Вряд ли стоит тратить много слов на то, чтобы доказать важность проблемы информационной безопасности. Бизнес зависит от информации, данные хранятся, циркулируют, обрабатываются в корпоративных информационных системах, системы уязвимы для вирусов, атак злоумышленников и действий недобросовестных сотрудников. Потому их необходимо эффективно защищать, иначе возникнут проблемы, влекущие за собой, как правило, прямой материальный ущерб. Понимая при этом, что информационная безопасность не тождественна столь милой нашему постсоветскому менталитету секретности — сокрытия данных от всех и вся. Обычный бизнес работает с обычной, открытой информацией, которую необходимо защищать с учетом всех перечисленных факторов.
Как отмечает генеральный директор «Микроинформа» Борис Фридман, актуальность новой тематики ощущалась давно, но не очень было понятно, как к ней подступиться. |
Рынок сегодня не испытывает дефицита в средствах обеспечения информационной безопасности как западного, так и отечественного производства. Между тем рынок обучения информационной безопасности не отличается таким же изобилием. Курсы, имеющие отношение к этой тематике, большей частью связаны с конкретными технологиями определенных поставщиков. Но для того чтобы создать действительно безопасную информационную среду, мало инсталлировать подходящие продукты — нужно выстроить стратегию поддержки информационной безопасности в компании. В Москве появился центр, где можно получить глубокие знания на эту тему; программа учебного центра «Микроинформ» пополнилась авторизованными курсами компании MIS Training Institute.
Курсы MIS Training Institute в «Микроинформе»
Старейший столичный учебный центр, имеющий авторизацию многих производителей, не без опаски брался за новую для себя тематику. Как отмечает генеральный директор «Микроинформа» Борис Фридман, актуальность проблемы ощущалась давно, но не очень было понятно, как к ней подступиться.
MIS Training Institute — известная за пределами России компания, в сферу деятельности которой входит подготовка специалистов по информационной безопасности, аудит информационных систем, а также организация конференций по этой тематике (достаточно упомянуть, например, конференцию по информационной безопасности, проходящую в рамках Comdex). Компания работает по всему миру, почти повсюду — напрямую. Летом прошлого года ее представитель появился и в Москве. Причины заинтересованности в нашем рынке понятны: Запад видит здесь большой потенциал и с удовлетворением наблюдает активное развитие отрасли ИТ. В России MIS Training Institute предпочла организовать работу по партнерской модели и начала поиск кандидата среди московских фирм, специализирующихся на обучении. После тщательного отбора остановились на трех претендентах: учебных центрах компаний «Информзащита», «Стинс Коман» и «Микроинформ». Несмотря на то что первые две компании специализировались на разработке и продвижении средств информационной безопасности и уже имели опыт преподавания по программам, затрагивающим различные аспекты защиты данных, окончательный выбор пал на независимый учебный центр, прежде практически не связанный с подобной проблематикой. В MIS Training Institute сочли более разумным работать не с потенциальными конкурентами, а с независимым от тех или иных поставщиков учебным центром.
Концепция взаимодействия, которую предлагает MIS Training Institute, не требует от учебного центра владения проблемой информационной безопасности, поскольку американская компания полностью берет на себя содержательную часть курсов, вплоть до командирования собственных инструкторов для проведения занятий. По соглашению между MIS Training Institute и «Микроинформом» последний получил статус сертифицированного партнера MIS в России и странах СНГ, приняв на себя ответственность за маркетинг курсов, формирование групп, анализ актуальности курсов для местного рынка и выбор программ, организацию учебного процесса.
Принципиальным моментом и абсолютно новой практикой для «Микроинформ» является то, что занятия ведут только приглашенные инструкторы — сотрудники MIS Training Institute. Инструкторы MIS Training Institute — специалисты-практики с опытом консалтинга по проблемам информационной безопасности в крупнейших мировых компаниях. Их багаж — комплексный подход к построению общей инфраструктуры безопасности, а не просто знание возможностей определенных технологий. Найти специалистов такого уровня в России пока сложно, а просто обучить собственных инструкторов по программам MIS Training Institute и дать им возможность вести занятия — означает понизить статус этих курсов.
Побывавший недавно в Москве управляющий директор MIS Training Institute Кен Катлер, особо подчеркнул, что информационную безопасность нельзя сводить к совокупности технических решений. Да, несомненно, установка межсетевых экранов и выбор хороших антивирусных средств, реализация надлежащего механизма шифрования для передачи данных и организация выделенных частных сетей являются важными компонентами системы защиты информации. Но прежде всего такую систему нужно построить в целом. И ключевую роль для создания действенной инфраструктуры безопасности играют организационные меры; наличие в компании специальных структур, отвечающих за информационную безопасность; выработка официальной политики и процедур защиты; подготовка квалифицированного персонала; регулярный анализ уязвимых мест; в конце концов, понимание руководством компании, что проблема информационной безопасности — это проблема бизнеса, а не технологий. С этой точки зрения и строит свои программы MIS Training Institute, делая упор на общие принципы построения системы информационной безопасности в организации, не вдаваясь в детали конкретных платформ и продуктов, но охватывая самый широкий спектр задач и способов их решения.
Сертификационные программы
MIS Training Institute предлагает более полусотни курсов по разным аспектам информационной безопасности и аудита информационных систем. По завершению каждого курса слушатель получает сертификат, дающий право пользоваться различными льготами компании по участию в конференциях, доступу к информации и т.д. Более высокой ступени профессиональной квалификации можно достичь, полностью прослушав курсы одной из так называемых сертификационных программ, объединяющих несколько курсов по тематическому принципу и рассчитанных на определенный контингент слушателей.
В первый год сотрудничества для российских слушателей были выбраны две сертификационные программы: «Управление информационной безопасностью организации» и «Защита периметра сети». Обе программы включают в себя по четыре курса, продолжительностью два-три дня каждый.
Первая программа рассматривает общие проблемы менеджмента системы безопасности и рассчитана на руководителей служб информационной безопасности, а также консультантов и аналитиков в области защиты данных. Как показывают результаты исследования Ernst&Yоung, проведенного в России летом 2001 года, отечественные компании уделяют организационным мероприятиям по обеспечению безопасности значительно меньше внимания, чем внедрению технических средств защиты данных. И хотя наличие отделов информационной безопасности стало общей практикой для представителей серьезного российского бизнеса, их ИТ-руководителям очень не хватает систематизации, умения сформировать четкую стратегию управления безопасностью информационных ресурсов. Поэтому программа по менеджменту MIS Training Institute вызвала большой интерес. Хотя на первых этапах и наблюдался определенный скепсис, поскольку аудитория была сформирована из руководителей соответствующих служб таких организаций как Газпром, Сбербанк, ЮКОС, «Норильский никель», представительств крупных зарубежных компаний — за парту сели отнюдь не новички. Тем не менее, знакомство с международными стандартами в области управления системами защиты оказалось для них очень полезным, привнесло осознание глобальности проблемы и понимание того, что общемировая практика по защите информации применима и должна применяться в России.
Курсы данного блока дают возможность получить систематизированное представление о том, как должна формироваться программа обеспечения информационной безопасности, какие существуют методы управления этой программой, как разрабатываются политики информационной защиты, как сформировать необходимый уровень осведомленности всех сотрудников компании в вопросах информационной безопасности. Последний аспект очень важен, поскольку помимо внешних атак большую угрозу корпоративным информационным системам несут недобросовестность или халатность сотрудников.
Программа «Защита периметра сети» имеет более техническую направленность. Ее целевая аудитория — специалисты, занимающиеся проблемами проектирования систем информационной защиты сетей, технические консультанты по информационной безопасности сетевых решений и администраторы сетей. В курсах этой программы рассматриваются проблемы обеспечения безопасности и аудита сетей TCP/IP, защиты посредством межсетевых экранов, вопросы безопасности служб удаленного доступа и виртуальных частных сетей. Отличительной особенностью программы является сочетание лекций и демонстраций с большим числом лабораторных работ. Конечная цель — подготовить специалистов к тому, чтобы они могли найти эффективное решение проблем выбора, интеграции, развертывания, контроля и оценки работы широкого спектра систем сетевой защиты, в том числе различных типов межсетевых экранов, прокси-серверов, средств защиты виртуальных частных сетей и серверов удаленного доступа.
Особый интерес представляет курс «Проникновение в собственную сеть», в котором слушатели на практике осваивают методы хакерских атак, способы их обнаружения, оценки и ликвидации потенциально слабых мест сетевых систем. Курс очень сложный и насыщенный, как для слушателей, так и для его организаторов, поскольку проходит в режиме напряженной практической работы и требует постоянных изменений учебных аппаратных и программных конфигураций.
Сертификационная программа по менеджменту информационной безопасности затрагивает базовые принципы формирования инфраструктуры защиты информации и знакомит слушателей с международными стандартами по защите и управлению защитой данных: «Оранжевой книгой», BS7799 и ISO17799. Рассматривается также законодательство в области защиты и секретности, принятое Евросоюзом. Но, несомненно, в различных отраслях существуют свои правила информационной безопасности, свои методы правового регулирования этой проблемы имеют правительства разных стран, есть, наконец, особенности национального менталитета, исторического опыта той или иной страны. Поэтому представляется очень важной совместная инициатива «Микроинформа» и Гостехкомиссии, в результате которой авторизованная программа была дополнена еще одним, «российским» днем. Его подготовили специалисты Государственного научно-исследовательского испытательного института проблем технической защиты информации Гостехкомиссии. «Российский» день, который завершает курс «Руководство менеджера по защите сети организации», позволяет слушателям обсудить специфику применения принципов управления безопасностью в отечественных компаниях. Разработка таких дополнительных дней планируется для всех курсов программы по менеджменту.
Планы на будущее
Недавно было завершено чтение курсов по обеим сертификационным программам, в результате чего появились первые обладатели квалификационных сертификатов MIS Training Institute. Уже набраны новые группы. Кроме того, «Микроинформ» планирует дальнейшее расширение сотрудничества с MIS Training Institute сразу по нескольким направлениям. Так, компании собираются перенести на отечественную почву практику разработки курсов под определенных заказчиков, с учетом отраслевой специфики в подходах к проблеме информационной безопасности. Ряд крупных организаций, включая Газпром и Сбербанк, выразили желание провести обучение на своей территории.
На осень запланировано проведение Школы по ИТ-аудиту, представляющей собой пятидневную программу интенсивного обучения аудиту информационных систем. Школа будет проводиться MIS Training Institute последовательно в Варшаве, Будапеште и Москве. Это будет первый шаг по реализации еще одного важного и актуального, но практически не освоенного в России направления авторизованного обучения.
Среди специалистов по информационной безопасности особой ценностью обладает звание сертифицированного профессионала по защите информационных систем — CISSP (Сertified Information Systems Security Professional). Чтобы получить этот сертификат, необходимо сдать сложнейший очный экзамен в организации под названием ISC2 — Information Standard for Information Security. Во всем мире специалистов с сертификатом CISSP более 4 тыс., а в России, по данным Ernst&Young, их всего трое. Однако в ближайшее время эта цифра может увеличиться, во всяком случае, «Микроинформ» пытается создать более благоприятные условия для тех, кто не побоится рискнуть и попробовать свои силы на сертификационном экзамене. Сейчас готовится соглашение с ISC2, после заключения которого экзамен комиссии можно будет сдать на базе учебного центра «Микроинформ». Важно отметить, что по договоренности между MIS Training Institute и ISC2 специалист с сертификацией CISSP может подтвердить ее (как и всякая профессиональная сертификация, CISSP имеет ограниченный срок действия), прослушав определенный набор курсов MIS Training Institute.
«Микроинформ» стремится заручиться поддержкой со стороны крупных компьютерных и консалтинговых компаний, заинтересованных в росте осведомленности рынка в вопросах информационной безопасности. Первым примером такого сотрудничества стало маркетинговое соглашение с представительством Ernst&Young, специалисты которой занимаются консалтингом по информационной безопасности и считают самой большой бедой российских компаний малую информированность персонала по проблеме, недостаток управленческих знаний по защите данных и недопонимание руководством необходимости постоянного проведения в жизнь политики безопасности. Эта компания с энтузиазмом восприняла идею реализации западных стандартов обучения информационной безопасности в Москве и будет рекомендовать обучение в «Микроинформе» своим клиентам, рассматривая учебные программы MIS Training Institute как один из элементов собственных услуг.
По признанию Фридмана, были сомнения, насколько активно отреагирует рынок на появление дорогих западных курсов, при том, что уже есть гораздо более дешевые и более практические варианты. Отзывы слушателей свидетельствуют о востребованности этих программ. Несмотря на высокий статус многих «студентов», возможность соразмерить свою деятельность с мировой практикой оказалась для них чрезвычайно полезной. Ведь в конечном итоге незнание стандартов управления информационной безопасностью, неумение выстроить эффективную политику защиты информационных ресурсов может закрыть компании дверь в мировое сообщество и отпугнуть от нее западных инвесторов. Но даже не это главное. Российским менеджерам и техническим специалистам нужны качественные курсы, нужен опыт и знания, накопленные в мире.
Сертификационные программы MIS Training Institute
«Управление информационной безопасностью организации»:
- курс «Методы управления программой обеспечения информационной безопасности»;
- курс «Разработка и документирование политик информационной защиты»;
- курс « Формирование необходимого уровня компетентности сотрудников организации в вопросах информационной защиты»;
- курс «Руководство менеджера по защите сети организации».
«Защита периметра сети»:
- курс «Обеспечение безопасности и аудит сетей TCP/IP»;
- курс «Защита при помощи межсетевых экранов»;
- курс «Безопасность служб удаленного доступа и виртуальных частных сетей»;
- курс «Проникновение в собственную сеть».