно измениться;
- проблемы профессиональной ориентации поступающих на обучение из-за сложности реализации принципа тщательного подбора кадров, которые обучаются по специальностям в области ИБ. Существующая система подготовки предполагает обучение молодых людей, начиная с первого курса (возраст 17-18 лет). Если даже будет функционировать строгий отбор не только на основании контроля знаний, но и с учетом психофизиологических характеристик (в чем есть большое сомнение), то это не обеспечит эффективность отбора, поскольку за время обучения (до 6 лет) данные параметры могут существенно измениться. Кроме этого, жиз-
ненные целевые установки у молодых людей подвержены также существенным изменениям. В результате выпускниками высших учебных заведений могут стать специалисты, которые или не будут работать по специальности, или могут выполнять функции, противоположные защите;
- сложность организации целевой подготовки специалистов в интересах конкретного предприятия. К сожалению, в настоящее время любое предприятие с трудом может сформулировать требования к уровню знаний и умений специалиста в области ИБ, которого оно получит через 4-6 лет.
Учитывая выделенные недостатки подготовки специалистов с высшим образованием в области ИБ, можно предположить, что такая форма образовательной деятельности займет только определенный сегмент, связанный с плановой подготовкой специалистов, которые чаще всего найдут работу по разработке и созданию комплексных систем защиты информации, где требуется широкий круг знаний и умений. Дополнительное образование по сравнению с подготовкой специалистов с высшим образованием обладает рядом существенных достоинств. К ним можно отнести следующие: малая длительность подготовки (72-500 учебных часов); гибкость - возможность изменения учебных программ; простота реализации целевой подготовки в интересах конкретного предприятия; возможность удовлетворения потребностей в количестве обученных специалистов. В связи с этим можно предположить, что эта форма образовательной деятельности найдет большое применение при подготовке специалистов-профессионалов и персонала, связанного с противодействием компьютерным атакам. Эта деятельность относится к эксплуатации конкретных информационных технологий и систем защиты информации. В данном случае представляется целесообразным рассмотреть более подробно особенности дополнительного образования. Дополнительное образование в области информационной безопасности. Определить особенности дополнительного образования в области ИБ с учетом проблем, возникающих при его практической реализации, возможно в рамках ответов на следующие вопросы: «Кого, чему, как и где учить?», «Как управлять обучением?», «Как контролировать знания?». Далее делается попытка ответить на поставленные вопросы. Ответ на вопрос «Кого учить?» связан с выбором контингента обучаемых. При этом целесообразна реализация принципа дифференцированного подхода, направленного на определение категорий обучаемых, работающих на конкретном предприятии. Это могут быть следующие группы: специалисты информационных технологий в подразделениях, обеспечивающих функционирование информационных технологий; специалисты, использующие информационные технологии в подразделениях объекта, связанных с выполнением основных задач объекта; специалисты по защите информации из службы информационной безопасности; администраторы информационной безопасности, контролирующие уровень обеспечения информационной безопасности; специалисты по физической защите объекта.
Современные системы физической защиты представляют собой сложные автоматизированные системы управления, состоящие из аппаратных (микропроцессорная техника, видео-оборудование, специальная техника, электронновычислительная техника, каналы связи, системы связи) и программных средств (системных и прикладных), которые эксплуатируются персоналом службы безопасности. В такой автоматизированной системе управления обрабатывается «чувствительная» информация, потеря или искажение которой может привести к снижению эффективности работы всей системы физической защиты и, как следствие, может облегчить террористам выполнение их задачи: руководители подразделений; руководители высшего уровня. Следует отметить, что обучение руководителей различного уровня является обязательной компонентой подготовки кадров.
Знание основных задач противодействия кибертерроризму и путей их решения является обязательным условием принятия эффективных решений на стадии создания системы обеспечения информационной безопасности и на этапе противодействия в случае возникновения критической ситуации.
Второе замечание: обязательное разделение функциональных обязанностей, связанных с администрированием информационных технологий и с администрированием подсистем информационной безопасности, между различными специалистами. Следствием этого требования является формирование различных групп обучаемых. Выбор программ обучения позволяет ответить на вопрос «Чему учить?». Особенность специфики профессиональных знаний и умений специалистов в области ИБ, связанной с возможностью использования этих знаний и умений для решений задач, противоположных задачи обеспечения информационной безопасности (знания и умения «двойного применения»), позволяет сформулировать следующие принципы, которыми следует руководствоваться при выборе программы обучения:
- дифференцированный подход. Отдельным категориям обучаемых - отдельную учебную программу;
- специалист должен знать и уметь только то, что ему положено знать и уметь. Лишние знания и умения могут стать основой появления у такого специалиста амбиций, которые могут привести к выполнению несанкционированных действий по собственной инициативе или под влиянием внешнего нарушителя. Последствия могут быть катастрофическими. Следовательно, лишние знания и умения у специалистов в области ИБ могут принести вред, что необходимо учитывать при составление программы обучения. В данном случае важную роль в формирование программы обучения должны играть представители предприятия, сотрудники которого направляются на обучение. Это формирует целевой характер дополнительного обучения;
- санкционированная доступность к содержанию обучения. Учитывая характер знаний и умений у специалистов в области ИБ, можно утверждать, что знания в этой области должны получать только те, кому это надо. Круг обучаемых определяется исключительно предприятием, направляющим своих сотрудников на обучение. И в этом реализуется целевой характер продолженного обучения;
- информационная безопасность системы обучения. Данный принцип следует из предыдущего. Система обучения должна обеспечивать доступность, конфиденциальность и целостность информации, нужной для обучения (в первую очередь по содержанию обучения).
Ответ на вопрос «Как учить?» позволяет определить требования к технологии обучения при реализации дополнительного образования. В большинстве учебных центров России чаще всего используются традиционные образовательные технологии (проведение лекций, семинаров, практических занятий), которые предполагают проведение обучения с отрывом от рабочего места. Развитие системы подготовки кадров в области ИБ предполагает использование современных информационных и образовательных технологий. В данном случае на повестку дня выходит необходимость внедрения в образовательную практику дистанционных технологий, таких, как виртуальные учебные курсы, электронные учебники, дистанционное тестирование. Это должно повысить эффективность и привести к снижению затрат на обучение за счет уменьшения длительности обучения (частичный отрыв обучаемых от рабочего места). Внедрение подобных технологий должно сопровождаться решением таких проблем, как обеспечение информационной безопасности и изменение системы управления образовательным процессом. Ответ на вопрос «Гдеучить?» в данном случае определен. В настоящее время
можно утверждать, что уже сформированы объекты системы подготовки кадров в области ИБ, о чем было сказано ранее. Дальнейшее развитие этих объектов предполагает решение таких проблем, как совершенствование методов их управления, обеспечение информационной безопасности процессов обучения и развитие их материальной и финансовой базы. Совершенствование и развитие системы подготовки кадров в области ИБ предполагает получение ответа на вопрос «Как управлять обучением?». В данном случае необходимо рассмотреть перспективы развития самой системы подготовки с учетом особенностей выполнения Федеральной целевой программы «Развитие единой образовательной информационной среды (2001-2005 годы)», утвержденной постановлением Правительства Российской Федерации от 28 августа 2001 г. № 630. Данная программа предполагает «.создание условий для поэтапного перехода к новому уровню образования на основе информационных технологий.». Таким образом, необходимо рассмотреть систему подготовки кадров в области ИБ как часть единой образовательной среды России, под которой понимается «совокупность организационных мер, информационного и учебно-методического обеспечения, современных образовательных и информационных технологий, обеспечивающих высокое качество образования во всех регионах России и эффективное использование научно-педагогического потенциала страны». Следовательно, управление современной системой подготовки кадров в области ИБ должно учитывать: единство учебно-методического обеспечения; сложившуюся структуру объектов системы; наличие в этой системе современных информационных и образовательных технологий; существование в России трехуровневой системы управления образованием (Министерство образования или Региональный орган управления - Учебно-методическое объединение - Учебное заведение или Учебный центр); требования к защите информации, предъявляемые к содержанию обучения.
Из этого следует, что система подготовки кадров в области ИБ должна выглядеть как корпоративная система обучения, решающая задачу обеспечения подготовки специалистов в определенных ограничениях, например, в условиях необходимости обеспечения безопасности информации, что должно быть учтено при управлении такой системой. Ответ на вопрос «Как контролировать уровень знаний?» вносит дополнительные изменения в управление системой подготовки кадров в области ИБ. Учитывая характер знаний и умений у специалистов в области ИБ, можно обосновать необходимость реализации при контролировании уровня знаний следующих принципов: единый подход к сертификации специалистов; дифференцированный подход к аттестации специалистов на объекте.
Это предполагает проведение: тестирования знаний по окончании обучения по конкретной программе, которое проводится в учебном заведении или центре, где проходило обучение; сертификации знаний на соответствие определенному уровню в независимом Центре сертификации; аттестации знаний на рабочем месте на их соответствие существующим должностным обязанностям (может проводиться подразделением объекта, управляющим кадрами совместно с Учебным или Сертификационным центрами). Реализация указанных выше мер предполагает следующую коррекцию системы управления подготовки кадров в области ИБ: совершенствование системы тестирования; создание системы сертификации; создание системы аттестации. Рассмотренные выше требования к системе подготовки кадров в области ИБ с учетом направления, связанного с дополнительным образованием, базируются на опыте, накопленном в МИФИ.
Подготовка специалистов в области информационной безопасности на факультете «Информационная безопасность» МИФИ.
Образовательная деятельность в области ИБ ведется в МИФИ начиная с 1991 г. Специалисты с высшим образованием готовятся по специальностям «Комплексная защита объектов информатизации» и «Комплексное обеспечение информационной безопасности автоматизированных систем» (квалификация - «специалист по защите информации»; длительность обучения - 5,5 лет). Дополнительное обучение реализуется в рамках курсов повышения квалификации. Учебные программы обучения носят дифференцированный характер для различных категорий слушателей, что заранее согласуется с заказчиком и корректируется с учетом его специфики. Ведущими партнерами (заказчиками образовательных услуг) МИФИ в повышении квалификации специалистов в области ИБ являются Центральный банк Российской Федерации и Сберегательный банк Российской Федерации. Реализуемые образовательные технологии - традиционные (с отрывом от рабочего места на объекте) и с использованием современных образовательных технологий, основанных на элементах дистанционного обучения (с частичным отрывом от рабочего места). С февраля 1995 г. по декабрь 2002 г. прошли обучение более 2500 специалистов со всех регионов России. Примеры учебных программ дополненного образования, реализуемых в МИФИ в 2003 г., приведены в таблице.
Коммуникативная деятельность.
Обмен опытом и информацией о методологии обучения в области ИБ проводятся в рамках конференций различного уровня.
В России под эгидой Министерства образования Российской Федерации ежегодно проводятся следующие конференции: «Проблемы информационной безопасности в системе высшей школы» (январь, Москва, МИФИ); «Информационная безопасность» (с международным участием, июнь, Таганрог, Государственный радиотехнический университет); «Методы и технические средства обеспечения безопасности информации» (октябрь, Санкт-Петербург, Государственный технический университет).______________________________________________________
№ н/н Программы Длительность обученения, часы/дни
Учебный цикл 1: Безонасность банковских информационных технологий
1.1 Безопасность сетевых технологий 88/11
1.2 Защищенные корпоративные банковские сети 40/5
1.3 Информационная безопасность банковских почтовых систем 40/5
1.4 Безопасность интранет банка и VPN-сети 40/5
1.5 Решения компании Cisco Systems в области защиты информации корпоративных сетей 40/5
1.6 Системы обнаружения атак в корпоративных банковских сетях 24/3
1.7 Мониторинг безопасности в сетях 40/5
1.8 Антивирусная защита информационных технологий 24/3
Учебный цикл 2: Администрирование безопасности информационных технологий
2.1 Администраторы информационных технологий 40/5
2.2 Администрирование корпоративных VPN-сетей на базе комплексов ФПСУ-IP 40/5
2.3 Безонасность информации в Microsoft Windows NT 40/5
2.4 Безонасность информации в Microsoft Windows 2000 40/5
2.5 Безонасность информации в ОС SUN Solaris 40/5
2.6 Механизмы и политика обеспечения безопасности данных в СУБД MS SQL 24/3
2.7 Механизмы и политика обеспечения безопасности данных в СУБД Oracle 24/3
На международном уровне координационная работа по развитию систем подготовки кадров в области ИБ в различных странах проводится Рабочей группой «Образование в области информационной безопасности» (WG 11.8. Information Security Education), входящей в состав Технического комитета «Безопасность и защита в системах обработки информации» (TC 11. Security and protection in information processing systems) Международной федерации по обработке информа-
ции IFIP (International Federation for Information processing). С поддержкой и при непосредственном участии этой организации один раз в два года проводится Международная конференция по образованию в области информационной безопасности (World Conference on Information Security Education, WISE). Третья по счету конференция WISE-3 пройдет в США (Monterey, California, USA) 26-28 июня 2003 г. Следующую конференцию WISE-4 планируется провести в Москве на базе МИФИ в мае 2005 года.
А.Д. Фролов, В.В. Сизых
Россия г. Москва, РГГУ, ИКСИ
О ПРОЕКТЕ ГОСУДАРСТВЕННОГО ОБРАЗОВАТЕЛЬНОГО СТАНДАРТА ПОДГОТОВКИ МАГИСТРА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
По поручению Минобразования Р.Ф., РГГУ и ИКСИ Академии ФСБ России нами разработан проект профессионально-образовательной программы подготовки магистра по направлению «Физико-технические методы и средства защиты информации (условное название)» по профилю группы 075000, сопряженной с четырьмя специальностями 075400 - 075700. Защита информации является комплексной проблемой, имеющей особое значение для безопасности государства и его экономики, требующей для своего решения синтеза знаний из многих отраслей науки и техники. Подготовка специалистов в области информационной безопасности, в том числе по защите информации, является одним из приоритетных направлений для страны, что нашло свое отражение в недавно принятой Доктрине информационной безопасности Российской Федерации. Следует отметить, что имеется большой спрос на специалистов в данной области как со стороны государственных служб, предприятий и учреждений, так и со стороны коммерческих организаций. Однако до недавнего времени выпуск специалистов по этому направлению был крайне малочислен. Помимо этого, подготовка специалистов для работы в научно-исследовательских и разрабатывающих подразделениях, высших учебных заведениях должна отличаться от подготовки специалистов, призванных заниматься вопросами технической эксплуатации и обеспечения защиты информации на предприятиях. Группа специальностей 075000 и утвержденные государственные образовательные стандарты высшего профессионального образования (ГОС ВПО) направлены на подготовку специалистов для практической деятельности по решению конкретных задач в семи основных направлениях в области защиты информации. В настоящее время по этим специальностям ведут обучение многие десятки вузов, что, по-видимому, вновь является некоторым «перекосом», так как обеспеченность этих учебных заведений кадрами преподавателей соответствующей квалификации и необходимого научного уровня весьма неравномерная и во многих случаях недостаточная. Соответственно выход из уже окончивших и будущих выпускников по специальностям группы 075000 в науку и в преподавание в вузах очень мал, что может быстро привести к стагнации в столь важной для России области безопасности. Имеется настоятельная необходимость развития научных исследований по разработке методов и средств защиты информации и обеспечения информационной безопасности предприятий, основанных на новых концепциях и принципах, а также по совершенствованию существующих. Для этого необходима подготовка соответствующих кадров, имеющих углубленную фундаментальную и специальную подготовку и развитую способность к осуществлению научно-
