Источник: ''PC Week'', №25, 9 июля 2002Алексей Кивиристи
Нет нужды доказывать, что для решения задач защиты информации необходимы квалифицированные кадры. Что же делать, если в отделе информационной безопасности не хватает специалистов или их подготовка не отвечает современным требованиям? Здесь существует два пути: взять новых, уже обученных сотрудников или обучить своих.
Рассмотрим вначале первый путь. В России сейчас очень многие вузы готовят специалистов по информационной безопасности, хотя еще в начале 90-х годов такие учебные заведения можно было сосчитать по пальцам одной руки. К ним относились МИФИ, РГГУ, МИРЭА, МГТУ им. Н. Э. Баумана и некоторые военные вузы, в частности Институт криптографии, связи и информатики (ИКСИ). Все они входят в Учебно-методическое объединение вузов Российской Федерации по образованию в области информационной безопасности. Сейчас в нем насчитывается 50 участников (список можно посмотреть по адресу: www.fssr.ru/icccs/1251/members.html). В рамках данного объединения были разработаны различные программы, рассчитанные на обучение специалистов по защите информации в течение пяти с половиной лет. Перечислим некоторые из них:
Анализ этих программ показывает, что вопросам информационной безопасности в них уделяется достаточное внимание (не менее 1000 часов). Но при ближайшем рассмотрении ситуация не столь радужна, как кажется на первый взгляд.
Во-первых, все без исключения вузы имеют теоретическую направленность в обучении студентов. Очень много времени отводится на рассмотрение различных математических моделей оценки ущерба, формул расчета показателей риска, принципов, заложенных в различные криптографические алгоритмы, и т. д. Я не спорю, что все это безумно интересно, но практической ценности, к сожалению, не имеет, поскольку может пригодиться лишь очень ограниченному кругу специалистов, которые занимаются исследованиями в данной области или работают в соответствующих организациях, например ФАПСИ. Как показывает опыт, на практике подобные знания оказываются ненужными. Так, при обучении по специализации "Криптография" большое внимание уделяется теории чисел, теории колец и т. п., заложенным в основу различных криптографических алгоритмов (в частности, DES, RSA, система Эль-Гамаля, система Шнорра, алгоритмы, описанные в ГОСТ). Но они интересны только разработчикам средств криптографической защиты и сотрудникам определенных спецслужб, общее число которых на несколько порядков меньше, чем специалистов отделов защиты информации различных организаций. Но специалисту-практику вряд ли есть дело до того, в какую степень нужно возвести простое число, чтобы достичь высокой криптостойкости, ведь в абсолютном большинстве случаев ему приходится сталкиваться с уже готовыми системами защиты. Для данной специализации важны иные темы: некоторые аспекты криптоанализа, уязвимость реализации криптографических систем, хранение и распространение криптографических ключей и т. д. А это всегда преподавалось в закрытых институтах. Кроме того, спектр изучаемых криптографических алгоритмов и протоколов очень велик, хотя на практике используются всего пять-шесть (три гостированных алгоритма, RSA, DES и MD5), а в России разрешены только три ГОСТа (ГОСТ 28147-89, ГОСТ Р34.10-94 и ГОСТ Р34.11-94), изучение же других алгоритмов представляет чисто академический интерес.
Во-вторых, несмотря на утверждение многих преподавателей об использовании в процессе обучения самых последних версий средств защиты, это не так. Лишь у некоторых вузов (в Москве и Санкт-Петербурге) действительно есть такие средства, у большинства же институтов (особенно региональных) нет финансовых возможностей для их приобретения. Кроме того, в высших учебных заведениях не хватает квалифицированных специалистов, имеющих богатую практику, что приводит к снижению качества преподавания. Как показывает мой опыт, вузы ориентируются на конкретного производителя ПО, забывая обо всех остальных. В качестве такого производителя обычно выступает Cisco Systems, имеющая программу поддержки учебных заведений. Встречаются также и продукты других компаний (СуberGuard, Internet Security Systems и др.), но очень редко наши вузы уделяют внимание российским разработкам в области безопасности, несмотря на то, что многие отечественные фирмы готовы предоставить (даже бесплатно) им свои наработки, документацию и другие материалы. При этом учтем и тот факт, что, скорее всего, новоиспеченные специалисты столкнутся на работе именно с российскими решениями (Secret Net, "Континент-К", "Застава", "КриптоПро" и т. д.).
Можно привести и просто вопиющие случаи, связанные с применением ПО. Например, один известный московский вуз использует средства защиты, распространяемые "пиратами" в Митино, оправдываясь тем, что "нет денег на приобретение легального продукта".
Уникальная ситуация сложилась со свободно распространяемым ПО, реализующим защитные функции (межсетевым экраном IPCHANCE, входящим в состав Linux, системой обнаружения атак Snort, сканером Nessus и т. д.). Оно почему-то также очень редко находит применение в учебном процессе. Эти продукты достаточно эффективны и обеспечивают средний уровень защищенности ресурсов организации любого масштаба. Главное их достоинство в том, что они бесплатны, а потому ссылка на нехватку финансовых средств уже не может служить основанием при отказе от их рассмотрения.
В-третьих, низкий уровень преподавания связан с отсутствием квалифицированных преподавателей, что, как правило, объясняется очень низкой зарплатой. В вузах ведут занятия либо сотрудники компетентных органов "со стажем", либо сами выпускники, набирающиеся опыта, и люди со стороны. Но... сотрудники "со стажем" обычно лучше знакомы с секретным делопроизводством, с противодействием ПЭМИН, с пропускным режимом и т. п., чем с современным ПО. Выпускники вузов и люди со стороны - тоже не лучший вариант, так как они не имеют опыта обеспечения информационной безопасности и не знают, как на практике применить то, что они втолковывают студентам на занятиях. Они могут, и замечательно могут, объяснить, что надо делать, но при ответе на вопрос, как это делать, тушуются, прикрываются общими фразами. Со временем они приобретают необходимый опыт и... сразу же уходят на высокооплачиваемую работу в коммерческие структуры.
К сожалению, ситуация вряд ли изменится до тех пор, пока в систему образования не начнут вкладывать деньги, а труд преподавателей не будет достойно оплачиваться. А до этого момента выпускникам, обучающимся по специальностям, связанным с защитой информации, придется проделать долгий путь, чтобы отсеять все то ненужное, что вбили им в голову в течение пяти-шести лет обучения, и заново осваивать практические аспекты обеспечения информационной безопасности (например, на курсах в специализированных учебных центрах).