ВВЕДЕНИЕ В СПЕЦИАЛЬНОСТЬ 090303е7-12

ВВЕДЕНИЕ В СПЕЦИАЛЬНОСТЬ

«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ»

Если не уверен в безопасности, считай, что опасность существует реально

Правила морского судоходства

ВВЕДЕНИЕ

Высшее образование в области информационной безопасности ~8

1. История развития высшего образования по информационной безопасности в России

Подготовка кадров в области информационной безопасности - основа успешного решения всех проблем защиты информации, касающихся и каждого конкретного человека, и отдельной фирмы, и государства в целом. До середины 80-х Институт криптографии, связи и информатики (ИКСИ) Академии ФСБ России был единственным учебным заведением в стране, осуществлявшим подготовку специалистов естественнонаучного и инженерно-технического профиля по защите информации для ФСК, ФАПСИ, СЕР, ГРУ ГШ ВС, ФСО России. В частности, Институт с 1949 года готовит криптографов для спецслужб. В России несколько позже, чем в ряде других стран, но все же развернулась вузовская подготовка специалистов и по другим направлениям обеспечения информационной безопасности. Первопроходцами здесь были ИКСИ, РГГУ, МИФИ. Существенным стимулом явился переход на Государственный образовательный стандарт и частичная конверсия образования в ряде закрытых ранее вузов.

ИКСИ (ранее - технический факультет Высшей школы КГБ СССР) осуществляет подготовку и переподготовку кадров в области защиты информации с 1949 года. История Института началась с закрытого отделения механико-математического факультета МГУ. До 1991 года о деятельности Института в открытом мире практически ничего не было известно.

Исторически первой в 1949 году началась подготовка специалистов-криптографов. Многолетний опыт организации и проведения учебного процесса по этой специальности позволил создать хорошую учебно-методическую базу для развертывания подготовки кадров по информационной безопасности.

Вконце 80-х - начале 90-х годов к подготовке специалистов в области информационной безопасности стали подключаться и гражданские вузы.

В80-х годах в РГГУ была развернута подготовка специалистов по организации комплексной защиты информации. Факультет защиты информации РГГУ выпускал инженеров и менеджеров по специальности "Организация и технология защиты информации" со сроком обучения 5 лет. Основная направленность образовательного процесса - организационно-правовые и инженерно-технические методы защиты информации.

В1991 году в МИФИ началось обучение студентов в области информационной безопасности в рамках специальности "Прикладная математика". Знания в области информатики и вычислительной техники, прикладной математики, телекоммуникаций, основ применения различных методов обеспечения информационной безопасности позволяют выпускнику профессионально внедрять и эксплуатировать комплексные системы защиты информации как в государственных, так и коммерческих структурах. Одним из важных потребителей специалистов стал Центральный банк РФ.

С таким состоянием дел страна подошла к 1995 году.

Весной 1995 года руководители трех спецслужб (ФСБ, ФАПСИ, СВР) вышли в Госкомвуз России с предложением о введении новой специальности "Организация и технология защиты информации". Был проанализирован опыт ИКСИ, МИФИ, РГГУ, военных

академий и совместно с ведущими подразделениями ФСБ, ФАПСИ и СВР подготовлен проект стандарта, утвержденный Госкомвузом в конце 1995 года. Стандарт по специальности "Организация и технология защиты информации" предполагал срок обучения - 5,5 лет, квалификацию выпускника - "математик" и следующие основные параметры учебного плана:

-математика: более 2500 часов;

-программирование и программное обеспечение: более 1900 часов;

-вычислительная техника, радиоэлектроника, сети связи: более 700 часов;

-криптография: более 400 часов;

-программно-аппаратные методы защиты информации: более 1000 часов;

-технические методы защиты: около 100 часов;

-организационно-правовые методы защиты: более 300 часов.

Большое внимание уделялось дискретной математике (почти половина всего объема математики). Что касается информатики и инженерных дисциплин, то здесь упор делался на изучение широкого спектра аппаратных и программных сред. Овладеть современными программными системами, вычислительной техникой, сетями связи студент мог, только работая с ними. Совмещение в одном стандарте большой подготовки по математике и информатике и привело к необходимости 5,5-летнего срока обучения.

Несомненно, в области защиты информации следовало готовить специалистов и по другим направлениям.

Многие гражданские и военные вузы начинали образовательный процесс в этой области. Это - СПбГТУ, Пензенский ГТУ, Воронежский ГТУ, МГИЭМ, МИРЭА, Рязанская ГРТА, Военная инженерная космическая академия, Военный институт правительственной связи ФАПСИ, Военная академия РВСН и др.

С целью координации работы вузов по подготовке кадров в области информационной безопасности в 1996 году было создано УМО вузов по образованию в области информационной безопасности. Базовым вузом определен Институт криптографии, связи и информатики. Основной целью УМО является создание цельной системы подготовки кадров по информационной безопасности.

В начале XXI века развитие этого направления в вузах привело к формированию отдельной образовательной области «Информационная безопасность» и созданию второго поколения стандартов подготовки соответствующих специалистов. В 2011 году страна перешла к 3-му поколению стандартов. Сегодня более 100 вузов по всей стране предлагают программы по 6 специальностям и 6 направлениям подготовки бакалавров в области «Информационная безопасность».

Министерством образования и науки Российской Федерации в январе 2011 утверждены федеральные государственные образовательные стандарты высшего профессионального образования по следующим направлениям подготовки (специальностям):

090301 Компьютерная безопасность (квалификация «специалист»),

090302 Информационная безопасность телекоммуникационных систем (квалификация «специалист»),

090303 Информационная безопасность автоматизированных систем (квалификация «специалист»),

090305 Информационно-аналитические системы безопасности (квалификация «специалист»).

О подготовке кадров в области информационной безопасности, Б.А. Погорелов, И.В. Мацкевич Информационное общество, 1997, вып. 1, с. 17-22.

2. Современная система подготовки специалистов в области ИБ В настоящее время в Российской Федерации сложились основы дееспособной

системы подготовки и повышения квалификации специалистов в области информационной безопасности. Эта система опирается на Учебно-методическое объединение (УМО) по образованию в области информационной безопасности, созданное в 1996 году на базе Института криптографии, связи и информатики Академии ФСБ России

(ИКСИ), УМО Российского государственного гуманитарного университета (РГГУ), а также на сеть региональных учебно-научных центров по проблемам информационной безопасности в системе высшей школы (головной вуз - МИФИ), созданную Минобрнауки России (Минобразование России) совместно с ФСТЭК России (Гостехкомиссия России) и рядом других федеральных органов исполнительной власти в 1997 году.

Данная система включает в себя:

- шесть государственных образовательных стандартов по специальностям: «Криптография» - 090101.65, «Противодействие техническим разведкам» - 090201.65, «Компьютерная безопасность» - 090301.65, Информационная безопасность телекоммуникационных систем - 090302.65, «Информационная безопасность автоматизированных систем» - 090303.65, Информационно аналитические системы безопасности - 090305.65;

государственные образовательные стандарты по подготовке бакалавров и магистров по информационной безопасности 090000.62, 090000.68;

-Учебно-методическое объединение вузов России на базе ИКСИ Академии ФСБ России (УМО ИБ) и Учебно-методический совет УМО РГГУ (УМС РГГУ) (системообразующие элементы);

-более 100 вузов России различной ведомственной принадлежности, которые ведут или готовятся вести образовательную деятельность по подготовке специалистов по указанным специальностям;

-12 министерств и ведомств и их органов управления, решающих в рамках своей компетенции задачи в области информационной безопасности, а также научные организации и учреждения, ведущие научные исследования в данной области;

-специальности и специализации (соответствующие образовательные программы), реализуемые в рамках других УМО;

-более 20 региональных учебно-научных центра в системе высшей школы с головным центром на базе МИФИ;

-программы дополнительного и послевузовского профессионального образования, а также соответствующие различные ведомственные курсы переподготовки и повышения квалификации.

Перечень направлений подготовки и специальностей ВПО по информационной безопасности

Профили подготовки бакалавров по направлению «Информационная безопасность»

1.Безопасность компьютерных систем.

2.Организация и технология защиты информации.

3.Комплексная защита объектов информатизации.

4.Безопасность автоматизированных систем.

5.Безопасность телекоммуникационных систем.

6. Информационная безопасность финансовых и экономических структур.

Образовательный стандарт

Федеральный государственный образовательный стандарт разработан в порядке, определенном Правительством Российской Федерации, с участием вузов, входящих в учебно-методическое объединение вузов Российской Федерации по образованию в области информационной безопасности, Академии криптографии Российской Федерации, работодателей, представителей федеральных органов исполнительной власти, в том числе ФСБ России и ФСТЭК России.

Федеральный государственный образовательный стандарт высшего профессионального образования представляет собой совокупность требований, обязательных при реализации основных образовательных программ подготовки специалистов по специальности 090302 «Информационная безопасность телекоммуникационных систем» всеми образовательными учреждениями высшего профессионального образования (высшими учебными заведениями) на территории Российской Федерации, имеющими государственную аккредитацию или претендующими на ее получение.

Область профессиональной деятельности специалистов

Область профессиональной деятельности специалистов включает:

сферы науки, техники и технологии, охватывающие совокупность проблем, связанных с проектированием, созданием, исследованием и эксплуатацией систем обеспечения информационной безопасности телекоммуникационных систем в условиях существования угроз в информационной сфере.

Объекты профессиональной деятельности специалистов

Объектами профессиональной деятельности специалистов являются:

–методы, средства и системы обеспечения информационной безопасности информационно-телекоммуникационных сетей и систем;

–управление информационной безопасностью информационнотелекоммуникационных сетей и систем;

–информационно-телекоммуникационные сети и системы различного назначения, их оборудование, принципы построения.

Виды профессиональной деятельности специалистов:

–научно-исследовательская;

–проектная;

–контрольно-аналитическая;

–организационно-управленческая;

–эксплуатационная.

Конкретные виды профессиональной деятельности, к которым в основном готовится специалист, определяются высшим учебным заведением совместно с обучающимися, научно-педагогическими работниками высшего учебного заведения и объединениями работодателей.

Задачи профессиональной деятельности специалистов

а) научно-исследовательская деятельность:

сбор, обработка, анализ и систематизация научно-технической информации, отечественного и зарубежного опыта по проблемам ИБ ТКС, выработка предложений по вопросам комплексного обеспечения ИБ таких систем;

подготовка научно-технических отчетов, обзоров, публикаций по результатам выполненных исследований;

изучение, анализ и обобщение опыта работы других учреждений, организаций

ипредприятий по использованию технических средств и способов защиты информации в телекоммуникационных системах с целью повышения эффективности и совершенствования работ по ее защите;

сопровождение разработки, исследование технических и программноаппаратных средств защиты и обработки информации в телекоммуникационных системах;

разработка моделей угроз и информационной безопасности телекоммуникационных систем;

исследование защищенных систем и сетей передачи информации;

определение требований по защите информации, анализ защищенности телекоммуникационных систем и оценка рисков нарушения их информационной безопасности.

б) проектная деятельность:

сбор и анализ исходных данных для проектирования систем защиты информации;

сравнительный анализ систем и сетей передачи информации по показателям информационной безопасности;

разработка проектов, технических заданий, планов и графиков проведения работ по защите информации телекоммуникационных систем и необходимой технической документации;

рациональный выбор элементной базы при проектировании устройств и систем защиты информации телекоммуникационных систем;

разработка политики безопасности, рациональный выбор методов и средств обеспечения информационной безопасности объектов информационнотелекоммуникационных систем;

проектирование защищенных информационно-телекоммуникационных систем;

оценка соответствия результатов проектирования требованиям технического

задания; в) контрольно-аналитическая деятельность:

проверка работоспособности и эффективности применяемых программноаппаратных, криптографических и технических средств защиты информации;

инструментальный мониторинг защищенности телекоммуникационных систем;

выполнение технических работ при аттестации телекоммуникационных систем

сучетом требований по защите информации;

проверка учреждений, организаций и предприятий по выполнению требований нормативной и правовой базы в области информационной безопасности телекоммуникационных систем;

подготовка отзывов и заключений на нормативно-методические материалы и техническую документацию;

участие в проведении аттестации телекоммуникационных систем, технических средств на предмет соответствия требованиям защиты информации по соответствующим классам безопасности;

г) организационно-управленческая деятельность:

организация работы коллектива исполнителей, принятие управленческих решений в условиях спектра мнений, определение порядка выполнения работ;

разработка предложений по совершенствованию и повышению эффективности принимаемых технических мер и организационных мероприятий;

организация работ по выполнению требований режима защиты информации ограниченного доступа;

разработка методических материалов и организационно-распорядительных документов по обеспечению информационной безопасности телекоммуникационных систем на предприятиях отрасли.

д) эксплуатационная деятельность:

эксплуатация специальных технических и программно-аппаратных средств защищенных телекоммуникационных сетей и систем;

документационное обеспечение эксплуатации защищенных телекоммуникационных сетей и систем;

составление методик расчетов и программ экспериментальных исследований по защите информации телекоммуникационных систем, выполнение расчетов в соответствии с разработанными методиками и программами;

выявление возможных источников и технических каналов утечки информации;

определение технических характеристик сетей передачи информации общего и специального назначения;

обеспечение восстановления работоспособности систем защиты информации при сбоях и нарушении функционирования.

Основная образовательная программа подготовки специалистов предусматривает изучение следующих учебных циклов:

-гуманитарный, социальный и экономический цикл;

-математический и естественнонаучный цикл;

-профессиональный цикл

иразделов:

-физическая культура;

-учебная и производственная практики, научно-исследовательская работа;

-итоговая государственная аттестация.

Каждый учебный цикл имеет базовую часть и вариативную, устанавливаемую вузом. Вариативная часть дает возможность расширения и (или) углубления знаний, умений, и навыков, определяемых содержанием базовых (обязательных) дисциплин (модулей) и дисциплин специализаций, позволяет обучающимся получить углубленные знания и навыки для успешной профессиональной деятельности и (или) для продолжения профессионального образования в аспирантуре (адъюнктуре).

Большинство дисциплин естественнонаучного и профессионального циклов можно условно разделить на 4 группы (обязательные (федеральный компонент) выделены цветом, остальные дисциплины – это дисциплины специализации «Защита информации в системах связи и управления», а также вузовский компонент).

Физико-математическая база знаний

Математический анализ

Алгебра и геометрия

Теория вероятностей и математическая статистика

Дискретная математика

Физика

Теория информации и кодирования

Математические методы теории сигналов и систем

Избранные главы статистической радиофизики

Радиоэлектроника и связь

Моделирование систем и сетей телекоммуникаций

Теория электрических цепей

Теория радиотехнических сигналов

Антенны и распространение радиоволн

Теория электрической связи

Сети и системы передачи информации

Электроника и схемотехника

Квантовая и оптическая электроника

Аппаратные средства телекоммуникационных систем

Цифровая обработка сигналов

Измерения в телекоммуникационных системах

Цифровые системы связи

Информатика и компьютерные технологии

Информатика

Языки программирования

Методы программирования

Информационные технологии

Инженерная графика

Операционные системы

Надежность программного обеспечения

Базы данных

Основы компьютерных сетей

Информационная безопасность

Основы информационной безопасности

Криптографические методы защиты информации

Программно-аппаратные средства обеспечения ИБ

Техническая защита информации

Организационное и правовое обеспечение ИБ

Информационная безопасность ТКС

Проектирование защищенных ТКС

Введение в специальность

Защита информации в системах беспроводной связи

Защита информации в компьютерных сетях

Безопасность сетевых технологий

Планирование и управление ИБ

Криптографические протоколы

Оценка рисков и аудит информационной безопасности

Политики информационной безопасности

Методы биометрической идентификации

Инженерная защита

Защита персональных данных

НИРС (отдельная дисциплина на каждом курсе в течение 5 лет)

3.Какие знания необходимы специалисту.

Английский, математика, физика, администрирование компьютерных систем (сетей), связь и телекоммуникации, вопросы технической защиты, организационноправовая составляющая, программирование.

Попробуем рассмотреть вопрос, какие конкретно знания и умения необходимы, чтобы найти интересную и высокооплачиваемую работу в условиях региона (или России в целом) в области информационных технологий.

На заре перестройки (2-я половина 80-х) в объявлениях о приеме на работу зачастую указывались 3 момента:

-высшее образование (не важно какое),

-водительские права,

-знание английского.

В какой-то степени эти 3 фактора востребованы и сейчас, но в области информационных технологий на первое место выходит профессионализм. Наличие высокого уровня владения техническим английским зачастую также необходимо, а владение разговорным английским – желаемо. Водительские права также желательны, но в условиях региона это настолько распространено и несложно, что уже давно не выделяется отдельной строкой.

Что же подразумевается под понятием профессионализм в области информационных технологий (ИБТКС – один из разделов данной области знаний) для выпускника высшего учебного заведения. Навыки администрирования сетей (+ соответствующие знания), знание языков программирования (С++, С#, Java), навыки работы с реляционными базами данных (Access, MS SQL Server, Oracle), знание операционных систем семейства Linux и Windows на уровне администрирования. Диплом специалиста в области информационной безопасности телекоммуникационных систем дополнительно предполагает знания в области современных телекоммуникационных систем; правового, организационного и программно-аппаратного обеспечения информационной безопасности; радиоэлектроники. Нужно стремиться к получению сертификатов российского и международного образца (по конкретным направлениям), если не во время обучения в вузе, то в течение 2 лет с момента его окончания. Настоятельно рекомендуется посмотреть в Интернете объявления о вакансиях в области информационных технологий (обратив внимание на соответствующие требования), а на страницах ищу работу изучить резюме специалистов.

4.Для чего в таком большом объеме изучается математика и физика.

Встандарте высшего образования значительный объем времени выделяется на освоение цикла математических и естественнонаучных дисциплин (2664-3024 часов). Заметим, что именно эти дисциплины лежат в основе дисциплин профессионального блока, изучаемых позже. Математика и физика – это тот базис, который необходим для получения последующих профессиональных знаний и навыков. Освоение дисциплин профессионального блока практически не реально без серьезных знаний в области математики и физики. И если в чистом виде в таких сферах деятельности, как организационно-управленческая и эксплуатационная, необходимость постоянного использования глубоких знаний в области математики и физики сразу может не прослеживаться, то в таких сферах деятельности, как научно-исследовательская, проектная и контрольно-аналитическая, понятно, что использование знаний и методов математики и физики востребовано практически ежедневно.

5.Самообразование.

Наверно, будет справедливо сказать, что для становления специалиста-профессионала самообразование играет ключевую роль. Причем это не только личное мнение автора, с этим согласны лучшие представители научно-образовательных российских и зарубежных Школ. Преподаватели на своих занятиях дают знания, составляющие основу, скелет той базы знаний, которой должен обладать полноценный специалист. Основываясь на собственном опыте, замечу, что серьезных продвижений в самообразовании не получится добиться без наличия плана самообразования. Оформление плана в виде текста с пунктами, обязательными для выполнения, способствует более четкому пониманию проблемы, расстановке приоритетов, выделению этапов выполнения плана. Определите долгосрочные (1-5 лет), среднесрочные (1-12 месяцев) и краткосрочные (день - месяц) цели.

При среднесрочном планировании полезно составлять 2 взаимосвязанных плана: - план-максимум;

- план-минимум.

План-минимум должен быть выполнен в полном объеме независимо от субъективных условий, сложившейся ситуации. Всегда найдется 101 причина, мешающая в срок выполнить запланированное. Встреча со старым другом, культурно-спортивные (и неспортивные) мероприятия, болезнь, плохое настроение, да мало ли какие проблемы не позволяют добиться выполнения плана и достижения желаемого результата. Предлагаю простой метод решения. Если в результате внеплановых событий 3 дня выпало из графика, не беда - до конца недели придется напрячься и поработать с двойным напряжением, чтобы недельный план был выполнен в полном объеме.

Важно при составлении плана-минимума учитывать возможность возникновения внештатных ситуаций, чтобы выполнение плана не превратилось в процесс самоистязания.

План-максимум может содержать задачи и сроки их исполнения на пределе достижимого (особенно это касается постановки задач). Вспомним план Мюнхаузена – «10.00 – совершение подвига». Планирование получения прорывного результата в определенной области – это пример предельного плана-максимума. В моем случае среднесрочный план-максимум практически никогда не выполнялся в срок, но в значительной степени помогал в достижении поставленной цели.

К слову сказать, планирование своего свободного времени полезно во всех смыслах, а не только для самообразования, помогает гармоничному развитию личности, ограничивает бесцельное времяпровождение. Чтение литературы, музыка, занятия спортом и многому другому полезному (и не очень) должно найтись время.

Неплохо в конце дня (недели) в дневнике подводить краткий итог проделанного за отчетный период, делать выводы, высказывать рекомендации себе любимому.

Отдельно стоит затронуть проблему самостоятельного изучения иностранных языков (в первую очередь английского). Полезно выйти на такой уровень, чтобы при внезапном интересном предложении вы могли бы за 2 месяца подготовиться к сдаче экзаменов типа TOEFL, IELTS. При этом набор словарного запаса полезно стимулировать наличием соответствующего плана (каждую неделю выучивать 30-40 новых английских слов).

Несмотря на то, что в стране публикуется значительное количество литературы, посвященной обеспечению информационной безопасности, человеку, стремящемуся стать классным специалистом в области информационной безопасности, не обойтись без активного чтения технической литературы на английском языке. Описание современного программного и аппаратного обеспечения, описание современных протоколов зачастую находится лишь на английском языке. А динамика развития компьютерных и телекоммуникационных технологий свидетельствует о том, что на практике востребовано знание новейших технологий, описание которых может присутствовать только в зарубежных источниках.

Частное мнение молодого специалиста об образовании в области ИБ

(весьма спорное, но полезное для ознакомления)

Сначала давайте определимся, что понимается под термином "специалист". Это не выпускник ВУЗа, который по диплому получает квалификацию "специалист по защите информации". Это специалист, обладающий 3-мя составляющими: знания, навыки и опыт.

Современное образование, как правило, не учитывает такие темы, как безопасность приложений (например, ERP, CRM, SCM, биллинг и т.п.), Web-сервисов, телефонии (в т.ч. и VoIP), систем хранения данных (SAN, NAS, DAS) и многих других технологий, без которых современное предприятие немыслимо. Государственный стандарт определяет минимальные требования к подготовке будущего специалиста, а значит, при желании можно включить данные темы в учебный план (стандарт это позволяет). Но большинство