» Кадровое обеспечение информационной безопасности


Кадровое обеспечение информационной безопасности


21.03.2010

Одной из важнейших задач современности является борьба с компьютерной преступностью и кибер-терроризмом. Спектр преступлений в сфере информационных технологий весьма широк, он варьируется от интернет-мошенничества до детской порнографии и включает такие потенциально опасные действия как электронный шпионаж и подготовка к террористическим актам. Существенное противодействие росту преступлений в сфере информационных технологий может оказать грамотная политика подготовки национальных кадров.

Доктрина информационной безопасности Российской Федерации относит развитие и совершенствование системы подготовки кадров, работающих в сфере обеспечения информационной безопасности, к первоочередным задачам государственной политики.
Задачи кадрового обеспечения вошли отдельным разделом в «Перечень приоритетных направлений научных исследований в области информационной безопасности Российской Федерации», неоднократно рассматривались на заседаниях Межведомственной комиссии Совета безопасности и секции по информационной безопасности научного совета при Совете безопасности Российской Федерации, Межведомственной комиссии по защите государственной тайны. Благодаря принятым мерам, под руководством Минобрнауки России во взаимодействии с заинтересованными федеральными органами исполнительной власти в стране сформировались основные направления многоуровневой системы подготовки кадров в области информационной безопасности.
Задача подготовки специалистов является особенно актуальной еще и потому, что в настоящее время достаточно просто получить доступ к информации, с помощью которой человек может научиться взламывать компьютерные сети и совершать иные кибер-преступления. Свободно распространяются печатные издания, где описываются технологии совершения компьютерных преступлений (в качестве примера достаточно привести журналы, такие как — «Хакер» и «Спецхакер»), получившие особую популярность среди молодежи. В настоящее время любой подросток может купить за небольшие деньги книгу, обучающую его элементарным приемам атаки на информационные системы. С помощью изложенных в книге знаний такой подросток становится реальной угрозой безопасности компьютерных систем. В Интернете представлено огромное количество сайтов, обучающих компьютерному взлому. В сети Интернет проводятся форумы, виртуальные конференции и семинары по обмену опытом совершения компьютерных преступлений. Таким образом, компьютерные преступники активно работают над повышением своей квалификации, вовлекают в свою среду подрастающее поколение и активно его обучают. При этом необходимо отметить, что все это происходит практически легально. Эти обстоятельства подтверждают актуальность и важность решения еще одной задачи — активного противодействия вовлечению молодежи в преступную среду и разработки эффективных методов проведения воспитательной работы среди молодежи.
Насущной задачей современного образования становится разработка таких методов учебно-воспитательной работы, где бы гармонично сочеталось обучение современным информационным технологиям с формированием высоких нравственных качеств для выработки иммунитета к совершению компьютерных преступлений.
В последнее время проблема кадрового обеспечения информационной безопасности привлекает к себе повышенное внимание. Эффективное развитие любого региона, да и всей страны в целом, невозможно без создания в государственных или иных структурах пользователей подлежащей защите информации специальных служб защиты, укомплектованных высококвалифицированными кадрами.
Основные принципы подготовки кадров в области защиты информации с учетом требований настоящего времени можно сформулировать следующим образом: уровень теоретических знаний должен приближаться к международному; подготовку следует ориентировать на приобретение практических навыков ведения дела в отечественных кризисных условиях; существенное внимание должно быть уделено вопросам обеспечения безопасности и устойчивого развития субъекта хозяйствования и региона в целом.
Поскольку современные системы защиты становятся все более сложными и комплексными как по целям, так и по используемым методам и средствам защиты, необходимо расширять номенклатуру образовательных специальностей по защите информации. Подготовка кадров должна осуществляться комплексно в нескольких уровнях:
подготовка молодых специалистов на базе школьного образования (срок обучения — 5-5,5 лет);
подготовка специалистов по информационной безопасности на базе высшего технического образования (срок обучения — 2-2,5 года);
переподготовка кадров на краткосрочных курсах повышения квалификации специалистов и руководителей подразделений (срок обучения — 2-4 недели);
подготовка специалистов на базе среднетехнического образования через колледж на базе 9 классов (срок обучения — 4-5 лет);
подготовка специалистов высшей квалификации через аспирантуру и защиту диссертационных работ в специализированных советах.
По-прежнему актуальна проблема развития системы подготовки кадров в области информационной безопасности как по «вертикали»- с охватом всех уровней подготовки, так и по «горизонтали» — с выходом на проблемы информационной безопасности в гуманитарной сфере и на стыке естественнонаучных, технических и гуманитарных направлений. В первую очередь это относится к подготовке и переподготовке специалистов правоохранительных органов, органов суда и прокуратуры в области борьбы с преступлениями в сфере компьютерной информации. Представляется необходимым создать систему непрерывного профессионального образования специалиста в области информационной безопасности.

Где и как готовят специалистов в области информационной безопасности

В России вопросы подготовки кадров по информационной безопасности в национальном масштабе получили развитие с 1992 г., когда была сформирована межвузовская научно-техническая программа «Методы и технические средства обеспечения безопасности информации». В период между 1992 и 1998 гг. сложился крупный коллектив исполнителей, в состав которого вошли 15 крупнейших вузов России, главным среди которых стал Московский инженерно-физический институт (МИФИ).
В настоящее время специализированную подготовку в области безопасности на российском рынке информационных технологий обеспечивают как учебные центры, для которых это направление является приоритетным (учебный центр «Информзащита», «Конфидент», Domlna Security и др.), так и учебные центры, специализирующиеся на обучении по всему спектру проблем в сфере информационных технологий и телекоммуникаций (Школа CNews, АИС, «Специалист», Сетевая академия «Ланит», Академия «АйТи» и др.). Тематику обучения составляют как авторизованные зарубежные курсы международных центров обучения по защите информации, так и авторские курсы отечественных учебных центров, разработанные с учетом специфики российского рынка.
В качестве метода отбора кадров для обучения используется тестирование на профессиональную пригодность. Но данный метод не является каким-то нововведением, он уже достаточно давно используется для отбора абитуриентов в вузы МВД и службы безопасности, а также в военные учебные заведения.
Опыт предварительного тестирования абитуриентов, поступающих на специальности, связанные с защитой информации, заслуживает самого пристально внимания в связи с необходимостью высоких морально-этических качеств у специалистов, занимающихся вопросами информационной безопасности. Некоторые российские вузы не без успеха используют для тестирования абитуриентов телекоммуникационные технологии. Отдельного внимания заслуживает опыт по отбору в Академию ФАПСИ (Федеральное агентство правительственной связи и информации) с использованием интернет-технологий. В данном случае определить готовность к обучению по конкретной специальности можно при помощи тестирования, которое любой желающий может пройти непосредственно на сервере Академии ФАПСИ (www. academ.fnnet.ru). Данное тестирование предоставляет возможность осуществления дистанционной диагностики способностей и прогноза поступления абитуриента.

Условия повышения качества подготовки специалистов
в области защиты информации

Анализ информации, представленной на сайтах ведущих российских вузов, занимающихся подготовкой специалистов по направлению «Информационная безопасность», позволил выявить ряд условий, реализация которых обеспечит качественную подготовку специалистов в области защиты информации.
Обеспечение тесной связи учебного процесса с научными исследованиями в области информационной безопасности. Как известно, качество обучения во многом определяется глубиной соответствующих научных исследований. Чрезвычайная наукоемкость информационных технологий требует привлечения большого числа специалистов и мощного технического обеспечения. Исследования в области информационной безопасности до недавних пор проводились только в закрытых и военных вузах. Стремительное развитие информационных технологий стимулирует гражданские вузы к интенсивному накоплению собственного опыта, созданию своих научных школ. В настоящее время сложилась научная школа в области криптографии (Институт криптографии, связи и информатики); по техническим средствам защиты (Московский инженерно-физический институт); правовым вопросам защиты информации (Московский государственный университет); защите компьютерных систем от вредоносных программ (Санкт-Петербургский государственный политехнический университет, Таганрогский государственный радиотехнический университет).
Материально-техническое обеспечение учебного процесса. Дополнительные трудности при подготовке специалистов по защите информации возникают и из-за жесткости существующих требований к материально-техническому обеспечению учебного процесса. Практические и лабораторные занятия должны проводиться в специально оборудованных помещениях, с применением современной вычислительной техники. Для обеспечения занятий по циклу дисциплин специализации нужны специальные технические средства (закладные устройства, сканирующие радиоприемники, приборы ночного видения, портативные металлодетекторы), приобретение которых для большинства вузов просто не представляется возможным. Значительных затрат требует лицензионное программное обеспечение, расходные материалы, доступ в Интернет. Решение этой проблемы в России находят путем интеграции с промышленными предприятиями, которые, с одной стороны, берут на себя материально-техническое снабжение вузов, а с другой — удовлетворяют собственные потребности в молодых специалистах. С этой точки зрения заслуживает внимания опыт работы учебного центра «Информзащита», в циклы курсов которого включено обучение практическим вопросам знакомства с отечественными разработками (система «Гриф», «Кондор», электронный замок «Соболь» и др.).
Обеспечение учебного процесса педагогическими кадрами высшей квалификации. Решение данной проблемы видится в организации краткосрочных курсов повышения квалификации, проведении семинаров и конференций по обмену опытом. Недостаток кадров высшей квалификации требует непрерывного мониторинга качества образования.
Анализ программ подготовки специалистов в области информационной безопасности России позволяет выделить следующие особенности обучения:
1) большая номенклатура направлений подготовки и переподготовки по информационной безопасности в учебных центрах;
2) направленность обучения на углубленную теоретическую подготовку специалистов по наиболее общим аспектам безопасности и ознакомление с относительно полным спектром методов и систем защиты информации;
3) акцент на практическую направленность обучения (в рамках учебных программ большое внимание уделяется лабораторным работам и практическим занятиям);
4) ориентация на изучение конкретных продуктов и правил их эксплуатации;
5) высокая мобильность содержания читаемых курсов (быстрая реакция на новые технологии защиты информации);
6) проведение учебных курсов по нормативно-правовой базе защиты информации;
7) тесные контакты с западными ведущими центрами.
Следует отметить также высокую стоимость обучения ($300-1200 за 3-12 дней обучения).
Важным положительным моментом подготовки специалистов в области информационной безопасности в России является осуществление государственного мониторинга качества образования специалистов по защите информации.
Проблема совершенствования подготовки специалистов в области информационной безопасности является многоплановой. Успешно решить ее возможно только комплексно, на основе системного подхода.
Одним из важных условий повышения качества подготовки специалистов в области информационной безопасности является формирование высоких нравственных качеств у студентов. Под понятием «человеческий фактор» психологи понимают «совокупность свойств человека-оператора, влияющих на эффективность системы «человек-машина». Представляется целесообразным расширить определение — это интегральная характеристика личности, определяющая надежность защиты информации при ее получении, хранении и переработке в автоматизированных технико-биологических системах. Невзирая на разнообразие и постоянное совершенствование специальной техники для защиты информации, люди остаются самым слабым звеном в человеко-машинных системах, одним из самых вероятных источников утечки информации.
Проблему «человеческого фактора» при подготовке специалистов в области информационной безопасности целесообразно решать в двух направлениях: совершенствование технологии профотбора на специальности, связанные с защитой информации и оптимизации воспитательной работы в процессе обучения. В учебных заведениях, связанных с подготовкой специалистов в области информационной безопасности, целесообразно создавать специальные подразделения (лаборатории, группы, службы), которые смогли бы заниматься изучением мотивации студентов к совершению противоправных действий в области информационных технологий и выработкой рекомендаций для оперативной корректировки учебно-воспитательной работы среди молодежи. Одним из главных направлений деятельности таких подразделений должно быть проведение профориентационной работы среди молодежи и обязательного тестирования абитуриентов на их профессиональную пригодность. Такие подразделения смогли бы решать еще одну достаточно важную задачу — использование влияния лидеров социальных групп для борьбы и предотвращения компьютерных преступлений. Такое направление успешно развивается в США. Например, одним из способов сокращения количества кибер-преступлений является использование влияния лидеров социальных групп. Как показали социологические исследования, проведенные в США, влияние авторитетов в социальных группах действует на поведение людей. Так, снижение количества курильщиков в США в значительной степени связано с социальным клеймом курильщика.
Таким образом, одним из важных факторов повышения качества подготовки специалистов в области информационной безопасности должны быть меры по ужесточению режима отбора на специальности, связанные с защитой информационных технологий.
Можно предложить следующие пути развития технологии профотбора:
1) создание эталонных моделей студента и специалистов в многомерном пространстве профессионально важных качеств;
2) отражение в содержании профессионально важных качеств познавательных способностей личности, адаптационных возможностей в профессиональной направленности кандидата;
3) разработка алгоритма оценки близости реальных и эталонных образцов кандидата с расчетом как обобщенного интегрального показателя, так и уровней развития составляющих каждого показателя.
В качестве начального приближения к эталонной модели кандидата можно предложить следующее ее содержание: перечень основных профессиональных качеств, которые являются значимыми для успешной профессиональной подготовки в вузе; диапазон изменения уровня сформированности качеств, в пределах которого не снижается успешность подготовки; уровень развития каждого качества.
В учебном заведении учебно-воспитательная работа должна быть поставлена таким образом, чтобы активно вовлечь специалистов по компьютерным технологиям в борьбу с кибер-преступностью или хотя бы изолировать их от преступной среды. В учебных заведениях, занимающихся подготовкой специалистов по информационным технологиям, целесообразно преподавать «Кодекс компьютерной этики», делая упор на то, что уважение к собственности других лиц в виртуальном мире столь же важно, как в мире физическом. Конечно, есть те, кто совершит преступление независимо от общественного мнения, но влияние авторитета — ценный инструмент против многих правонарушений, совершаемых только из-за ошибочной веры в то, что все это делают.
Концепция совершенствования процесса обучения в этом направлении предусматривает решение следующих задач: формирование правовой культуры в области информационных технологий, корректировка существующих учебных программ, введение новых учебных дисциплин.
Для отражения современных достижений в области защиты информации необходимо регулярно (не менее 1 раза в год) пересматривать содержание специальных учебных дисциплин. В настоящее время целесообразно дополнить учебные программы подготовки специалистов в области информационной безопасности дисциплинами по нормативно-правовой базе информационных технологий и по стратегии и тактике информационной войны.
Компьютерные преступления являются одним из способов ведения информационной войны с целью идеологического и психологического влияния на сознание отдельного индивида, социальных групп, разжигания этнической и религиозной вражды. Поэтому при подготовке специалистов в области защиты информации, необходимо включать вопросы, связанные методологическими принципами ведения информационных операций. Специалист по защите информации обязан знать стратегию и тактику ведения информационной войны, поражающие факторы информационного оружия и приемы противодействия информационным операциям.
Необходимо существенно сократить количество коммерческих учебных заведений. Один из путей — жесточайший контроль качества обучения (уровня подготовки), сертификация руководящего и преподавательского состава учебного заведения. Необходимо отметить, что соответствующая нормативно-правовая база существует. В частности, существуют документы по аккредитации учебных заведений. Однако реально эти документы для коммерческих структур не работают.
Если с политикой подготовки специалистов по информационной безопасности дело обстоит относительно благополучно, то с повышением квалификации специалистов возникают проблемы. Для эффективного осуществления процесса повышения квалификации предлагается проводить его на базе ведущих вузов. Именно вузы и должны определять содержание и перечень курсов. При этом надо учитывать и мнение «производственников», но окончательное решение должно быть за высшими учебными заведениями.
Именно вузы обладают достаточно высоким научным и педагогическим потенциалом и способны обеспечить повышение квалификации в соответствии с международными нормами.
Также немаловажным моментом является изменение кадровой политики структур повышения квалификации. В настоящее время одной из проблем повышения квалификации является низкий уровень профессиональной подготовки руководящих работников структурных подразделений. Встречаются случаи, когда подразделениями повышения квалификации руководит человек, не имеющий не только подготовки в области информационной безопасности, но и вообще компьютерного образования, к тому же и без опыта преподавательской работы.
Один из путей совершенствования процесса повышения квалификации — проведение аттестации лиц, занимающихся подготовкой (переподготовкой) кадров. Они должны иметь обязательную специализированную подготовку и опыт преподавательской работы.
Борьба с компьютерной преступностью и кибертерроризмом является одной из важнейших задач современности. Успешность противодействия в этом направлении во многом определяется качеством подготовки специалистов по информационной безопасности. Совершенствование учебно-воспитательной работы создает предпосылки для предотвращения компьютерной преступности, особенно в молодежной среде.
В итоге можно сделать вывод, что существующая система подготовки кадров еще не в полной мере удовлетворяет потребностям страны, а возникающие перед ней новые задачи диктуют необходимость как обновления содержания образования, так и совершенствования организации образования. Особенно остро эта проблема стоит в регионах России.
Таким образом, можно отметить ключевые моменты в повышении уровня подготовки квалифицированных кадров:
возрастающая актуальность проблематики в области обеспечения информационной безопасности для субъектов Российской Федерации с учетом специфики региональных особенностей;
формирование количественной и качественной структуры подготавливаемого контингента в области обеспечения информационной безопасности. Механизм определения потребностей в специалистах по защите информации для государственного и негосударственного сектора экономики требует совершенствования;
отсутствие развернутого перечня должностей специалистов для данного направления деятельности. Действующие квалификационные характеристики должностей руководителей, специалистов и служащих, занятых на предприятиях, в учреждениях и организациях в области обеспечения информационной безопасности устарели и не соответствуют современной ситуации;
существующие в настоящее время документы по лицензированию и контролю качества подготовки специалистов не отражают специфические требования к содержанию и условиям реализации основных образовательных программ в области информационной безопасности, с учетом региональной специфики подготовки кадров;
нуждается в совершенствовании, дифференциации по образовательным областям и подкреплении учебно-методическими материалами федеральный и региональный компоненты государственного образовательного стандарта по вопросам защиты государственной тайны и информационной безопасности, направленный на формирование базового уровня понимания проблематики в обществе;
необходимость более активного привлечения представителей объединений работодателей, творческого потенциала ученых и практиков регионов к разработке государственных образовательных стандартов и образовательных программ в области информационной безопасности.

В. Лихачев,
финансовый директор ООО «Страховое агентство «Комфорт»

«Кадровик. Кадровый менеджмент», N 12, декабрь 2007 г.



Поиск вакансий


Кадровое агентство Фаворит