В предыдущем тематическом выпуске журнала «Открытые системы», посвященном проблемам информационной безопасности, который наша редакция подготовила год назад, был опубликован большой обзор по теме обучения [1]. Что нового появилось спустя год в учебных программах повышения квалификации специалистов по информационной безопасности?
Учебный центр «Микроинформ» продолжает сотрудничество с компанией MIS Training Institute, которая разрабатывает учебные курсы по общему менеджменту и специальным вопросам построения корпоративной системы безопасности. К программам по управлению информационной безопасностью организации и защите периметра сети добавилась программа «Безопасность в Internet, Web и электронной коммерции», посвященная вопросам выбора, разработки, интеграции и администрирования средств защиты Web-серверов, браузеров, электронных транзакций, Web-приложений и систем электронной коммерции. Программа включает четыре курса. Курс «Обеспечение безопасности и аудит сетей TCP/IP» входит также в программу по защите периметра сети. В курсе «Обеспечение безопасности и проведение аудита Web-узлов» рассматриваются возможные риски и методы противодействия при защите основных Web-серверов, уязвимости Web-транзакции, методы идентификации недостатков дизайна Web-приложений. Курс «Аудит и безопасность разработки приложений» посвящен вопросам безопасности процесса создания приложений, включая аудит традиционного цикла разработки, аудит методологий быстрой разработки, аудит пользовательской части приложения, аудит тестирования, управления проектом разработки и т.д. Четвертый курс программы слушатель выбирает из двух курсов, посвященных обеспечению безопасности и аудиту Windows 2000 Server или Unix. Потенциальная аудитория этой программы — специалисты по разработке, администрированию и оценке защиты внешних и внутренних сред электронной коммерции. Как и две предыдущие программы MIS Training Institute в «Микроинформе», новая программа является сертификационной: слушатели, прошедшие обучение на всех четырех курсах, получают сертификат MIS Training Institute, подтверждающий их квалификацию.
Сертификационная программа «Защита периметра сети» дополнена курсами по системам обнаружения вторжений (Intrusion Detection Systems, IDS) и тестированию защиты сети. В первом курсе рассматриваются вопросы архитектуры, функционирования, выбора IDS из перечня свободно распространяемого и коммерческого программного обеспечения, сценарии атак в сети и процедуры защиты, а также новые направления в разработке средств IDS. Оригинальное название курса по тестированию защиты сети — «Руководство для ?хороших парней? по хакингу сетей». Этот практический курс показывает, какие уязвимости могут возникнуть при неудачной конфигурации программного обеспечения, несовместимости прикладных систем и недостатков проектирования сети, какие действия позволяют «пробить» защиту межсетевых экранов и как создать инструментарий тестирования защищенности сетевого периметра для операционных сред Windows и Unix.
Еще одно направление деятельности MIS Training Institute — обучение и организация конференций по аудиту информационных систем. В «Микроинформе» за прошедший год дважды был проведен и планируется в дальнейшем пятидневный семинар MIS под названием «Школа ИТ-аудита», а также семинар по управлению рисками информационных систем. Все курсы МIS здесь по-прежнему читаются только преподавателями MIS Training Institute. Напомним также, что учебные программы MIS являются независимыми от поставщиков программных и аппаратных систем безопасности: возможности тех или иных продуктов могут использоваться только в качестве иллюстрации общих принципов информационной защиты.
Независимой от вендоров является еще одна западная программа для специалистов по информационной безопасности — Security Certified Program (SCP), курсы которой читают в «Сетевой академии ЛАНИТ». Эта программа не столь глобальна, как обучение от MIS Training Institute, в ней не затрагиваются вопросы выстраивания корпоративной политики и управления системой информационной безопасности. Курсы SCP сосредоточены на двух основных направлениях защиты информационных ресурсов: защита сети с помощью технологий межсетевых экранов, обнаружение вторжений и построение структуры надежных коммуникаций с помощью технологий инфраструктуры открытого ключа и биометрии. Судя по отзывам слушателей, курсы SCP отличаются широким охватом проблем, читаются на достаточно высоком уровне. Концептуальный подход к темам и независимость от вендоров привлекает на курсы руководителей ИТ-отделов, которые хотят повысить уровень грамотности в общих вопросах защиты информации. Однако среди узких специалистов по безопасности встречается мнение, что широта спектра тем приводит к их поверхностному изложению: проблемы только обозначаются. Программы SCP готовят к сдаче экзаменов на получение сертификаций Security Certified Network Professional (SCNP) и Security Certified Network Architect (SCNA).
Международным сертификациям по информационной безопасности наподобие CISSP или SCP еще предстоит завоевать авторитет среди отечественных специалистов и руководителей. Возможно, со временем наличие таких сертификатов станет обязательным условием для кандидатов на должности в сфере информационной безопасности. Но и в этом случае подобные звания не приобретут иного смысла, кроме показателя уровня профессионализма. В нашей стране существуют определенные требования на правовом уровне к тем, кто работает с конфиденциальной информацией и отвечает за ее защиту. Согласно постановлению российского правительства все организации обязаны лицензировать в Гостехкомиссии деятельность, связанную с обработкой конфиденциальной информации. Для получения этой лицензии необходимо, чтобы в штате компании были специалисты с правом заниматься технической защитой информации. Такое право можно приобрести, например, прослушав в учебном центре «Информзащита» курс «Безопасность информационных технологий». Программа курса, включающая основные вопросы обеспечения информационной безопасности, в том числе правовые и организационные, утверждена Гостехкомиссией.
С принятием закона об электронной цифровой подписи возросла потребность в изучении различных аспектов использования ЭЦП и построения инфраструктуры с открытым ключом (public key infrastructure, PKI). Этим вопросам посвящен новый курс учебного центра «Информзащита», который называется «Использование ЭЦП в PKI на основе Удостоверяющего центра «Крипто-Про УЦ». В курсе рассматриваются юридические, теоретические и практические вопросы использования ЭЦП, сертификатов открытых ключей и удостоверяющих центров в системах электронного документооборота, электронной почты, электронной коммерции, банковских платежных системах и других прикладных решениях, а также изучается программный комплекс «Крипто-Про УЦ» для управления службами сертификации.
Последнее время особое внимание вопросам безопасности уделяет корпорация Microsoft, стремясь разрушить устоявшийся стереотип по отношению к своим разработкам как не очень надежным и незащищенным. Стратегия Microsoft Тrustworthy Computing отводит значительное место обучению разработчиков и пользователей, причем не только в рамках авторизованных курсов самой компании. В учебном центре «Информзащита» создан курс по безопасности сетей на базе Windows 2000/XP, разработанный в соответствии с рекомендациями самой Microsoft, а также таких компетентных в вопросах информационной безопасности организаций, как Агентство национальной безопасности США, NIST и SANS Institute. В курсе также учтен опыт специалистов учебного центра по настройке Windows 2000/XP и использованию заложенных в них механизмов защиты. Курс рассчитан на системных администраторов и специалистов по информационной безопасности в среде этих операционных систем. На рекомендации тех же организаций и Microsоft опирались в учебном центре и при разработке нового курса, посвященного безопасности систем электронной почты.
В этом году учебный центр «Информзащита» расширил программу авторизованных курсов известного производителя систем управления информационной безопасностью, компании Internet Security Systems. Кроме того, учебный центр получил авторизацию еще одного западного разработчика средств защиты данных — компании Clearswift, которая специализируется на программных системах анализа контента для контроля информации в корпоративных сетях.
Авторизованные учебные программы от ведущего поставщика средств защиты информации в Internet компании CheckPoint Software Technologies предлагает учебный центр NTC корпорации ЮНИ. В июне этого года CheckPoint анонсировала новую технологию Application Intelligence, позволяющую интегрировать в межсетевом экране возможности защиты информации как на уровне сети, так и на уровне приложений. И уже в июле 2003 в NTC была обновлена программа по системе CheckPoint VPN-1/FireWall-1, которая теперь знакомит слушателей с функциональными возможностями, реализованными в последней версии этого программного продукта, Next Generation with Application Intelligence.
Заключение
В целом на столичном рынке учебных услуг складывается достаточно разнообразная картина обучения информационной безопасности. Имеются комплексные программы, позволяющие изучить международные стандарты организации корпоративной защищенной ИТ-инфраструктуры, отечественные традиции и правовые нормы в сфере защиты информации. Есть различные учебные треки по технологическим и техническим аспектам информационной безопасности, от защиты сетей до антивирусного программного обеспечения. В этом разнообразии можно найти как курсы, разработанные специалистами учебных центров, так и авторизованные курсы производителей соответствующих программных и аппаратных решений.
Литература
- Наталья Дубова, "Обучение безопасности". // Открытые системы, 2002, № 7-8.