Система высшего образования в ФРГ. Подготовка специалистов в области информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

ПЕДАГОГИКА И ПСИХОЛОГИЯ

УДК 378.147

СИСТЕМА ВЫСШЕГО ОБРАЗОВАНИЯ В ФРГ. ПОДГОТОВКА СПЕЦИАЛИСТОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

© Марина Сергеевна ЧВАНОВА

Тамбовский государственный университет им. Г.Р. Державина, г. Тамбов, Российская Федерация, доктор педагогических наук, профессор, проректор по образовательной политике и инновациям, e-mail: ms@tsu.tmb.ru © Мария Сергеевна АНУРЬЕВА Тамбовский государственный университет им. Г.Р. Державина, г. Тамбов, Российская Федерация, магистрант направления «Прикладная информатика»,

e-mail: anuryeva@mail.ru

В работе проведен анализ образовательных программ подготовки специалистов в области информационной безопасности высших учебных заведений ФРГ. При рассмотрении предметной области подготовки бакалавров выделены направления подготовки - информационное право и права интеллектуальной собственности, корпоративная и информационная безопасность, компьютерные науки (направление информационная безопасность). Магистерские направления подготовки включают информационное право и интеллектуальная собственность, прикладная информатика (защищенные системы), информационная безопасность, интернет-безопасность, управление безопасностью. Проведен качественный и количественный анализ специализированных дисциплин, из которого видно, что набор дисциплин охватывает весь спектр комплексных подходов к обеспечению информационной безопасности, исключение составляет только инженерно-техническая защита.

Ключевые слова: высшее образование в Германии; бакалавр информационной безопасности; магистр информационной безопасности.

Немецкие вузы, как и российские, переживают эпоху перемен. Германия относится к числу первых европейских государств, подписавших в 1999 г. Болонскую декларацию о создании единого общеевропейского образовательного пространства. В вузах стран-участниц, в т. ч. и России, вводятся близкие по типу учебные программы и дипломы, дающие возможность повышения академической мобильности, облегчения взаимного признания дипломов и обеспечения конкурентоспособности выпускников европейских вузов. В ФРГ и РФ проводится большая работа по разработке правовых и научно-методических основ реформирования высшего профессионального образования. Одним из необходимых инструментов этой реализации является введение сопоставимой с общеевропейскими положениями системы многоуровневого высшего образования. С этой целью проанализирована специфика

немецкого подхода в области подготовки специалистов по информационной безопасности.

На сегодняшний день в Германии насчитывается 323 университета и других высших учебных заведений. В системе высшего образования на первое место выходит техническое образование, тесная связь между теорией и практикой, междисциплинарное образование. Стремясь идти в ногу со временем, вузы вводят программы, отражающие последние тенденции в науке и технике, постоянно пересматривают учебные планы [1].

Проведен анализ образовательных программ, доступных на ресурсах Германской службы академических обменов [2] и официальных сайтах высших учебных заведений [3-11]. Выбор образовательных программ определялся полнотой изложения специализированных дисциплин, доступностью стан-

дарта обучения и учебного плана в официальных источниках.

В Германии национальная система образования строится в рамках Болонского процесса. Университеты в своих образовательных программах придерживаются принципа автономии. Набор дисциплин в каждом вузе по направлению подготовки различен, они сами определяют вопросы, относящиеся к содержанию образования, методике преподавания, штатному расписанию и т. п. В этом проявляется разительное отличие от российских вузов, которые имеют право на внесение изменений в объем преподаваемых дисциплин в небольших пределах. Достаточно жесткая регламентация учебного процесса обусловлена необходимостью следовать нормам ГОС ВПО.

Обучение в Германии имеет двухступенчатую структуру. В бакалавриате дают относительно широкую подготовку, учат пополнять, обновлять знания, умения и навыки по мере необходимости. Магистратура предполагает более узкую и глубокую специализацию, магистрант ориентирован на научноисследовательскую работу в области информационной безопасности. Последний семестр посвящен написанию научной работы на соискание академической степени или подготовке к сдаче итоговых экзаменов. Нужно подчеркнуть, что уже бакалавриат дает законченное высшее образование, и выпускник с дипломом бакалавра может претендовать на штатные должности. В немецких университетах студент может получить - в зависимости от специальности - диплом (Diplom), академическую степень магистра (Magister), либо сдать государственный экзамен (Staatsexamen) в качестве выпускного (все это - равноценные квалификационные звания), и академические степени: бакалавра (Bachelor / Bakkalaureus, B. A., B. Sc., B. Eng.) и магистра (Master, M. A., M. Sc., M. Eng.). В Германии выпускник в сфере ИБ может занимать должности разработчика, эксперта, администратора систем безопасности или системного инженера, возглавлять отделы безопасности.

Подготовка бакалавров по информационной безопасности ведется по направлениям подготовки: «Информационное право и права интеллектуальной собственности», «Информационная безопасность», «Корпора-

тивная и информационная безопасность», «Компьютерные науки, направление - информационная безопасность».

Рассмотрим несколько подробнее направление подготовки «Корпоративная и информационная безопасность» (Corporate and IT Security), степень бакалавр наук (Bachelor of Science - B. Sc.) университета прикладных наук города Офенбург [5]. Направление подготовки ориентировано на слияние сфер бизнеса, информатики и информационной безопасности. В подготовку входит практикоориентированные исследования проблем безопасности бизнеса и организаций, функционирования компьютерных систем и сетей, а также передачи, записи и хранения электронных данных и процессов обеспечения информационной безопасности в компаниях и организациях.

На первом этапе обучения изучаются общие дисциплины: «Основы математики», «Программирование», «Деловое администрирование», «Статистика», «Управление

бизнесом», «Разработка программного обеспечения», «Теоретическая информатика»,

«Архитектура компьютера и операционные системы», «Алгоритмы и структуры данных», «Компьютерные сети», «Интерактивные распределенные системы», «Базы данных».

Учебный план на первом этапе обучения включает следующие специализированные дисциплины, связанные с информационной безопасностью:

- введение в ИТ-безопасность (Дисциплина включает в себя следующие темы: «Интернет-атаки в современных условиях: изменение условий безопасности в быстрорастущих сетях, развитие новых онлайновых платежных систем», «Идентификация, аутентификация и авторизация», «Методы конфиденциальной связи в современных средствах массовой информации: однонаправленные

функции, цифровые подписи, языковые и технические подходы и практические реализации стеганографии, скрытие информации в аудио- и видеодокументах», «Защита от атак на on-line услуги: безопасная маршрутизация в сети, межсетевые экраны, модель злоумышленника, спам, фишинг и других почтовые деструктивные вложениях, системы защиты RBL, DUL, эвристические методы, черные и белые списки, юридические мето-

ды», «Этическая сторона: проблемы этики СМИ, этические проблемы информатики»);

- математика и криптография (Дис-

циплина включает в себя следующие темы: «История криптографических методов, КегскЬо£Г принцип», «Криптографические

алгоритмы и методы, блочные и потоковые шифры, псевдо-случайные числа», «Секретный и открытый ключ, проектирование и эксплуатация, доверительная модель, цифровые сертификаты, удостоверения основе криптографии РК1, стандарты, примеры», «Сетевые криптографические протоколы: криптография в модели 081, стандарты и приложения», «Криптографии на практике, примеры реализации, крипто-аппаратные средства», «Матрицы», «Комбинаторика, автоматы, машина Тьюринга», «Алгоритм Я8Л»);

- аспекты безопасности в области

бухгалтерского учета (Дисциплина включает в себя следующие темы: «Внешней учет», «Основы бухгалтерского учета и отчетности», «Внутренней учет», «Учетная политика», «Практической реализации учета с применением ПО», «Организационно-правовая ответственность», «Тестирование и кон-

троль», «Блокирование внутренней утечки и манипуляции персоналом»);

- безопасность и корпоративная куль-

тура (Дисциплина включает в себя следующие темы: «Структура и организация информационных процессов», «Корпоративные организации и бизнес-среда», «Организация проектов и задачи по обеспечению их безопасности», «Корпоративная этика и ценности активного управления», «Корпоративная

культура, стиль управления, управление рисками», «Доверие к сотрудникам и корпоративная культура», «Стандарты информационной безопасности и международная стандартизация», «Аудит»);

- право (Дисциплина включает в себя следующие темы: «Средства массовой информации, мнение авторов и закон о свободе информации, информационное самоопределение, ответственность, уголовная ответственность», «Мошенничество и компьютерное мошенничество, подделка электронных документов, уголовная ответственность за НСД и отказ в обслуживании, стандарты области защиты данных», «Интернет-преступления: нарушение авторских прав, пропаганда экстремизма, порнография и азартные иг-

ры, уголовное преследование интернет-провайдеров», «Органы аудит ИТ-безопасности, об использовании хакерских инструментов»).

Второй этап обучения состоит из набора обязательных и дополнительных дисциплин. Рассмотрим набор обязательных для изучения дисциплин. В данном цикле, помимо дисциплин общего характера, связанных с электронным бизнесом и деловой практикой, изучается целый набор специализированных предметов:

- безопасность в гетерогенных средах (Дисциплина включает в себя следующие темы: «Операционные системы в гетерогенных средах», «Unix сокеты и Microsoft TCP / IP стек», «Протоколы связи и их безопасность в гетерогенных сетях, RPC», «Файловые службы: технологии, компоненты и сценарии, файловые системы, взаимосвязь между операционными системами, диски и тома, виртуальные службы диска Storage Services», «Сильные и слабые стороны конкретных реализаций операционных систем, безопасность сетевых сервисов, CORBA, DCOM, доступ к общим аппаратным компонентам», «Контроль доступа в гетерогенных сетях, единый контроль доступа», «Настройка операционных систем, изменения в ядре, управление памятью, платформа мониторинга в гетерогенных сетях, практические стратегии для конфигурации безопасности в гетерогенных средах»);

- безопасность сети (Дисциплина включает в себя следующие темы: «Угрозы безопасности, архитектура сетевых служб безопасности, контроль доступа в сетях», «Протоколы резервного копирования и транспортного уровня в OSI модели, IPsec архитектура безопасности, практическое применение и реализация», «Задачи и основные принципы интернет-брандмауэров, фильтрация пакетов, брандмауэр связанных интернет-сервисов и протоколов», «Безопасная беспроводная и мобильная связь, угроз в сетях мобильной связи, безопасность в беспроводных глобальных сетях», «Сценариев атак и защиты от них, хакерские утилиты, вредоносные программы из Интернета, Honeypots, системы обнаружения вторжений», «Анализ безопасности в сети, частные сети, шпионаж в Интернете»);

- системы контроля доступа (Дисциплина включает в себя следующие темы:

«Идентификация и аутентификация, трехступенчатая модель контроля доступа, биометрия, одноразовые пароли и криптографические ключи, смарт-карты», «Единый вход в ОС, службы каталогов, Kerberos, тонкие клиенты», «Модели и технологии контроля доступа, открытые DAF модели, закрытые модели и на основе ролей MAC-RBAC, ограниченный пользовательский интерфейс, списки доступа и авторизации», «Централизованное и децентрализованное управление контролем доступа, RADIUS, TACACS», «Подпись и на основе поведения охранных систем обнаружения», «Несанкционированный доступ к информации, электромагнитный канал утечки информации»);

- безопасность в бизнес-процессах (Модуль выделяет ключевые требования в области проектирования и организации бизнес-процессов и показывает, какие конкретные требования должны применяться из рассмотрения аспектов корпоративной безопасности и функций управления персоналом в компании. Рассматриваются требования к переговорам с деловыми партнерами, проблемы передачи знаний третьими лицами);

- управление рисками (Дисциплина включает в себя следующие темы: «Выявление и оценка риска, потенциальные угрозы, количественные и качественные методы анализа рисков, анализ затрат и управление активами», «Идентификации и планирование действий, процедуры анализа рисков для правильной классификации угроз, административный контроль», «Планирование чрезвычайных ситуаций и обеспечение непрерывности бизнеса, инициации проекта, косвенный анализ», «Стратегии резервного копирования: накопительный принцип, непрерывная защита данных и т. д., альтернативные методы: непрерывное резервное копирование, тесты»);

- компьютерная криминалистика (Дисциплина включает в себя следующие темы: «Компьютер в качестве орудия преступления», «Цифровые улики и доказательства: электронные доказательства, следственные методы, судебный процесс и доказательства», «Цифровые диски и файловые системы, сбор и оценка следственных доказательств», «Уничтожение и восстановление информации на электронном носителе», «Поиск и скрытие информации: методы экс-

пертизы», «Анализ Unix и MS-Windows систем», «Инструменты и оборудование для сбора доказательств», «Обнаружения вторжений и реагированию на инциденты»);

- тенденции развития информационной безопасности за рубежом (Дисциплина включает в себя следующие темы: «Тенденции в практической безопасности ИТ», «Мировая практика защиты данных и информационной безопасности», «Следы злоумышленников в Интернете»).

Подготовка магистров (Master of Science [M. Sc.] и Master of Laws [LL. M.]) по информационной безопасности ведется по следующим направлениям: «Информационное правo и интеллектуальная собственность», «Информационной менеджмент (специализация - информационное право)», «Прикладная информатика (специализация - защищенные системы)», «Информационная безопасность», «Интернет-безопасность», «Управление безопасностью».

Формы обучения имеют классические черты - лекции, работа над заданиями в компьютерных классах, семинары, выступления студентов, но существуют и особенности, среди них самостоятельная работа в небольших группах при реализации конкретных проектов, связанных с информационной безопасностью и разработкой опытных образцов, ролевые игры. Широко применяется приглашение сторонних докладчиков для объяснения соответствующих практических примеров. Отметим практическую направленность и ориентирование на бизнес студенческих стажировок, зачастую именно компании и организации формулируют цели и задачи стажировок и производственных практик.

Обучение в магистратуре базируется на программе подготовки бакалавра (как правило, компьютерных наук), но отличается технологической широтой, глубиной изучения специализированных предметов. Кроме того, программа подготовки магистра дает гибкую систему выбора дисциплин для изучения и, следовательно, большую свободу в разработке индивидуального обучения. Практическое обучение в магистратуре строится на работе над актуальными задачами в области безопасности информационных технологий. Часто исследования магистра являются продолжением разработанных в бакалавриате инно-

вационных, практических и научно-исследовательских тем.

Рассмотрим подробнее направление подготовки «Информационная безопасность», степень магистр наук (Master of Science [B. Sc.]), университета города Пассау [10].

Учебный план включает в себя обязательные, дополнительные, факультативные и элективные курсы по информатике, математике и ИТ-законодательству и охватывают следующие области:

- ИТ-безопасность (базовый курс);

- практическая ИТ-безопасность;

- безопасность сетей;

- безопасность программного обеспечения информационных систем;

- информационное законодательство;

- ИТ-безопасность в бизнес-приложений;

- диссертация.

Первый этап обучения включает блок обязательных дисциплин: «ИТ-безопасность»; «Криптография»; «Безопасность сетей», а также семинарские занятия по дисциплине «ИТ-безопасность».

Второй блок включает изучение дисциплин по выбору, общую практику, практические занятия по ИТ-безопасности. Дисциплины по выбору (выбираются любые две): «Безопасность информационных сетей», «Безопасность программного обеспечения информационных систем», «Информационное законодательство», «Информационная безопасность бизнес-приложений». Во втором модуле необходимо пройти стажировку в одной выбираемой самостоятельно области практической ИТ-безопасности: инфраструктура систем безопасности или практическое обеспечение безопасности.

Магистрант выбирает одно из факультативных направлений, которое и будет определять его специализацию. Ниже приведены факультативные направления и их дисциплины:

- информационная безопасность в сети (Безопасность беспроводной сети, Функциональная безопасность, Компьютерные сети II, Компьютерные сети III);

- безопасность программного обеспечения информационных систем (программное обеспечение для систем безопасности, Безопасность в информационных системах, Безопасность мультимедийных технологий);

- информационное законодательство (ИТ-безопасность и уголовное право, ИТ-бе-зопасность и гражданское право, Юридическая практика в области компьютерных наук и ИТ-безопасности);

- ИТ-безопасность компании (ИТ-безо-пасность в распределенных системах, Управление безопасностью, Практика ИТ-безопас-ности).

В конце подготовки выпускник должен обладать следующими компетенциями:

- способностью обрабатывать информацию для оценки безопасности пользовательских систем;

- способностью реализовать решения, которые отвечают современному уровню развития информационных технологий, условий организации кадров и правовым нормам;

- способностью выступать в качестве экспертов по вопросам информационной безопасности;

- способностью профессионально разрабатывать системы безопасности в промышленности и организациях;

- способностью применять управленческие функции;

- способностью проводить научные исследования в области компьютерных наук.

Современная система высшего образования в ФРГ заметно отличается от российской. В Германии провозглашен принцип «академической свободы», согласно которому свобода предоставлена не только вузам в вопросах управления, но и каждому студенту. В Германии не существует жесткой системы обучения в общем обязательном порядке, в университетах широкий выбор предметов в рамках одного факультета позволяет получить междисциплинарное образование и различные специализации. Несмотря на это, вуз устанавливает обязательные для изучения дисциплины. Для рассматриваемого направления подготовки к общим обязательным дисциплинам относятся: основы физики и математики, теоретическая информатика, введение в программирование, анализ и числовые методы, базы данных и системы управления, структуры данных и алгоритмы, разработка ПО, информационная безопасность. Обязательные специализированные дисциплины включают: электронные ключи, прикладная криптография, безопасность мо-

бильных устройств, управление информационной безопасностью.

В то же время студенты могут осваивать дисциплины по выбору: прикладная криптография, беспроводные локальные сети, аппаратные средства безопасности, основы управления ИТ-рисками, поиск информации, мобильные информационные системы, объектно-ориентированная система программирования, программирование, безопасная разработка программных систем, статистический анализ данных, основы бизнеса, операционные системы, управление сетями, распределенные и параллельные системы, безопасность ИТ-сетей, безопасность программного обеспечения информационных систем, информационное законодательство, ИТ-безо-пасность бизнес-приложений. Как правило, в конце обучения студент выбирает одно из факультативных направлений, включающее несколько специализированных курсов, которое и будут определять его специализацию.

В то же время свобода выбора дисциплин может иметь для студента и негативные последствия. Приведенный анализ системы подготовки показывает, что набор дисциплин охватывает весь спектр комплексных подходов к обеспечению информационной безопасности, исключение составляет только инженерно-техническая защита. Но вероятность неудачного выбора предметов может привести к фрагментарным и узкоспециализированным знаниям.

Отметим, что в направлении подготовки «Информационная безопасность» полностью отсутствуют привычный для российского образования блок гуманитарных дисциплин (философия, психология, история), зато много дисциплин, связанных с законодательством и правом на интеллектуальную собственность, бизнес-процессами, межличностными отношениями и управлением персоналом. Эти знания и навыки дают возможность выпускникам напрямую взаимодействовать с бизнес-сообществом, например, обосновывать перед руководством необходимость инвестирования в безопасность, увязывать политику информационной безопасности с общей стратегией развития бизнеса и т. д.

Поскольку принципы Болонского процесса поощряют выборность курсов, преподаватели оказываются в условиях конкуренции, они должны сделать свои курсы при-

влекательными для студента, поэтому преподаватель старается вносить в свои дисциплины элементы научных исследований, особенно много научно-ориентированных курсов в магистратуре. Диссертации на степень бакалавра и магистра тоже строятся на результатах научных исследований.

1. Система образования в Германии. URL: http://www.rector.ru/articles.asp?print_it=1&arti cle_id=16&c_id=2&type_id=6. Загл. с экрана.

2. Германская служба академических обменов. URL: http://www.daad.de. Загл. с экрана.

3. Ганноверский университет имени Лейбница -«Информационное правo и права интеллектуальной собственности». URL: http://www. uni-hannover.de/de/studium/studienfuehrer/it-recht/index.php. Загл. с экрана.

4. Университет города Аален - Информационная безопасность. URL: http://www.htw-aalen. de/studium/its/. Загл. с экрана.

5. Университет прикладных наук города Офен-бург - «Корпоративная и информационная безопасность». URL: http://www.fh-offenburg. de/uportal/go.jsp?id=1&l=de. Загл. с экрана.

6. Боннский университет. Компьютерные науки, направление информационная безопасность (Computer Science (Information Security). URL: http://www3.uni-bonn.de/studium/studienan gebot/ grundstaendige-studiengaenge/informatik. Загл. с экрана.

7. Технологический университет города Карлс-

руэ (KIT) - «Информационной менеджмент (специализация информационное право)». URL: http://www.kit.edu/studieren/ 2459.php.

Загл. с экрана.

8. Бременский университет - «Прикладная информатика (специализация защищенные системы)». URL: http://www.uni-bremen.de/master. Загл. с экрана.

9. Университет города Пассау - «Информационная безопасность». URL: http://www.uni-passau.de/studienangebot.html. Загл. с экрана.

10. Университет прикладных наук города Гельзенкирхен - «Интернет-безопасность». URL: Master Internet-Sicherheit http://www. internet-sicherheit.de/de/lehrebereich/master-internet-sicherheit. Загл. с экрана.

11. Университет прикладных наук города Бранденбурга - «Управление безопасностью». URL: Fachbereich Wirtschaft Brandenburg University of Applied Sciences http://fbwcms.fh-brandenburg.de/de/5185. Загл. с экрана.

Поступила в редакцию 1б.03.2012 г.

UDC 378.147

HIGHER EDUCATION SYSTEM IN GERMANY. TRAINING IN THE FIELD OF INFORMATION SECURITY Marina Sergeyevna CHVANOVA, Tambov State University named after G.R. Derzhavin, Tambov, Russian Federation, Doctor of Education, Professor, Pro-rector for Educational Policy and Innovations, e-mail: ms@tsu.tmb.ru

Mariya Sergeyevna ANURYEVA, Tambov State University named after G.R. Derzhavin, Tambov, Russian Federation, Master of “Applied Informatics” Direction, e-mail: anuryeva@mail.ru

The article analyzes the educational programs of training in information security universities of Germany. When considering domain bachelor highlighted areas of training - law information and intellectual property rights, corporate and information security, computer science (the direction of information security). Masters areas of training include law information and intellectual property, applied computer science (secure systems), information security, Internet security, security management. a qualitative and quantitative analysis of specialized disciplines, which shows that the set of disciplines covering the full range of integrated approaches to information security, the exception is only the engineering and technical protection.

Key words: higher education in Germany; Bachelor of Information Security; Master of Information Security.