Информационная безопасность компьютерных систем и сетей

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

ККибератаки в современном мире являются составной частью глобальной технологической угрозы, которая стала значимым фактором экономической и политической жизни. Бороться с ней могут только подготовленные специалисты, но, как указывается в Доктрине информационной безопасности России, пока в стране недостаточно профессионалов высокого уровня.

Потребность в кадрах и варианты подготовки

Национальная программа «Цифровая экономика» и ее подпрограмма «Информационная безопасность» поставили перед собой цель увеличить выпуск специалистов в области информационной безопасности с 7 тысяч в 2018 году до 20 тысяч в 2024-м. Но и этого количества может оказаться недостаточно. Высшие учебные заведения страны сейчас формулируют предложения для участия в программе подготовки кадров для цифровой экономики, конкурируя между собой и находя решения, наиболее соответствующие положениям, заложенным в Доктрину и национальную программу.

По данным на конец 2017 года, подготовка специалистов в области цифровой экономики велась в 331 вузе страны, в том числе в негосударственных. В этом году было принято около 42 тысяч студентов по всем направлениям, связанным с информатизацией, 25 тысяч мест были бюджетными. Из общего количества на долю специалистов по защите данных пришлось только 852, это говорит о том, что экономика не обеспечена специалистами такого профиля.

В большинстве технологических университетов – МИФИ, Высшей школе экономики, федеральных университетах – созданы факультеты защиты данных, но практика выявила потребность также в подготовке специалистов по более узкому направлению «Информационная безопасность компьютерных систем и сетей». Специализированный курс подготовлен на основе соответствующей программы Массачусетского технологического университета и отражает основные тенденции в сфере защиты информации. Он станет базой для подготовки специалистов, настроенных на практическое решение задач защиты от киберугроз. Как большинство курсов профессиональной переподготовки, он преподается на базе различных вузов страны, но реализуются эти и аналогичные программы и на базе частных учебных заведений дополнительного профессионального образования.

Часто сложно говорить о качестве подготовки в таких учебных заведениях, обязанность определять, насколько курсы соответствуют потребностям времени, возложила на себя Федеральная служба по таможенному и экспортному контролю. Большинство дополнительных профессиональных программ подготовки специалистов этому направлению получают одобрение ФСТЭК РФ, что говорит о качестве обучения. Ведомство активно участвует в формировании учебного курса, помогая изменять его в направлении развития ситуации на рынке киберугроз.

Выбирая обучение по популярной специальности и аналогичные курсы профессиональной переподготовки, необходимо убедиться, что программа согласована с ФСТЭК РФ, ее основные параметры находятся в русле государственной политики. Специальности этого профиля являются закрытыми, обучаться на них могут только граждане РФ. Граждан других стран, даже СНГ, или лиц, имеющих гражданство еще одного государства, на подготовку не примут, большой объем информации окажется связан с государственной тайной.

Развитие направления

Специалист, получивший подготовку по профессиональному направлению будет востребованным в различных отраслях экономики, образования, управления. Министерство труда и занятости провело опрос «Потребность в кадрах в сфере компьютерной безопасности». Он ставил цели определить:

  • насколько российские компании испытывают кадровый голод в части подготовленных специалистов по направлению компьютерной безопасности;
  • насколько компании удовлетворены качеством подготовки;
  • как происходит подбор кадров и какие трудности при этом испытывают организации;
  • какие планы есть у компаний по изменению численности специалистов этого профиля на предприятии.

Результаты опроса должны стать основой для изменения системы подготовки специалистов, расширения образовательных программ, их приведения в соответствие с ожиданиями работодателя. Также результаты опроса должны стать основой для развития государственно-частного партнерства в области подготовки специалистов, создания совместных программ профессиональной подготовки по интересующим бизнес-направлениям.

Востребованность в бизнесе

Бизнес наиболее заинтересован в получении профессионалов, ориентирующихся в современных цифровых угрозах. Национальная программа «Цифровая экономика» базируется на концепции тесного сотрудничества государства, бизнеса и науки в сфере цифровых технологий. Одним из ее результатов должно стать появление не менее 10 компаний мирового уровня, работающих с прорывными технологиями и окруживших себя экосистемой стартапов. Для решения этой задачи необходима совместная программа подготовки кадров по информационной безопасности компьютерных систем и сетей, в которой работа государства и вузов была бы скоординирована с потребностями растущих компаний – мировых лидеров в сфере ИТ-технологий.

Принципы подготовки специалиста

Эксперты считают, что даже самая лучшая программа подготовки дает понимание не более 80 % реально существующих угроз, 20 % приходится на так называемые угрозы «нулевого дня», то есть появляющиеся в режиме реального времени. Для умения противостоять им специалист должен глубоко ориентироваться в экосистеме цифровых угроз, понимать механизм их возникновения и принцип формирования. Но кибербезопасность не ограничивается только программно-аппаратными решениями, она базируется на организационной основе. Профессионал должен глубоко разбираться в комплаенсе, то есть знать нормативно-правовую документацию, стандарты и регламенты и уметь самостоятельно разработать корпоративные политики безопасности.

Подготовка ведется по множеству направлений. В рамках обучения специалист получает знания по направлениям:

  • угрозы информации в компьютерных системах и сетях;
  • базовые понятия политики безопасности;
  • основополагающие российские и зарубежные стандарты в области защиты информации;
  • основные криптографические методы и алгоритмы защиты компьютерных данных.

Нормативная база

В рамках этой темы специалист изучит российское законодательство, описывающее правила и принципы защиты информации и персональных данных, рекомендации регуляторов – ФСТЭК и ФСБ РФ, российские и международные стандарты обеспечения безопасности систем и сетей различной категории: от промышленных автоматизированных систем управления (АСУ) до автоматизированных банковских систем (АБС).

Управление рисками

Риски в сфере безопасности корпоративных систем и сетей меняются ежедневно, и необходимо понимать логику их возникновения. Специалист изучит:

  • методики оценки рисков;
  • инструментальные средства мониторинга, выявления и диагностики рисков;
  • методику принятия решения при выявлении инцидента информационной безопасности.

В рамках практических задач выполняются процедуры оценки рисков согласно зарубежным и национальным методикам.

Корпоративная организационная документация

Умение построить систему информационной безопасности с организационно-правового костяка необходимо, специалист научится:

  • готовить документы, предусмотренные требованиями законодательства и нормативными актами ФСТЭК РФ в области защиты коммерческой тайны и персональных данных от несанкционированного доступа;
  • разрабатывать политики и концепции информационной безопасности, регламентирующие действия пользователей.

В рамках практики специалисту обычно поручается самостоятельно подготовить пакет организационно-распорядительной документации компании.

Мероприятия по обеспечению безопасности информации

Умение планировать и проводить мероприятия по защите информации будет ценным практическим навыком. Специалист изучит:

  • общий порядок организации обеспечения безопасности информации ограниченного доступа;
  • понятие многоуровневой защиты (defense in depth).

Технологии и средства защиты

В рамках курса специалист получит знания о технологиях:

  • выявления уязвимостей компьютерных систем и сетей;
  • дифференцированного управления доступом;
  • средствах криптографической защиты информации (СКЗИ);
  • создания и использования виртуальных частных сетей (VPN);
  • межсетевого экранирования;
  • обнаружения вторжений;
  • антивирусной защиты.

Но просто изучение теории не делает человека специалистом, необходима практика. Специалисты, чтобы отвечать на вызовы времени, должны проходить ее в условиях агрессивной среды, в которой кибератаки являются ежедневной рутиной. Вузы страны, осуществляющие подготовку по этой специальности, организовывают для студентов сотрудничество с ведущими организациями, работающими на рынке ИТ-технологий, например, Ростелекомом. Некоторые частные вузы предлагают за год (260 часов) обучения специальности провести от четырех реальных аудитов систем безопасности в крупных компаниях, приобретя не только знания, но и практический опыт, умение настраивать инструменты мониторинга и гибко применять их.

Уже сейчас экономика ставит перед профессионалом в сфере защиты данных сложные задачи. Востребованность кадров, прошедших профессиональную переподготовку по этой специальности, велика, и с ростом количества и степени угроз она становится все больше.

30.01.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними