Охрименко С.А.
д.э.н., профессор
Экономическая академия Республики Молдова


Черней Г.А.
к.э.н.
Национальный банк Молдовы (Молдова)




ОБУЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ



Одной из глобальных и серьезных проблем современности является обеспечение информационной безопасности, как одной из составляющих безопасности личности, общества и государства. Обеспечение информационной безопасности представляет собой комплексную, междисциплинарную проблему, которая объединяет правовое регулирование использования вычислительной техники и коммуникаций, совершенствование процессов проектирования и эксплуатации информационных систем, внедрение системы сертификации и многие другие. Одним из направлений совершенствования обеспечения безопасности ИС является подготовка специалистов, способных выработать систему организационных, методических и инструментальных средств противостояния различным классам угроз по отношению к информационным ресурсам.

Интенсивное развитие ИС, повсеместный переход на электронные формы передачи и хранения информации, а также внедрение электронных форм платежей и многие другие факторы свидетельствуют о насущной проблеме безопасности. Особая актуальность рассматриваемой проблемы обусловлена рядом обстоятельств. В их числе следует выделить экономические, социальные, технические и другие.

Многие высшие учебные заведения приступили к подготовке специалистов, чья деятельность призвана обеспечить защиту ресурсов ИС от неправомерного доступа и использования.

Общеизвестно, что процесс обеспечения безопасности информационных систем является непрерывным и охватывает совокупность мероприятий, осуществляемых как в процессе проектирования, так и эксплуатации. Данные процессы создания и функционирования ИС постоянно требуют роста усилий, ориентированных на совершенствование подходов к обеспечению собственно безопасности, так и конкретных механизмов защиты.

Следует выделить следующие основные блоки проблем, рассматриваемые при изучении данной дисциплины:

В рамках существующей практики создания систем информационной безопасности (СИБ) основное внимание сосредоточено, в основном, на первых двух проблемах, что является существенным недостатком. Есть все основания предполагать, что экономическая составляющая в структуре информационной безопасности будет играть все большую роль.

Учитывая тот факт, что безопасность информационных систем может быть обеспеченно только при комплексном подходе, утверждение, что обучение всем аспектам информационной безопасности не вызывает сомнений.

Кроме того, при формировании программы образования в области информационной безопасности, учитывая также, что информационные системы являются сложными организационно-техническими системами, целесообразно учитывать и этапы их жизненного цикла.

Принимая подобные вводные условия возможно предложить следующую структуру общего курса информационной безопасности:

    1. Общая структура системы информационной безопасности. В рамках данного раздела рассматриваются такие вопросы, как: определения; структура систем защиты информации; физическая безопасность; управление безопасностью, в том числе нормативно-правовое обеспечение; логическая безопасность; методологии и документирование.
    2. Методы. Рассматриваются следующие вопросы: цели защиты информации; направления защиты информации; угрозы и злоупотребления, а также их характер; методы и средства защиты, а также их взаимодействие. Для обеспечения углубленного понимания подходов и методов к обеспечению безопасности информационных систем был использован метод обучения, названный Security Roadmap, когда слушателям в графическом, наглядном виде на примере типовой информационной системы показываются места и роль средств безопасности.
    3. Средства. Предполагает ознакомление с наиболее распространенными на рынке средствами и решениями обеспечения безопасности информационных систем, в том числе: средства обеспечения безопасности операционных систем, баз данных, сетевых соединений, сервисов сети Интернет (в т.ч. Е-мэйл), а также средств анализа безопасности, и обнаружения атак. В этом же контексте рассматриваются проблемы совместимости изучаемых средств на уровне промышленных стандартов.
    4. Криптография. Изучение данного раздела предполагает наличие у слушателей базовых знаний в области криптографии, как симметричной, так и с публичными ключами, а передача знаний характеризуется утилитарным подходом, ориентированный на изучение принципов применения криптографических средств, их месте в системе обеспечения безопасности информационных систем. Учитывая быстрое развитие технологий электронного бизнеса, особое внимание уделяется применению средств цифровой подписи, организации инфраструктур с открытыми ключами.
    5. Аудит информационных систем. Изучение данного раздела предполагает: введение в проблематику; ознакомление с промышленными стандартами в этой области, их сильными и слабыми сторонами; методами сбора информации, ознакомление с методологией инспектирования процедур безопасности и собственно проведения аудита; получение знаний о структуре и содержании отчетов о результатов аудита в области информационной безопасности.

Учитывая, что обеспечение безопасности информационных систем - это процесс, к которому имеется доверие со всех остальных подсистем, в том числе и прикладной, необходимо, чтобы он обладал свойством подотчетности и доказуемости. Именно из этих соображение, на всем протяжении курса особое внимание фокусируется и на вопросах документирования процессов обеспечения безопасности информационных систем, сбора улик и доказательств в случаях нарушений безопасности, реагирования на такие нарушения.

Представленный подход не претендует на универсальность, и несомненно должен сопровождаться другими, узкоспециализированными курсами обучения, призванными укрепить полученные в рамках рассматриваемого курса общетеоретических и практических знаний, и получения практических навыков обеспечения безопасности информационных систем.