Воспитание защитников информации

В постперестроечные годы бум информатизации совпал с переходом на новую общественно-экономическую формацию и активным вовлечением частного сектора в процессы обработки информации, что обострило проблему использования комплекса организационных, правовых и технологических мер ее защиты. Так в ИТ начало формироваться направление информационной безопасности, и одновременно с этим возникла потребность в специалистах, обладающих соответствующими знаниями.

Методы и технологии информационной безопасности – самая молодая область ИТ в нашей стране. Другие направления – программные, аппаратные, сервисные – так или иначе имеют корни в «унаследованных» технологиях, сформировавшихся несколько десятилетий назад. Однако информационная безопасность до начала 90-х практически отождествлялась с охраной гостайны, защитой секретных документов, существовавших в то время в основном в бумажном виде, и сводилась к строгим регламентам соответствующих органов. Бум информатизации, расширение демократии, активное вовлечение частного сектора в процессы обработки информации сделали актуальной задачу эффективного применения методов и средств обеспечения информационной безопасности. Однако оказалось, что на рынке нет квалифицированных специалистов в этой области.

Все начиналось с одного-двух передовых вузов, взявших на себя непростую задачу поиска путей эффективной подготовки кадров, а сегодня число университетов, которые ведут обучение по различным специальностям, связанным с информационной безопасностью, перевалило за сотню. На повестке дня – создание третьего поколения образовательных стандартов в сфере информационной безопасности.

Первые два поколения

В 50-е годы на закрытом отделении механико-математического факультета МГУ и в Высшей школе криптографов была начата подготовка специалистов по криптографии; с этого времени формально можно отсчитывать историю высшего профессионального образования по информационной безопасности в России. Однако государственная система подготовки специалистов по информационной безопасности стала складываться лишь спустя 40 лет. Особенность этой подготовки в том, что она является неотъемлемой частью комплекса мероприятий государства по противодействию угрозам в информационной сфере. Об этом официально заявляется в Доктрине информационной безопасности, подписанной 9 сентября 2000 года Президентом РФ.

В середине 90-х годов появились государственные образовательные стандарты высшего профессионального образования первого поколения для подготовки специалистов по информационной безопасности, были сформированы учебно-методические объединения (УМО) для координации работы вузов в этой сфере, началась реализация учебных программ в области информационной безопасности. В начале XXI века развитие этого направления в вузах привело к формированию отдельной образовательной области «Информационная безопасность» и созданию второго поколения стандартов подготовки соответствующих специалистов. Cегодня более 120 вузов по всей стране предлагают программы по семи специальностям из области «Информационная безопасность»:

  • криптография;
  • компьютерная безопасность;
  • организация и технологии защиты информации;
  • комплексная защита объектов информатизации;
  • комплексное обеспечение информационной безопасности автоматизированных систем;
  • информационная безопасность телекоммуникационных систем;
  • противодействие техническим средствам разведки.

Обучение по компетенциям

Работа по созданию федеральных государственных образовательных стандартов высшего профессионального образования по информационной безопасности третьего поколения ведется уже два года и отражает глобальные изменения, происходящие в ходе реформирования системы российской высшей школы. Это, прежде всего, переход на двухуровневую систему подготовки «бакалавр-магистр» и внедрение компетентностного подхода к обучению.

Данный подход предполагает не просто получение студентами некоторого набора теоретических знаний и практических навыков, а формирование определенных профессиональных компетенций, соответствующих задачам и потребностям, которые ставят перед выпускниками потенциальные работодатели. Как отмечает заместитель председателя Совета УМО вузов РФ по образованию в области информационной безопасности Евгений Белов, компетентностный подход означает большую ориентацию образовательных программ на практическую подготовку, на выработку у студентов умения решать реальные задачи в определенных областях деятельности. В образовательном сообществе идет дискуссия по поводу оправданности такого переноса акцента в обучении на потребности рынка, об опасности тем самым потерять один из основных козырей отечественного образования, нанеся ущерб его фундаментальности. Тем не менее при создании стандартов третьего поколения по информационной безопасности за основу взят именно компетентностный подход.

В новых стандартах определяются перечни необходимых компетенций для всех уровней подготовки – бакалавров, магистров и специалистов (выпускники традиционных пятилетних программ-специалитетов, которые в образовательной области по информационной безопасности также сохранены). Как рассказывает Белов, при формировании списка компетенций были проанализированы различные формальные источники требований, которые работодатели могут предъявлять к специалистам по информационной безопасности: утвержденные на законодательном уровне квалификационные требования Минтруда РФ; требования к государственным служащим, работающим в области защиты информации; недавно появившиеся профессиональные стандарты в области ИТ; различные ГОСТы и международные стандарты по защите информации, из которых можно почерпнуть много ценной информации о том, что должны уметь делать специалисты разного уровня; существующие на предприятиях нормативные документы с описанием функциональных обязанностей таких специалистов и т.д.

Такой многосторонний анализ позволил выстроить систему профессиональных задач, которые работодатели могут ставить перед бакалаврами, специалистами и магистрами информационной безопасности. Этот список был передан на экспертизу специалистам по защите информации на предприятиях, в госучреждениях и частных компаниях, и после учета их замечаний использован в качестве основы для списка профессиональных компетенций выпускников всех уровней. В процессе формирования этого перечня активно участвовала и вузовская общественность, и такое широкое привлечение экспертов с разных сторон позволило, по мнению Белова, свести к минимуму возможные ошибки в новых стандартах.

Следующий шаг – трансформировать список компетенций в описание необходимых знаний, умений и навыков выпускников, на основе которых можно создавать новые учебные дисциплины и программы для их реализации. Особенность образовательных стандартов третьего поколения состоит в большей свободе, которая предоставляется вузам в процессе формирования программ подготовки студентов. Если в предшествующих стандартах для каждой дисциплины подробно описывалось ее содержание, то в стандартах нового поколения такого детального описания нет – определение содержания в значительной степени становится прерогативой вуза. Такая свобода заманчива, но неизбежно создает немало проблем – далеко не все российские университеты имеют достаточные ресурсы для того, чтобы взять на себя подобную ответственность. Поэтому УМО вузов по образованию в области информационной безопасности помогает университетам, разрабатывая совместно с ними примерное содержание соответствующих программ. Эти программы опираются на накопленный опыт подготовки студентов в рамках стандартов второго поколения, но направлены на достижение новой цели – сформировать пул знаний и навыков, обеспечивающий необходимые компетенции выпускника для выполнения им конкретных функций.

Работа по созданию таких программ заставила еще раз внимательно проанализировать сформированный список компетенций и, как рассказывает Белов, понять, насколько те или иные из них реализуемы в учебном процессе, не возникает ли дублирования и т.д. Таким образом, обращение к конкретному содержанию образовательных программ позволяет совершенствовать стандарт.

Белов поясняет, что на содержание стандарта повлиял не только принятый компетентностный подход, но и общие серьезные изменения в области информационной безопасности, произошедшие за почти десять лет с момента принятия стандартов второго поколения. Это были годы активного становления образовательной области «Информационная безопасность», развития методов и средств защиты, появления принципиально новых технологий – все это необходимо было учесть в стандарте.

Станет ли бакалавр специалистом?

Появление бакалавров и магистров в системе обучения по информационной безопасности может оказаться наиболее сложным по сравнению с большинством других образовательных областей. Если многие отечественные вузы в порядке эксперимента начали опробовать двухуровневую модель, а в некоторых университетах она уже доказала свою жизнеспособность, то обучение по информационной безопасности до последнего времени велось только в рамках специалитета. Тем не менее переход на систему «бакалавр–магистр» в области информационной безопасности объективен, и не только по причине законодательного введения с 2010 года двухуровневой модели в отечественной высшей школе.

Белов поясняет, что обучение по стандартам второго поколения в основном было ориентировано на подготовку высококвалифицированных разработчиков технических, программно-аппаратных и иных средств обеспечения информационной безопасности и реализовывалось с помощью сложных, наукоемких программ специалитета, рассчитанных на пять – пять с половиной лет. Специалистов такого уровня, образование которых, по существу, соответствует требованиям госорганизаций и крупных предприятий, выпускают сегодня более сотни вузов, рассредоточенных по всем регионам страны. В результате сложилась парадоксальная ситуация. Развитие свободной экономики, активное становление частного бизнеса значительно повысило востребованность специалистов по информационной безопасности. Исследования рынка, проведенные несколько лет назад по заказу Минобрнауки, прогнозировали до 2010 года ежегодную потребность государственных структур и коммерческих предприятий в 5 тыс. таких специалистов. Но сегодня эти цифры, по-видимому, надо увеличивать в разы, поскольку те или иные задачи обеспечения информационной безопасности возникают в любом банке, любой организации системы здравоохранения, органах госуправления всех уровней, фактически на любом предприятии, где есть автоматизированная обработка информации. А с принятием закона о персональных данных соответствующие специалисты будут нужны практически повсеместно. Но при этом уровень задач в организациях разного масштаба может существенно отличаться.

Компетентностный подход позволяет сформировать разные наборы задач для разных уровней подготовки и определить для них различные уровни глубины профессиональных компетенций. Пока же фактически по государственному заказу готовятся специалисты, знания которых оказываются часто избыточны на тех позициях, которые они занимают.

Стандарты третьего поколения предполагают, что подготовка специалистов по информационной безопасности останется только в тех вузах, где необходимость специалитета будет обоснованна, но пока четкие критерии, по которым вузам будет предоставлена возможность продолжить подготовку по специальностям, не выработаны. Это сложная проблема, требующая правовой проработки со стороны заинтересованных федеральных органов исполнительной власти. Как поясняет Белов, основной аргументацией должно стать наличие определенного государственного заказа на специалистов, обладающих необходимыми компетенциями построения и эксплуатации высокоуровневых систем защиты информации. Такой заказ может исходить от госструктур федерального уровня, региональных властей или даже конкретных предприятий, нуждающихся в подобных специалистах.

Важно, подчеркивает Белов, чтобы выпускники специалитетов действительно находили применение полученным знаниям. Их уход в другие области неприятен не только по причине фактической потери затраченных на образование государственных средств. Образование в области информационной безопасности всегда, помимо методик и технологий защиты информационных ресурсов, подразумевает и изучение средств нападения. «Наш выпускник – всегда борец», – отмечает Белов. Но если такому выпускнику не удается найти прямое применение полученным знаниям, он потенциально может превратиться из защитника в «агрессора», перейти на сторону нападения.

УМО по образованию в области информационной безопасности и УМО по образованию в области историко-архивоведения разработали и согласовали с работодателями и заинтересованными федеральными органами исполнительной власти проект федерального образовательного стандарта по направлению подготовки «Информационная безопасность» уровня «бакалавр – магистр». За четыре года студенты бакалавриата должны освоить базовый цикл фундаментальной подготовки по математическим, естественнонаучным, гуманитарным и профессиональным дисциплинам, а на старших курсах – цикл дисциплин в соответствии с выбранным профилем. Стандарт предлагает шесть профилей бакалавриата, по содержанию ориентированных на различные направления деятельности в области информационной безопасности.

По замыслу разработчиков стандарта, бакалавры получат достаточно разностороннюю, но менее глубокую, чем специалисты, подготовку по выбранному профилю, что позволит им заниматься эксплуатацией систем защиты информации или выполнять менеджерские функции. Такие кадры, считает Белов, будут востребованы и уже востребованы рынком, о чем свидетельствует хотя бы тот факт, что даже выпускники системы среднего профессионального образования в области информационной безопасности сейчас, как правило, успешно трудоустраиваются. Студенты, окончившие бакалавриат, смогут развивать свою квалификацию с помощью системы дополнительного профессионального образования или же выбирая магистратуру, которая должна дать им возможность «дорасти» до уровня разработчика или исследователя в области информационной безопасности. И, вполне возможно, что общий срок обучения в шесть лет позволит готовить элитных защитников информации.

Тем не менее в вузовской среде сохраняется осторожное отношение к введению двухуровневой системы образования в области информационной безопасности. Как отмечает заместитель декана факультета «Информационная безопасность» МИФИ Александр Толстой, опыт показывает, что четыре года – недостаточный срок для подготовки человека, способного работать в области информационной безопасности. Однако он соглашается с тем, что бакалавриат, снабдив выпускника необходимым базовым багажом знаний и научив студента заниматься амообразованием, в сочетании с развитой системой повышения квалификации, возможно, позволит удовлетворить массовые потребности рынка в соответствующих специалистах. Но при этом работодатели должны понимать, считает Толстой, что, принимая на работу выпускника бакалавриата, они вынуждены будут вкладываться в его дальнейшее обучение.

Массовые выпуски по специальностям группы «Информационная безопасность» появились лишь в последние годы, и только сейчас можно анализировать эффективность их подготовки. Например, Белов достаточно высоко оценивает уровень образования в большинстве вузов, специализирующихся на информационной безопасности, выделяя «отличников»: МИФИ, РГГУ, Санкт-Петербургский государственный политехнический университет, Томский госуниверситет систем управления и радиоэлектроники (ТУСУР), Воронежский гостехуниверситет, МАИ, МГТУ им. Н.Э. Баумана, Пензенский госуниверситет и ряд других вузов, которые начинали десять и более лет назад и смогли за эти годы сформировать мощные школы информационной безопасности.

Одним из первопроходцев был Московский инженерно-физический институт, принявший решение о начале подготовки по информационной безопасности еще в 1991 году. В институте была создана кафедра защиты информации в АСУ и сетях ЭВМ, которая вела обучение студентов начиная с четвертого курса, набранных со всех факультетов МИФИ. Новая специальность создавалась фактически с нуля. На тот момент единственным гражданским вузом, где велась подготовка по информационной безопасности, был Российский государственный гуманитарный университет (РГГУ), однако там обучение было ориентировано на подготовку специалистов в области секретного делопроизводства. В МИФИ же поставили задачу выстроить систему обучения по техническому и программно-аппаратному обеспечению защиты информации в компьютерных средах. Потребовались значительные усилия по разработке нового содержания, соответствующего специфике предметной области.

Созданная МИФИ и Институтом криптографии, связи и информатики Академии ФСБ специальность стала прототипом одной из семи существующих сегодня специальностей в области информационной безопасности – «Комплексное обеспечение информационной безопасности автоматизированных систем», которая сегодня преподается в МИФИ. Прием первокурсников по новой специальности состоялся в 1995 году. В ноябре того же года по решению Межведомственной комиссии по информационной безопасности Совета безопасности РФ в МИФИ был открыт факультет «Информационная безопасность».

Сегодня на факультете работают кафедры защиты информации, компьютерного права, информационной безопасности банковских систем, криптологии и дискретной математики, стратегических информационных исследований. Ежегодно на факультет «Информационная безопасность» МИФИ принимается сто первокурсников. И около тысячи специалистов повышают на факультете свою квалификацию в системе дополнительного образования.

Особенность информационной безопасности как образовательного предмета состоит в том, что она должна сочетать в себе знания как в области естественных наук и технологий, так и в области юриспруденции, менеджмента, ряда гуманитарных наук, поэтому в ограниченные рамки учебного плана необходимо вписать, помимо курсов по методам и средствам защиты данных, фундаментальные математические дисциплины, углубленную подготовку по ИТ, изучение организационных и правовых аспектов обеспечения информационной безопасности.

Автор: Наталья Дубова, Полностью

С 2011 года на кафедре «Вычислительных систем и программирования» СПбГЭУ осуществляется набор на направление бакалавриата 090900 «Информационная безопасность» 

Введите e-mail адрес для получения уведомлений о публикации новых постов:

Delivered by FeedBurner

Поделиться в соц. сетях

Автор

Дмитрий Федоров

Редактор сайта, старший преподаватель кафедры вычислительных систем и программирования СПбГЭУ (в прошлом ИНЖЭКОН), выпускник СПбГПУ (специальность: комплексное обеспечение информационной безопасности автоматизированных систем).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *