Rambler's Top100
Статьи ИКС № 06-07 2014
Алексей ЛУКАЦКИЙ  16 июня 2014

Образование и культура в минусе. Как перейти в плюс?

Для эффективной работы в сфере инфобезопасности специалисту нужны разнообразные и постоянно обновляемые знания и навыки, а начинать формирование культуры ИБ необходимо буквально с дошкольного возраста.

Алексей ЛУКАЦКИЙ, эксперт по информационной безопасности, CiscoСпециалистов по информационной безопасности у нас в стране готовят в более чем сотне вузов. Их выпускники приобретают солидный багаж ненужных и давно устаревших теоретических знаний, но у них полностью отсутствуют нужные в реальной жизни практические навыки и теоретические знания по психологии, экономике, управлению рисками, социологии и другим дисциплинам, важным для выстраивания эффективного обеспечения ИБ в организации. В результате такие «специалисты» неспособны решать современные задачи обеспечения инфобезопасности предприятия.

О некачественном обучении по данной тематике говорилось неоднократно. Искать причины сейчас бессмысленно – лучше подумать над тем, как ситуацию изменить. Как сделать так, чтобы выпускники вузов получали востребованные на практике знания, а не устаревшие теоретические сведения, которые скорее мешают, чем помогают. Повлиять на Минобрнауки сложно, как и на Минтруда, недавно утвердившее профессиональный стандарт специалиста по информационной безопасности, на который без слез не взглянешь. Но можно попробовать сформировать свое видение тематики, которой должен владеть любой безопасник независимо от того, кем и где он работает. Готовясь стать администратором ИБ, аудитором, руководителем службы ИБ, служащим ФСТЭК, разработчиком средств защиты, сотрудником Центра информационной безопасности ФСБ или Бюро специальных технических мероприятий МВД, выпускник должен иметь общие представления о разных направлениях инфобезопасности. Дальше он может либо продолжить обучение по выбранному направлению (если найдет, где), либо заняться самообразованием.

Всю образовательную программу в части спецдисциплин можно разбить на четыре больших блока по образу лукьяненковских «Дозоров»:

1. Светлая сторона – методы защиты информации (собственно то, чем мы и занимаемся).

2. Темная сторона – угрозы, нарушители, их мотивация и бизнес-модели. В виду высокой динамичности предметной области материал по ней должен обновляться ежегодно как для обучения студентов, так и для курсов повышения квалификации.

3. Инквизиция – надзор в области информационной безопасности, правоприменительная практика, криминология и расследование инцидентов, лицензирование деятельности и т.п.

4. Информационные технологии. Инфобезопасность обычно непосредственно связана с ИТ, поэтому необходимо иметь представление как о существующих, так и о перспективных технологиях, которые могут повлиять на ИБ или возникающие риски. Как и в случае с угрозами, данный раздел курса нужно регулярно пересматривать.

По сути, предлагаемый список – это прообраз ФГОС в части спецпредметов (исключая общие дисциплины). Он может быть использован и для менее глобальной и более приземленной задачи повышения квалификации по темам, которые выпали из предыдущего опыта и образования.

С образованием тесно связана культура в области информационной безопасности. Многие службы ИБ сегодня слишком полагаются на технические меры, не желая или не умея работать с людьми, которые и являются самым слабым звеном в системе инфобезопасности любого предприятия. Почему-то считается, что технические меры могут заменить работу с персоналом, что абсолютно неправильно. Причем к работе с персоналом нельзя относить только кнут в виде запрета пользоваться корпоративными средствами вычислительной техники в личных целях или получения всеобъемлющего согласия на чтение всей переписки сотрудника. Нужен и пряник в виде поощрения за безынцидентную работу. А достичь ее можно только внедрением соответствующей культуры ИБ на предприятии. Формирование культуры информационной безопасности – непростой процесс, который занимает несколько лет и включает в себя множество различных направлений, таких, как повышение осведомленности, тренинги, специальные программы стимулирования, незапланированные аудиты и тесты на проникновение, проверяющие способность сотрудников действовать в нештатных ситуациях и т.п.

В прошлом году мне довелось поучаствовать в рабочей группе при Совете Безопасности, занимавшейся выработкой основ государственной политики в области формирования культуры инфобезопасности в России. В нынешнем году, если все сложится удачно, этот документ будет принят, и наше государство сможет начать процесс взращивания культуры в масштабах всей страны. В этой стратегии прописано участие и государства, и общественных организаций, и вузов, и школ, и даже детсадов с собесами, так как пожилые люди и дети дошкольного возраста тоже имеют доступ к компьютерам и тоже должны обладать навыками информационной безопасности. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!