Нет нужды доказывать, что для решения задач защиты информации необходимы квалифицированные кадры. Что же делать, если в отделе информационной безопасности не хватает специалистов или их подготовка не отвечает современным требованиям? Здесь существует два пути: взять новых, уже обученных сотрудников или обучить своих.
Рассмотрим вначале первый путь. В России сейчас очень многие вузы готовят специалистов по информационной безопасности, хотя еще в начале 90-х годов такие учебные заведения можно было сосчитать по пальцам одной руки. К ним относились МИФИ, РГГУ, МИРЭА, МГТУ им. Н. Э. Баумана и некоторые военные вузы, в частности Институт криптографии, связи и информатики (ИКСИ). Все они входят в Учебно-методическое объединение вузов Российской Федерации по образованию в области информационной безопасности. Сейчас в нем насчитывается 50 участников (список можно посмотреть по адресу: www.fssr.ru/icccs/1251/members.html). В рамках данного объединения были разработаны различные программы, рассчитанные на обучение специалистов по защите информации в течение пяти с половиной лет. Перечислим некоторые из них:
- организация и технология защиты информации (№ 075300);
- информационная безопасность телекоммуникационных систем (№ 075600);
- комплексное обеспечение информационной безопасности автоматизированных систем (№ 075500);
- компьютерная безопасность (№ 075200);
- комплексная защита объектов информатизации (№ 075400).
Анализ этих программ показывает, что вопросам информационной безопасности в них уделяется достаточное внимание (не менее 1000 часов). Но при ближайшем рассмотрении ситуация не столь радужна, как кажется на первый взгляд.
Во-первых, все без исключения вузы имеют теоретическую направленность в обучении студентов. Очень много времени отводится на рассмотрение различных математических моделей оценки ущерба, формул расчета показателей риска, принципов, заложенных в различные криптографические алгоритмы, и т. д. Я не спорю, что все это безумно интересно, но практической ценности, к сожалению, не имеет, поскольку может пригодиться лишь очень ограниченному кругу специалистов, которые занимаются исследованиями в данной области или работают в соответствующих организациях, например
ФАПСИ. Как показывает опыт, на практике подобные знания оказываются ненужными. Так, при обучении по специализации “Криптография” большое внимание уделяется теории чисел, теории колец и т. п., заложенным в основу различных криптографических алгоритмов (в частности, DES, RSA, система Эль-Гамаля, система Шнорра, алгоритмы, описанные в ГОСТ). Но они интересны только разработчикам средств криптографической защиты и сотрудникам определенных спецслужб, общее число которых на несколько порядков меньше, чем специалистов отделов защиты информации различных организаций. Но специалисту-практику вряд ли есть дело до того, в какую степень нужно возвести простое число, чтобы достичь высокой криптостойкости, ведь в абсолютном большинстве случаев ему приходится сталкиваться с уже готовыми системами защиты. Для данной специализации важны иные темы: некоторые аспекты криптоанализа, уязвимость реализаций криптографических систем, хранение и распространение криптографических ключей и т. д. А это всегда преподавалось в закрытых институтах. Кроме того, спектр изучаемых криптографических алгоритмов и протоколов очень велик, хотя на практике используются всего пять-шесть (три гостированных алгоритма, RSA, DES и MD5), а в России разрешены только три ГОСТа (ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94), изучение же других алгоритмов представляет чисто академический интерес.
Во-вторых, несмотря на утверждение многих преподавателей об использовании в процессе обучения самых последних версий средств защиты, это не так. Лишь у некоторых вузов (в Москве и Санкт-Петербурге) действительно есть такие средства, у большинства же институтов (особенно региональных) нет финансовых возможностей для их приобретения. Кроме того, в высших учебных заведениях не хватает квалифицированных специалистов, имеющих богатую практику, что приводит к снижению качества преподавания. Как показывает мой опыт, вузы ориентируются на конкретного производителя ПО, забывая обо всех остальных. В качестве такого производителя обычно выступает Cisco Systems, имеющая программу поддержки учебных заведений. Встречаются также и продукты других компаний (CyberGuard, Internet Security Systems и др.), но очень редко наши вузы уделяют внимание российским разработкам в области безопасности, несмотря на то, что многие отечественные фирмы готовы предоставить (даже бесплатно) им свои наработки, документацию и другие материалы. При этом учтем и тот факт, что, скорее всего, новоиспеченные специалисты столкнутся на работе именно с российскими решениями (Secret Net, “Континент-К”, “Застава”, “КриптоПро” и т. д.).
Можно привести и просто вопиющие случаи, связанные с применением ПО. Например, один известный московский вуз использует средства защиты, распространяемые “пиратами” в Митино, оправдываясь тем, что “нет денег на приобретение легального продукта”.
Уникальная ситуация сложилась со свободно распространяемым ПО, реализующим защитные функции (межсетевым экраном IPCHANCE, входящим в состав Linux, системой обнаружения атак Snort, сканером Nessus и т. д.). Оно почему-то также очень редко находит применение в учебном процессе. Эти продукты достаточно эффективны и обеспечивают средний уровень защищенности ресурсов организации любого масштаба. Главное их достоинство в том, что они бесплатны, а потому ссылка на нехватку финансовых средств уже не может служить основанием при отказе от их рассмотрения.
В-третьих, низкий уровень преподавания связан с отсутствием квалифицированных преподавателей, что, как правило, объясняется очень низкой зарплатой. В вузах ведут занятия либо сотрудники компетентных органов “со стажем”, либо сами выпускники, набирающиеся опыта, и люди со стороны. Но+ сотрудники “со стажем” обычно лучше знакомы с секретным делопроизводством, с противодействием ПЭМИН, с пропускным режимом и т. п., чем с современным ПО. Выпускники вузов и люди со стороны - тоже не лучший вариант, так как они не имеют опыта обеспечения информационной безопасности и не знают, как на практике применить то, что они втолковывают студентам на занятиях. Они могут, и замечательно могут, объяснить, что надо делать, но при ответе на вопрос, как это делать, тушуются, прикрываются общими фразами. Со временем они приобретают необходимый опыт и+ сразу же уходят на высокооплачиваемую работу в коммерческие структуры.
К сожалению, ситуация вряд ли изменится до тех пор, пока в систему образования не начнут вкладывать деньги, а труд преподавателей не будет достойно оплачиваться. А до этого момента выпускникам, обучающимся по специальностям, связанным с защитой информации, придется проделать долгий путь, чтобы отсеять все то ненужное, что вбили им в голову в течение пяти-шести лет обучения, и заново осваивать практические аспекты обеспечения информационной безопасности (например, на курсах в специализированных учебных центрах).
С автором статьи можно связаться по адресу: akiviristi@mail.ru.
