Вопрос 3. Принципы защиты банковских автоматизированных систем

Информационная Безопасность Автоматизированных Систем Чему Учат

Хочу показать, что есть очень серьезные проблемы, которые не позволяют выпускников ВУЗов называть специалистами по защите информации.

Сначала давайте определимся, что я понимаю под термином "специалист". Это не выпускник ВУЗа, который по диплому получает квалификацию "специалист по защите информации". Это и не студент, обучившийся по программе, в которой также встречается это слово (хотя один из российских словарей так трактует этот термин "специалист - это работник, умственный труд которого требует специального образования"). Для меня специалист, это комбинация 3-х составляющих: знания, навыки и опыт. Именно исходя из такого понимания термина "специалист" я и буду исходить. А теперь непосредственно перейдем к провокационной теме, вынесенной в заглавие. Сразу надо сказать, что это не истина в последней инстанции, а всего лишь мое мнение, выработанное за годы работы в данной области.
Современный ВУЗ, который готовит выпускников по специальностям, связанным с информационной безопасностью, должен следовать соответствующим государственным образовательным стандартам, принятым Министерством по образованию и науке. А таких специальностей достаточно - "Организация и технология защиты информации" (код 090103), "Комплексная защита объектов информатизации" (код 090104), "Информационная безопасность телекоммуникационных систем" (код 090106), "Защищенные системы связи" (код 210403), "Криптография" (код 090101), "Компьютерная безопасность" (код 090102), "Комплексное обеспечение информационной безопасности автоматизированных систем" (код 090105). И что же мы видим в данных стандартах? Требования к обязательному минимуму начинаются не с профильных дисциплин, а с иностранного языка, физкультуры, отечественной истории, философии и других безусловно важных предметов (около 2000 тысяч часов). Потом идет две с лишним тысячи часов математики и естествознания и только в завершении программы перечисляются три с небольшим тысячи часов профильных дисциплин. Какие это дисциплины (согласно стандарту на специальность 090105):
  • Безопасность ОС - 150 часов
  • Безопасность сетей - 150 часов (в ряде специализаций такой дисциплины вообще нет)
  • Безопасность баз данных - 150 часов
  • Основы информационной безопасности - 80 часов
  • Теоретические основы компьютерной безопасности - 200 часов
  • Организационное обеспечение информационной безопасности - 100 часов (в ряде специализаций число часов на данную дисциплину сокращено вдвое)
  • Правовое обеспечение информационной безопасности - 100 часов (в ряде специализаций число часов на данную дисциплину сокращено, или наоборот, увеличено вдвое)
  • Криптографические методы защиты информации - 150 часов
  • Технические средства и методы защиты информации - 150 часов (в ряде специализаций число часов на данную дисциплину сокращается до 100)
  • Программно-аппаратные средства обеспечения информационной безопасности - 200 часов (в ряде специализаций число часов на данную дисциплину сокращается до 100)
  • Комплексное обеспечение информационной безопасности автоматизированных систем - 100 часов.

Оставшиеся часы делятся между такими дисциплинами, как "Безопасность жизнедеятельности", "Электроника и схемотехника", "Языки и методы программирования", "Аппаратные средства вычислительной техники". В зависимости от специализации могут быть добавлены дополнительные профильные дисциплины. Например, "Технология построения защищенных автоматизированных систем", "Основы технической эксплуатации защищенных телекоммуникационных систем", "Технические средства охраны" или "Экономика защиты информации".

Достаточно ли данных предметов (содержание данных предметов я сейчас в расчет не беру), чтобы считать себя специалистом? К сожалению, нет. Программа совершенно не учитывает такие темы, как безопасность приложений (например, ERP, CRM, SCM, биллинг и т.п.), Web-сервисов, телефонии (в т.ч. и VoIP), систем хранения данных (SAN, NAS, DAS) и многих других технологий, без которых современное предприятие немыслимо. Государственный стандарт определяет минимальные требования к подготовке будущего специалиста, а значит при желании можно включить данные темы в учебный план (стандарт это позволяет). Но большинство ВУЗов не идет на это, чтобы не нарушить заданные в стандарте ограничения по количеству допустимой нагрузки на неокрепшие умы. Нежелание отойти от стандарта понятно - можно лишиться аккредитации. Да и специалистов, способных подготовить учебный план по названным мной темам, нет.

Источник: www.securitylab.ru