Rambler's Top100
Статьи
13 августа 2014

А.Раевский: Требуется непрерывное обучение

По мнению экспертов «ИКС», постоянно обучаться должны  не только специалисты службы инфобезопасности предприятия, но и весь персонал, работающий с корпоративными данными.

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 10.

 

? “ИКС»: Какое дополнительное обучение требуется специалистам по инфобезопасности для эффективной работы? В каких случаях необходима помощь системных интеграторов? Игорь Корчагин

 

Игорь Корчагин, руководитель группы обеспечения безопасности информации, ИВК: Для специалистов по информационной безопасности в целях повышения эффективности их работы необходимо постоянно поддерживать высокий уровень квалификации с учетом постоянно изменяющихся требований законодательства, а также развитием новых технологий, в том числе защиты информации. И одним из ключевых методов такого обучения может стать проведение вендорами и системными интеграторами вебинаров. При этом хотелось бы видеть в роли участника вебинаров или специальных открытых конференций представителей государственных регуляторов, так как зачастую у многих специалистов возникает достаточно много вопросов, касающихся реализации нормативных требований по безопасности, а официальных разъяснений или нет, или их недостаточно. Сергей Иванов

 

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Безусловно, все зависит от начального уровня специалиста. Он должен хорошо представлять возможности всех присутствующих на рынке средств защиты информации, обладать опытом внедрения и сопровождения комплексной системы безопасности. Помощь системных интеграторов нужна в двух случаях: если у штатных сотрудников отсутствует необходимая квалификация, а на ее повышение нет времени; если стоимость повышения квалификации и дальнейшего содержания специалиста не адекватна стоимости услуг аутсорсинга. Александр Санин

 

Александр Санин, коммерческий директор, Аванпост: Лучшее обучение для специалистов по ИБ — это, конечно, практика. Но и дополнительное образование может являться большим подспорьем. Как правило, очень полезными бывают обучения по работе с тем или иным продуктом от вендора, особенно если этот продукт в дальнейшем будет эксплуатироваться данным специалистом в рамках своей работы. Вячеслав Медведев

 



Вячеслав Медведев, старший аналитик, DrWeb: Не хватает умения идти от бизнеса и умения получать информацию. Все остальное – наживное.

 

Михаил БашлыковМихаил Башлыков, руководитель направления информационной безопасности, КРОК: Обучение требуется не только специалистам службы информационной безопасности. В современной компании защитам от утечки должен быть обучен весь персонал, работающий с корпоративными данными. При этом уровень осведомленности сотрудников компании о новых технических средствах защиты должен постоянно повышаться. Нужно разрабатывать соответствующие материалы, раздавать сотрудникам печатные или онлайн-брошюры, чтобы они чувствовали ответственность за работу с информацией. Обучение системных администраторов тоже должно происходить на постоянной основе; оно недешевое, но, как правило, себя оправдывает. Бессмысленно покупать суперкомпьютер, если человек им не умеет пользоваться. Рано или поздно он его просто сломает. Так и при защите инфраструктуры: нет смысла внедрять дорогую систему защиты, если в штате компании нет специалистов, которые умеют с ней работать. Затраты на консалтинг при реализации проекта и затраты на обучение собственного персонала должны быть практически сопоставимыми. Но, к сожалению, это не всегда происходит.

Александр Бодрик 

Александр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: В силу принципиально разной природы необходимых для эффективной защиты от утечек процессов рационально иметь в штате специалистов как минимум двух направлений информационной безопасности. Первые - это «оперативники», отвечающие за мониторинг и расследования, для которых рациональным будет курс по конкретной технологии (DLP\DAM) стоимостью в 50 тыс. рублей и длительностью в пять дней. Вторая категория специалистов представлена «управленцами» (или проектными менеджерами), для которых необходим, в первую очередь, практический опыт по построению системы защиты от утечек. Несмотря на то, что управленческий профиль специалиста по инфобезопасности не предполагает наличия глубоких технических навыков, ответственность за внедрение должна лежать именно на нем, так как технологий выявления и предотвращения утечек отличаются разнообразием и сложностью. Поэтому непосредственно проектировать и внедрять подобные средства рационально силами интеграторов, у которых есть возможность содержать редких специалистов, предоставляя их экспертизу сразу многим заказчикам. Однако при выборе интегратора разумно обращать внимание не только на наличие сертифицированных и опытных специалистов. Важно оценить опыт поставщика услуг, разобраться, понимает ли он типичные мотивации инсайдеров в вашей отрасли, а также стандартные драйверы и каналы утечек в бизнесе в целом. Рустэм Хайретдинов

 

Рустэм Хайретдинов, исполнительный директо Appercut Security: Для оптимального решения задач внутренней информационной безопасности специалистам необходима специальная подготовка во многих областях. Такие курсы можно прослушать на мероприятиях по повышению квалификации или в ходе получения образования по программам специализированных МВА. Читают такие курсы, в массе своей, практики из компаний-вендоров, консультантов, заказчиков или интеграторов.

 

Алексей ЛукацкийАлексей Лукацкий, эксперт по информационной безопасности, Cisco: Тема некачественного обучения по вопросам ИБ поднималась уже неоднократно. Искать и изучать причины сейчас бессмысленно - лучше подумать над тем, как ситуацию изменить. Как сделать так, чтобы выпускники вузов получали востребованные на практике знания, а не устаревшие и теоретические сведения, которые скорее мешают, чем помогают при выборе своего пути и своей профессии. Повлиять на Министерство образования сложно, как и на Минтруда, которое недавно утвердило профессиональный стандарт специалиста по ИБ, на который без слез не взглянешь. Но можно попробовать сформировать свое видение тех тем, которые должен знать и понимать любой безопасник независимо от того, кем и где он будет работать дальше. Став администратором ИБ, аудитором, руководителем службы ИБ, служащим ФСТЭК, разработчиком средств защиты, сотрудником ЦИБ ФСБ или БСТМ МВД, выпускник должен иметь общие представления о разных направлениях ИБ. А дальше выпускник может уже либо продолжить обучение по выбранному направлению (если найдет, где), либо заняться самообразованием.

Итак, вспоминая Лукьяненковские "Дозоры", всю образовательную программу в части спецдисциплин я бы разбил на четыре больших блока:

  •  

    • Светлая сторона –  то, чем мы и занимаемся (защита информации);

    • Темная сторона – рассказ об угрозах, нарушителях, их мотивации и бизнес-моделях (данная тема требует ежегодного пересмотра и выдачи новых материалов для студентов, да и в рамках повышения квалификации ввиду динамичности этой темы надо ее обновлять постоянно);

    • Инквизиция – в этом блоке студентам нужно давать тематику, связанную с надзором в области ИБ, правоприменительной практикой, криминологией и расследованием инцидентов, вопросами лицензирования деятельности и т.п.;

    • Технологии, которые мы защищаем – ИБ обычно имеет непосредственное отношение к ИТ, поэтому необходимо иметь представление как о существующих, так и перспективных технологиях, которые могут повлиять на ИБ или возникающие риски. Как и в случае с угрозами, необходимо регулярно пересматривать данный раздел курса ввиду непрерывной изменчивости технологий.

По сути, предлагаемый список - это прообраз ФГОС в части спецпредметов (исключая общие дисциплины). Хотя этот список может быть использован и в менее глобальной и более приземленной задаче - повышении квалификации по темам, которые выпали из предыдущего опыта и образования. Алексей Раевский

 

Алексей Раевский, генеральный директор, Zecurion: Я считаю, что специалистам по ИБ требуется непрерывное дополнительное обучение. Если специалист по ИБ не расширяет постоянно свой кругозор, не следит за развитием технологий, за состоянием отрасли и появлением новых угроз, его ценность невелика. Для этого не нужны какие-то спецкурсы, каждый специалист сам вполне может этим заниматься, нужно лишь желание. Кроме этого, дополнительное обучение часто требуется по конкретным продуктам, используемым в организации. Но эта проблема легко решается с помощью специальных курсов и систем сертификации, организованных соответствующими вендорами.

 

? «ИКС»: Считаете ли вы оправданной практику некоторых компаний привлекать к работе молодых талантливых "взломщиков"?

 

А. Санин: Я к такой практике отношусь сугубо положительно. Информационная безопасность в этом вопросе, – по сути, медаль с двумя сторонами. Есть те, кто «защищают» и те, кто «нападают». И если первые –  это вполне легитимные специалисты, то ко второй категории относят полукриминальных и криминальных личностей (в народе «хакеров»). Я считаю, что, чем раньше «защитники» увидят потенциал и талант в специалисте и раньше переведут его на «светлую сторону», тем лучше, одним потенциальным преступником будет меньше. Но с другой стороны, я прекрасно отдаю себе отчет, что «темная сторона» так же активно пополняет свои ряды такими же талантливыми специалистами, ведь там и соблазнов больше, и доход порой обещается просто заоблачный. В современной ИБ эти две стороны неразрывно связаны друг с другом. Если бы не было всех этих хакеров, ломающих системы и нарушающих закон, не было бы и защитников. Отчасти можно даже сказать, что именно проделки хакеров, нашедших, к примеру, критическую уязвимость, зачастую двигают развитие ИБ вперед. Андрей Прозоров

 

Андрей Прозоров, ведущий эксперт по информационной безопасности, InfoWatch: С этим надо быть очень аккуратным, я бы не рекомендовал принимать на работу лиц с «подмоченной» репутацией. Особенно если дело касается информационной безопасности.

 

В. Медведев: Если под взломщиками подразумеваются специализированные компании, то это однозначно оправдано, так как статистика четко говорит, что в большинстве случаев специалисты компании не знают уровня современных угроз и соответственно не умеют выбирать меры защиты. А вот использование хакеров не может служить оправданием в силу специфической субкультуры, в рамках которой вполне оправдан легкий переход к темной стороне деятельности включая внедрение бэкдоров. Владимир Воротников

 

Владимир Воротников, руководитель отдела перспективных исследований и проектов,  «С-Терра СиЭсПи»: Аудит безопасности – полезное мероприятие, но так как аудиторы зачастую получают критически важную информацию о ваших системах ИБ, то к их выбору следует подойти крайне ответственно, как к квалификации аудиторов, так и к их профессиональной репутации.

 

Александр ТрошинАлександр Трошин, технический директор, «Манго Телеком»: Не скажу, что люди, которые учатся, и талантливо учатся или только собираются учиться на факультетах по ИБ, не могут в детстве «шалить» и не могут быть взломщиками. Могут, так как это определенные и часто серьезные вызовы, заставляющие работать мозг, искать и находить нетривиальные решения, вырабатывающие привычку, а потом и постоянный навык, позволяющий не бросать поиск решения на полпути и справляться со сложными задачами, вырабатывать системное мышление. Главное, чтобы все это было в правовом поле и не наносило  ущерба компаниям, их репутации и бизнесу. В правовом поле оставаться можно, как минимум, за счет проводимых многими мировыми компаниями конкурсов по взлому их информационных систем и привлечению к работе победителей данных конкурсов. Это больше мировая практика, в России это пока единичные случаи. Но участие российских специалистов в таких конкурсах – это уже система. Что, кстати, подтверждает наличие потенциально хороших кадров, которые могут стать прекрасными специалистами по ИБ.

Стоимость обучения зависит от подхода и от того, идет ли речь о государственном или коммерческом обучении. Так, специализированные курсы по ИБ есть и я не могу сказать, что они дороже обычных профильных курсов. Другое дело –  обучение на своих ошибках человека, который уже пришел в компанию, но еще не обладает должным опытом и навыками по организации системы ИБ на определенном уровне; тут цена обучения может стать слишком высокой.

Еще один важный момент: на курсах могут учить систематизации определенных знаний, навыков. А на практике нужно учиться строить системы, которые предотвращают случаи нарушения ИБ. И не всегда человек без системных знаний о том, как выстроить комплексную защиту знает, как предотвратить потенциальные угрозы. Он может знать перечень потенциальных угроз, но при этом может не иметь четкого представления о том, что  сделать и как построить систему, чтобы эти угрозы не возникали. В эти  знания входит, например, учет определенной информации и обмен ею, выстраивание и согласование процессов и работ, контроль выдачи прав доступа и проч. Должно быть и четкое понимание того, что у каждого информационного ресурса есть владелец, выдвигающий требования к ИТ-специалистам по плану резервирования, бэкапирования, сохранения данных и проч. И специалист по ИБ обязательно должен смотреть на соответствие этих требований системе в целом, на выполнение этих требований ИТ-специалистами и далее, на более высоком уровне – на общую устойчивость системы как таковой (которая регулируются прописанными специалистом по ИБ процедурами, регламентами и проч.). Александр Хрусталев

 

Александр Хрусталев, директор департамента информационной безопасности, МГТС: МГТС не привлекает к работе взломщиков, это объясняется спецификой деятельности компании. На наш взгляд, привлечение специалистов - «взломщиков» к работе службы информационной безопасности (ИБ) необходимо очень узкому кругу компаний. Компаниям, проводящим аудиты ИБ, тесты на проникновение и пр., и при этом стоит учитывать высокий уровень рисков утечки конфиденциальной информации. Если же необходима оценка устойчивости информационной системы к взломам, то правильнее будет обратиться в профильную организацию. 

 

И. Корчагин: Привлечение таких специалистов оправдано в первую очередь для организаций, занимающихся исследованием состояния защищенности информационных систем (тестированием на проникновение), а также расследованием инцидентов, так как именно в этих областях наиболее очевидна востребованность знаний и опыта «взломщиков». Но при этом необходимо принимать риск того, что полученные результаты могут быть использованы в мошеннических целях или будут скрыты и переданы третьим лицам. То есть нанимая «взломщиков», необходимо задуматься об уровне доверия к вашему новому сотруднику.

 

С. Иванов: Если это узкий специалист по поиску только определенного вида уязвимостей, и при этом его лояльность вызывает сомнения, а инструментов воздействия и привлечения к личной ответственности нет, то привлекать его совершенно не оправдано. И наоборот.

 

А. Бодрик: Проведение тестов на проникновение в ряде случаев является довольно эффективным инструментом для целей обеспечения ИБ. Но если говорить именно о защите от утечек, в первую очередь возникающих по вине внутреннего нарушителя, он является избыточным. Основная масса утечек в стране происходит по причине слабой информированности и недостаточной лояльности персонала, и на первый план тут должны выходить организационные меры, специальные подходы к работе с персоналом.

 

Р. Хайретдинов: В крупных компаниях есть свои подразделения внутренних аудиторов ИБ, в задачу которых входят в том числе и тесты на проникновение. По их словам, пользы в конкретных случаях от «юных дарований» не много. Пентест – методически сложный процесс, и для исследования комплексной системы мало просто уметь «ломать», нужно уметь работать в команде, документировать свою работу и, самое главное, – предлагать решения о закрытии найденной «дыры». В этом юные хакеры ужасно слабы, если не сказать некомпетентны – они могут только писать в твиттере «нашел дыру на сайте – ха-ха-ха». Обычно компании рассматривают их не как пентестеров, а как стажеров, из которых после нескольких лет наставничества может получиться (а может и не получится ввиду вспыльчивости, неуживчивости и интравертности) неплохой корпоративный пентестер.

 

А. Лукацкий:  В массе своей эти самые молодые «взломщики» уже не разделяют добро и зло, что такое хорошо и что такое плохо. Они могут только ломать и очень редко когда показывают, как защититься от того, что они взломали. У них по-другому повернуты мозги, что полезно для определенных видов деятельности, но в повседневной жизни службы ИБ скорее будет мешать, чем помогать.

 

Артур СкокАртур Скок, ведущий специалист по внедрению систем защиты информации, СКБ Контур: Условно "взломщики" разделяются на три группы: "whitehat", "grayhat", "blackhat". Различие между ними только в мотивации поступков и их этичности.

"Blackhat" – это "взломщик", осуществляющий заведомо вредоносные действия с целью получения выгоды или морального удовлетворения (например, месть, чувство власти), он не сильно ориентируется на законность применяемых методов. Таких людей возможно привлечь к задачам по оценке безопасности, если будет достаточная финансовая мотивация, но остается риск, что часть найденных уязвимостей могу уйти за большее вознаграждение третьей стороне.

"Whitehat" же занимаются так называемым Ethical Hacking ("этическим взломом") в основном на коммерческой основе с целью выяснения уязвимостей в системе защиты клиента в рамках проведения тестов на проникновение (penetration testing) или аудита. К этой группе можно отнести людей, которые уже работают в аудиторских организациях.

И третий тип, "grayhat", осуществляет взлом, потому что могут. Эта группа как раз и рассматривается как потенциальные специалисты в области защиты информации, потому что в большинстве случаев мотивация их поступков – интерес к данному вопросу. Такой человек, вероятно, будет мотивирован в обучении и при возможности заниматься любимым делом, да еще и получать за него деньги, станет хорошим специалистом. Соответственно, и вклад в дело защиты информации будет больше: поиск еще не обнаруженных уязвимостей, создание нового инструментария и методик анализа систем. Достаточно взглянуть на работу участников Positive Hack Days.

 

А. Раевский: Я думаю, подобный контингент имеет смысл привлекать только компаниям, которые специализируются на аудите ИБ, пентестах и другой деятельности в области ИБ-консалтинга. Для обычных компаний такие специалисты просто не окупятся, поскольку довольно проблематично обеспечить их полную загрузку. Кроме этого, для решения различных задач часто нужна разная квалификация, поэтому придется задумываться о поиске и найме нескольких таких специалистов. Да и самим whitehat хакерам будет малоинтересна такая работа, поскольку в их ситуации разнообразие различных ИТ-сред будет ограничено, и они будут деградировать в профессиональном плане. Поэтому гораздо более разумный путь – это ИБ-аутсорсинг, именно по этому пути двигаются сейчас рынки ИБ в развитых странах.

Подготовила Лилия Павлова

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!