Научно-методологические аспекты подготовки специалистов в области информационной безопасности
Дата: 28.01.2005Источник: www.crime-research.ru
Автор: Геннадий Маклаков
ВведениеОдной из важнейших задач современности является борьба с компьютерной преступностью и кибертерроризмом. Спектр преступлений в сфере информационных технологий по сведениям системы учета преступлений Cybersnitch Voluntary Online Crime Reporting System (http://www.cybersnitch.net/csinfo/csdatabase.asp) весьма широк, он варьируется от Интернет-мошенничества до детской порнографии, и включает такие потенциально опасные деяния как электронный шпионаж и подготовка к террористическим актам. Согласно исследованиям Meridien (www.epaynews.com/statistics/fraud.html), потери только от Интернет-мошенничества достигнут к 2005 году 5–15 миллиардов долларов США. Достаточно полную информацию о состоянии компьютерной преступности, проблемах организации борьбы с компьютерной преступностью и кибертерроризмом дает сайт Центра исследования компьютерной преступности (http://www.crime-research.ru). Существенное противодействие росту преступлений в сфере информационных технологий может оказать грамотная политика подготовки национальных кадров в сфере информационной безопасности.
Неотъемлемой составляющей государственной политики Украины, направленной на защиту информационных ресурсов государства и защиту информации с ограниченным доступом, является подготовка специалистов в сфере защиты информации и информационной безопасности. Задача подготовки специалистов является особенно актуальной еще и потому, что в настоящее время достаточно свободно распространяются печатные издания, где описываются технологии совершения компьютерных преступлений (в качестве примера достаточно привести журналы, издаваемые в России – «Хакер» и «Спецхакер»), получившие особую популярность среди молодежи. В настоящее время любой подросток может купить за небольшие деньги книгу, обучающую его элементарным приемам атаки на информационные системы. С помощью изложенных в книге знаний такой подросток становится реальной угрозой безопасности компьютерных систем. В Интернет представлено более 30 тысяч сайтов, обучающих компьютерному взлому [1]. В сети Интернет проводятся форумы, виртуальные конференции и семинары по обмену опытом совершения компьютерных преступлений. Таким образом, компьютерные преступники активно работают над повышением своей квалификации, вовлекают в свою среду подрастающее поколение и активно его обучают, причем легально. Все это подчеркивает важность решения еще одной задачи – активного противодействия вовлечению молодежи в преступную среду и разработки эффективных методов проведения воспитательной работы среди молодежи.
Насущной задачей современного образования становится разработка таких методов учебно-воспитательной работы, где бы гармонично сочеталось обучение современным информационным технологиям с формированием высоких нравственных качеств для выработки иммунитета к совершению компьютерных преступлений.
1. Аналитический обзор существующих подходов к построению процесса подготовки специалистов в области защиты информации
Предварительный анализ существующих подходов к построению процесса подготовки специалистов в области защиты информации в США, странах Западной Европы и в некоторых государствах СНГ позволил выделить доминирующие направления и сконцентрировать внимание на рассмотрении существующих подходов к процессу обучения, в основном, в двух странах: США и Россия.
1.1. Особенности подготовки кадров в области информационной
безопасности в США
В США самое серьезное внимание уделяют проблеме подготовки специалистов для защиты национальных информационных структур. Важно отметить, что в США очень много внимания уделяется привлечению общественного внимания к проблеме информационной безопасности. В 1998 году был создан Национальный центр защиты инфраструктуры (NIPC), который объединяет представителей органов власти, военных и частного сектора, для защиты национальных инфраструктур (более подробная информация находится на сайте: http://www.staysafeonline.info). Международная ассоциация специалистов по компьютерным исследованиям (IACIS), обеспечивает обучение в области компьютерных технологий (http://www.nips.gov). Успешно функционирует Национальный союз кибербезопасности, созданный совместно правительством и промышленниками США. Цель союза - разработка подходов к проблеме безопасности в киберпространстве, повышение уровня образования в сфере информационной безопасности, привлечение общественного внимания к проблеме кибертерроризма [2].
Проведенный обзор Интернет-сайтов, посвященных подготовке специалистов в США, позволил выделить крупнейшие компании, проводящие обучение в области информационной безопасности: Check Point Software Technologies, Cisco Systems, IBM Tivoli Systems Global Security Laboratory, Internet Security Systems, Microsoft, Network Associates, Prosoft Training. Com, Sun Microsystems, Symantec. Среди учебных центров, специализирующихся на подготовке специалистов по защите информации можно отметить: CERT, GIAC, CSI, Cisco Systems .
Помимо коммерческих компаний, подготовку специалистов в области информационной безопасности осуществляет ряд государственных структур: аспирантура NAVAL предлагает 12 различных курсов, агентство по защите информационных систем (Defense Information Systems Agency, DISA) – 8 курсов, колледж управления информационными ресурсами (Information Resource Management College) – 1 курс [3].
Для совершенствования методов обучения в Министерстве обороны создано специальное подразделение – «Управление программ по информационной безопасности (Information Assurance Program Office)». Агентство национальной безопасности (NSA) сформировало ещё в 1999 году ряд центров послевузовского образования, а в 2000 году подключило к ним 14 ведущих университетов США. Одновременно Белый Дом приступил к обучению правительственных чиновников (до 10 тыс. человек) в рамках федеральной программы обеспечения безопасности информационных технологий с бюджетом 25 млн. долларов в год [4].
После трагических событий 11 сентября 2001 года во многих городах США начали регулярно проводиться семинары, конференции, симпозиумы по проблемам киберпреступности и кибертерроризма. Практически на каждой из встреч звучали призывы улучшить подготовку и обучение пользователей компьютеров по информационной безопасности. Так, например, в 2002 году проводился семинар "Компьютерные преступления и безопасность" городов Тампа и Сарасота (штат Флорида), в работе которого, наряду со специалистами по компьютерным технологиями, приняли участие и сотрудники правоохранительных органов [5] . "Как и везде, в мире компьютеров подготовка и обучение играют первостепенную роль", - подчеркивает сотрудник ФБР по компьютерной преступности Хейс. "Организации должны быть уверены, что их пользователи компьютеров знают об опасностях, которые таит в себе Интернет. Пользователям также необходимо следовать политике и правилам той организации, на которую они работают" [5] .
Обучение в США концентрируется, в основном, на подготовке и переподготовке специалистов по техническим аспектам защиты информации. Намечается отставание в подготовке юристов по расследованию компьютерных преступлений. "Мы только начинаем обучение юристов, умеющих вести дела против компаний, которые шли на компромиссы в отношении защиты информации", - отмечает Рэй Каплан (Ray Kaplan), консультант фирмы Security Services, занимающейся защитой корпоративной информации (Ричфилд, шт. Миннесота) [6]. По мнению С.Вилдера и Б.Виолино [6], для успешной борьбы с киберпреступностью необходимо, чтобы, с одной стороны, полицейские академии включали вопросы расследования компьютерных преступлений в основной курс уголовного розыска; с другой стороны – в учебные планы подготовки специалистов по обеспечению информационной безопасности должны быть включены разделы, касающиеся профилактики компьютерных преступлений.
Как видно, сеть подготовки специалистов достаточно развитая. Но даже при таких масштабах, по мнению экспертов, в США ощущается нехватка специалистов в области безопасности информационных систем. На сегодняшний день дефицит таких кадров составляет почти 50000 человек [7].
Одним из направлений совершенствования системы подготовки специалистов по защите информации в США видят в создании международных консорциумов.
1.1.1. Подготовка кадров по защите информации в США
через международные консорциумы
Интернациональный характер проблемы государственного обеспечения защиты информации требует консолидации и координации усилий всех стран в плане подготовки специалистов по защите информации. США выступили инициаторами создания сети международных консорциумов по подготовке кадров в области защиты информации.
1.1.1.1. Международный консорциум по сертификации в области безопасности
информационных систем International Information Systems Security Certification Consortium, Inc.
Мировым лидером по сертификации специалистов по информационной безопасности является международный консорциум по сертификации в области безопасности информационных систем: International Information Systems Security Certification Consortium, Inc. - (ISC)2, который базируется в Вене и Виржинии, а также имеет офисы в Лондоне и Гонконге (http://www.isc2.org/). (ISC)2 является головной организацией в обеспечении профессионалов в области информационной безопасности и специалистов-практиков всего мира стандартом профессиональной сертификации, основанном на "Общепринятом объеме знаний" (ISC)2 для специалистов по информационной безопасности. Существуя более 14 лет, (ISC)2 уже сертифицировал тысячи профессионалов в области безопасности более чем 100 стран. К претендентам на получение сертификата Certified Information Systems Security Professional...
