Комплексные учебные программы для специалистов информационной безопасности

Александр Павлов
Ведущий инженер отдела связи и телекоммуникации ,
департамент информационных технологии банка “СГБ"

Корректировка законодательной базы

Изучив учебный план данной специальности, можно заметить, что достаточно много внимания уделяется правовым аспектам – это различные нормативы и стандарты в сфере ИБ. С одной стороны, знание нормативных актов – очень большая часть работы безопасника, но с другой – к моменту выпуска специалиста из учебного заведения часть этих нормативов будет уже устаревшей.

Мы наблюдаем регулярное перераспределение зон ответственности между различными ведомствами, что, естественно, требует корректировки законодательной базы. В процессе постоянной работы специалиста изучение изменений регулирующей документации является обязательным, следовательно, в процессе обучения необходимо требовать не запоминания отдельных нормативов, но понимания ситуации в целом и знания источников обновляемой информации.

Зачем нам программирование?

В то же время наблюдается недостаточность практической подготовки специалистов. Однажды во время лабораторной работы по криптографии, когда требовалось реализовать на языке программирования простейший блочный шифр, один из студентов задал вопрос: а для чего нам знать программирование – мы же специалисты по безопасности? Давайте не будем забывать о конечной цели обучения – защите объектов информационной безопасности. Одними теоретическими знаниями такую защиту обеспечить, очевидно, невозможно. Другое дело, когда в организации существует достаточно возможностей для содержания в штате специалистов по нормативам, сетевой защите, оперативному мониторингу и т.д.

Однако на практике ситуация складывается так, что большинство компаний стремятся сэкономить на персонале и ищут одного универсала, который, сумев обосновать необходимость внесения каких-то изменений в текущие бизнес-процессы нормативными актами, сможет внедрить, к примеру, систему комплексной антивирусной защиты на предприятии или написать скрипт сбора и архивирования системных журналов.

Рассмотрим несколько неочевидных аспектов подготовки

Понятно, что хороший специалист по ИБ должен владеть техническим английским на достаточном для чтения документации уровне, знать математику, поскольку именно на ней строятся криптографические алгоритмы, разбираться в аппаратной части. Но не всегда преподаватели отмечают важность воспитания определенного уровня социализации. Поскольку некоторые решения отдела безопасности могут быть непопулярными у сотрудников и руководства, их необходимо обосновать доступным для каждой группы языком. Получается, что студент, выбравший для подготовки рассматриваемую специальность, должен быть практически универсалом в технической, программной, а также социально-психологической части. Современные образовательные стандарты стараются уместить знание технических и нормативных аспектов специальности в стандартную программу обучения, что достаточно сложно при необходимых для изучения объемах. Таким образом, на выходе мы получаем в лучшем случае специалиста с достаточно широким кругозором в техническом плане, но совершенно непригодного к реальной работе.

Теперь о преподавателях

На моей практике большинство опытных преподавателей в сфере ИБ так или иначе связаны с военными технологиями – это бывшие выпускники военных академий, офицеры запаса, имеющие необходимые для выпускающих кафедр ученые степени и/или опыт работы и, как правило, уже в возрасте. Да, они могут научить обеспечению радиоэлектронной защиты, но уследить за развитием технологий атак на корпоративные системы, вызывающих отказ в доступности или нарушение целостности, для таких преподавателей зачастую проблематично.

Есть, на мой взгляд, идеальный вариант преподавателя – это действующий руководитель или просто опытный сотрудник подразделения безопасности в компании, где информационная безопасность является одним из важнейших аспектов ее функционирования (например, банк), имеющий ученую степень, навыки общения с аудиторией. Кстати, мне повезло знать человека, подходящего под описание, лично, причем он одно время действительно читал лекции. Считаю, что, создав условия для привлечения таких специалистов к образовательной деятельности, можно существенно повысить качество подготовки студентов.

Каким образом обеспечивается практическая подготовка?

Не говоря уже об устаревшем во многих случаях стендовом оборудовании, время, отводимое образовательным стандартом на практику по профильным предметам, слишком мало для подготовки хорошего специалиста. Давайте посмотрим на образовательный стандарт, раздел "Требования к результатам освоения основных образовательных программ". В перечне профессиональных компетенций выпускника указана, например, способность "выполнять работы по установке, настройке и обслуживанию технических и программно-аппаратных средств защиты информации". А где такие средства взять? Несомненно, отечественным учебным заведениям необходима хорошая материальная база, а получить ее можно, только взаимодействуя с ведущими компаниями на рынке информационной безопасности, которые в большинстве готовы предоставлять образцы. Только столкнувшись с тем или иным видом оборудования, реально используемого в отрасли, выпускник получит необходимый для дальнейшей работы опыт. Кстати, каким образом проводится производственная практика?

Естественно, организации, предоставляющие место для прохождения практики, не могут предложить обеспечение защиты информационных активов студенту, предлагая выполнение малозначимых поручений, чаще всего по простейшему администрированию каких-либо систем (и хорошо, если они будут связаны с безопасностью). Выходом здесь может стать западная практика, когда для продолжения обучения по специальности (или же получения определенной специализации в рамках специальности) необходим определенный, подтвержденный организацией опыт работы, причем иногда с контрактом на продолжение работы в данной организации после окончания всего курса обучения. Таким образом можно будет решить вопрос с подготовкой квалифицированных кадров, не оторванных от реальности и получивших достаточный опыт работы.

Положительные изменения

В заключение хочу отметить, что перечисленные выше недостатки никоим образом не должны восприниматься как критика системы нашего образования в сфере подготовки специалистов по информационной безопасности в целом. Целью проведенного обзора должно стать выявление наиболее острых моментов, характерных для рассматриваемой проблемы. Есть ли возможность их решения в текущих условиях? Думаю, что есть. И в ряде случаев видны положительные изменения:

• увеличение коммерческих центров подготовки/переподготовки специалистов, имеющих хорошую материальную базу;
• доступ к источникам информации в печатных и сетевых изданиях, базах знаний мировых университетов;
• усиление внимания к вопросу информационной безопасности в организациях, что формирует спрос на профильных специалистов;
• увеличение числа вузов, осуществляющих подготовку безопасников.

Тем не менее необходим ряд шагов, направленных на решение обозначенных проблем. Такими шагами могли бы стать:

• пересмотр программ подготовки с целью смещения акцента на получение наиболее актуальных на данный момент знаний и навыков;
• повышение внимания не только к техническим, но и к социально-психологическим аспектам подготовки;
• обновление преподавательского состава за счет создания привлекательных условий для специалистов-практиков высокого уровня;
• тесное взаимодействие обучающих заведений и бизнеса с целью подготовки и трудоустройства специалистов для организаций;
• обновление материально-технической базы, предоставление учебным заведениям образцов технических решений для обеспечения безопасности;
• интеграция международных программ сертификации (CISP, CISSA, GIAc) с отечественными программами обучения.