Что и зачем нужно знать специалистам по защите

Ленты новостей с завидным постоянством сообщают об очередных «невинных» развлечениях хакеров, результатами которых становятся тысячи неработоспособных серверов, мертвые бизнес-процессы, использующие Web-технологии, утраченная и измененная информация, страницы сайтов, поменявшие свой облик до неузнаваемости. И в конечном счете — убытки, финансовые, материальные, имиджевые. Является ли это неизбежной платой за новый уровень технологий?

Это результат действия двух очевидных факторов: непонимание сложности и комплексности задачи обеспечения безопасности информации, а также отсутствие соответствующих квалифицированных специалистов, способных эту безопасность обеспечить. Непонимание ведет к отсутствию инвестиций как в средства защиты, так и в подготовку специалистов, которые эти средства должны обслуживать.

Профессия специалиста по информационной безопасности возникла на стыке ИТ и технологий обеспечения безопасности. Поэтому значительную часть специалистов в области информационной безопасности составляют выходцы из различных силовых структур, охранных предприятий, либо ИТ-специалисты. Еще одна, пока немногочисленная категория кадров на этом рынке, — выпускники вузов, не имеющие опыта работы, но обладающие определенной базовой подготовкой. Всем этим категориям сотрудников, ответственным за обеспечение информационной безопасности, постоянно приходится осваивать «недостающую часть» знаний и навыков или перепрофилироваться. Сегодня наиболее востребованы квалифицированные кадры следующих категорий:

• руководители специальных подразделений защиты информации, ответственные за состояние информационной безопасности в целом, организацию и координацию работ по созданию комплексных систем защиты;
• аналитики по компьютерной безопасности, ответственные за анализ рисков, связанных с использованием информационных систем, определение требований к защищенности ресурсов, обоснованный выбор методов и средств защиты, а также за разработку организационно-распорядительных документов;
• администраторы средств защиты, обеспечивающие эффективное применение штатных средств защиты операционных систем и приложений, специализированных программно-аппаратных и программных средств, а также средств контроля защищенности ресурсов и обнаружения атак.

Компьютерная безопасность требует комплексного решения множества правовых и организационно-технических вопросов, поэтому руководителям и аналитикам подразделений обеспечения информационной безопасности необходимо знание следующих аспектов:

• правовых вопросы защиты информации;
• теории построения защищенных систем;
• организации работы подразделений информационной безопасности;
• основ построения комплексных систем защиты, обеспечивающих рациональное распределение функций и эффективное взаимодействие по вопросам защиты информации сотрудников всех структурных подразделений организации;
• эксплуатационных характеристик основных средств защиты информации (средства предотвращения несанкционированного доступа, криптографическая защита, межсетевые экраны, средства анализа защищенности и обнаружения атак).

Аналитикам, кроме того, необходимо владеть следующими знаниями и навыками:

• основами проведения информационных обследований, выявление значимых угроз, анализ и оценка рисков, способы управления рисками, применение различных защитных механизмов;
• вопросами разработки нормативно-методических и организационно-распорядительных документов, необходимых для реализации выбранных технологий защиты;
• подходов к оценке характеристик и выбору необходимых программно-аппаратных и программных средств защиты информационных ресурсов, основы поиска и использования оперативной информации об угрозах и средствах защиты, другой актуальной информации по безопасности автоматизированных систем;
• контроля и анализа эффективности применения, оценка достаточности конкретных мер и средств защиты.

Администраторам средств защиты необходимы знания и навыки в таких областях, как:

• проблемы безопасности в Internet/intranet, уязвимости распространенных операционных систем, СУБД и приложений, сетевых протоколов и служб, атаки в IP-сетях, типовые приемы проникновения в корпоративные сети, реализуемые за счет использования данных уязвимостей, и популярные у нарушителей инструменты взлома;
• основы поиска и использования оперативной информации о новых уязвимостях в системном и прикладном программном обеспечении;
• эффективное применение конкретных средств защиты информации.

В отличие от вузов, где учебный процесс длится достаточно продолжительное время и ориентирован на студентов, не имеющих базовых знаний, курсы повышения квалификации в силу ограниченности времени изначально рассчитаны на слушателей с хорошей базовой подготовкой. Это позволяет за сравнительно короткий срок приобрести практические знания и навыки необходимые для решения конкретных задач.

Предположим, руководство предприятия принимает решение о введении или совершенствовании политики информационной безопасности. Обычно такое решение ведет к заполнению новых вакансий специалистов по защите информации или к вменению в обязанности существующего персонала дополнительных функций по защите информации. В таких случаях эффективным является направление сотрудников на специальные курсы по технологиям обеспечения информационной безопасности. При обучении на таких курсах специалисты смогут не только структурировать имеющийся у них опыт, но и обновить свои знания, изучить как технологические, так организационные и юридические вопросы обеспечения информационной безопасности. Особо важным представляется подробное, пошаговое рассмотрение процесса реализации концепции информационной безопасности в организации.

Администраторам сетей, системным администраторам, администраторам безопасности повышение квалификации рекомендуется начинать с интенсивных тренингов по безопасности компьютерных сетей. На таких курсах организуется большое количество практических работ на стендах, моделирующих реальные сети, а также в систематизированном виде, по специальной методике подаются знания, наиболее важные для этой категории специалистов.

На следующем этапе всем категориям специалистов желательно пройти обучение на практических курсах: практикумы по безопасной настройке операционных систем и приложений, выбор межсетевых экранов, систем обнаружения атак и др. И только после этого имеет смысл начинать обучение работе с конкретными средствами защиты информации.

Практически ежедневное появление новых уязвимостей и угроз безопасности компьютерных сетей, и, соответственно, методов, продуктов и решений в области защиты информации вынуждает сотрудников подразделений информационной безопасности постоянно совершенствовать свои знания. При планировании работы сотрудника, ответственного за информационную безопасность, необходимо выделять специальное время для его самообразования, предусматривать в бюджете средства для периодического повышения квалификации не реже одного раза в год.

Идеальный вариант для повышения квалификации — специализированные учебные центры, в которых имеются коллективы опытных специалистов в области защиты информации, разработчиков учебных курсов, владеющих методиками интенсивного обучения, а также имеется соответствующая техническая база. Обучаться же работе с конкретными средствами защиты информации лучше в авторизованных учебных центрах и центрах, созданных производителями этих средств.