Методы и технологии информационной безопасности – самая молодая область ИТ в нашей стране. Другие направления – программные, аппаратные, сервисные – так или иначе имеют корни в «унаследованных» технологиях, сформировавшихся несколько десятилетий назад. Однако информационная безопасность до начала 90-х практически отождествлялась с охраной гостайны, защитой секретных документов, существовавших в то время в основном в бумажном виде, и сводилась к строгим регламентам соответствующих органов. Бум информатизации, расширение демократии, активное вовлечение частного сектора в процессы обработки информации сделали актуальной задачу эффективного применения методов и средств обеспечения информационной безопасности. Однако оказалось, что на рынке нет квалифицированных специалистов в этой области.

Все начиналось с одного-двух передовых вузов, взявших на себя непростую задачу поиска путей эффективной подготовки кадров, а сегодня число университетов, которые ведут обучение по различным специальностям, связанным с информационной безопасностью, перевалило за сотню. На повестке дня – создание третьего поколения образовательных стандартов в сфере информационной безопасности.

Первые два поколения

В 50-е годы на закрытом отделении механико-математического факультета МГУ и в Высшей школе криптографов была начата подготовка специалистов по криптографии; с этого времени формально можно отсчитывать историю высшего профессионального образования по информационной безопасности в России. Однако государственная система подготовки специалистов по информационной безопасности стала складываться лишь спустя 40 лет. Особенность этой подготовки в том, что она является неотъемлемой частью комплекса мероприятий государства по противодействию угрозам в информационной сфере. Об этом официально заявляется в Доктрине информационной безопасности, подписанной 9 сентября 2000 года Президентом РФ.

В середине 90-х годов появились государственные образовательные стандарты высшего профессионального образования первого поколения для подготовки специалистов по информационной безопасности, были сформированы учебно-методические объединения (УМО) для координации работы вузов в этой сфере, началась реализация учебных программ в области информационной безопасности. В начале XXI века развитие этого направления в вузах привело к формированию отдельной образовательной области «Информационная безопасность» и созданию второго поколения стандартов подготовки соответствующих специалистов. Cегодня более 120 вузов по всей стране предлагают программы по семи специальностям из области «Информационная безопасность»:

  • криптография;
  • компьютерная безопасность;
  • организация и технологии защиты информации;
  • комплексная защита объектов информатизации;
  • комплексное обеспечение информационной безопасности автоматизированных систем;
  • информационная безопасность телекоммуникационных систем;
  • противодействие техническим средствам разведки.

Обучение по компетенциям

Работа по созданию федеральных государственных образовательных стандартов высшего профессионального образования по информационной безопасности третьего поколения ведется уже два года и отражает глобальные изменения, происходящие в ходе реформирования системы российской высшей школы. Это, прежде всего, переход на двухуровневую систему подготовки «бакалавр-магистр» и внедрение компетентностного подхода к обучению.

Данный подход предполагает не просто получение студентами некоторого набора теоретических знаний и практических навыков, а формирование определенных профессиональных компетенций, соответствующих задачам и потребностям, которые ставят перед выпускниками потенциальные работодатели. Как отмечает заместитель председателя Совета УМО вузов РФ по образованию в области информационной безопасности Евгений Белов, компетентностный подход означает большую ориентацию образовательных программ на практическую подготовку, на выработку у студентов умения решать реальные задачи в определенных областях деятельности. В образовательном сообществе идет дискуссия по поводу оправданности такого переноса акцента в обучении на потребности рынка, об опасности тем самым потерять один из основных козырей отечественного образования, нанеся ущерб его фундаментальности. Тем не менее при создании стандартов третьего поколения по информационной безопасности за основу взят именно компетентностный подход.

В новых стандартах определяются перечни необходимых компетенций для всех уровней подготовки – бакалавров, магистров и специалистов (выпускники традиционных пятилетних программ-специалитетов, которые в образовательной области по информационной безопасности также сохранены). Как рассказывает Белов, при формировании списка компетенций были проанализированы различные формальные источники требований, которые работодатели могут предъявлять к специалистам по информационной безопасности: утвержденные на законодательном уровне квалификационные требования Минтруда РФ; требования к государственным служащим, работающим в области защиты информации; недавно появившиеся профессиональные стандарты в области ИТ; различные ГОСТы и международные стандарты по защите информации, из которых можно почерпнуть много ценной информации о том, что должны уметь делать специалисты разного уровня; существующие на предприятиях нормативные документы с описанием функциональных обязанностей таких специалистов и т.д.

Такой многосторонний анализ позволил выстроить систему профессиональных задач, которые работодатели могут ставить перед бакалаврами, специалистами и магистрами информационной безопасности. Этот список был передан на экспертизу специалистам по защите информации на предприятиях, в госучреждениях и частных компаниях, и после учета их замечаний использован в качестве основы для списка профессиональных компетенций выпускников всех уровней. В процессе формирования этого перечня активно участвовала и вузовская общественность, и такое широкое привлечение экспертов с разных сторон позволило, по мнению Белова, свести к минимуму возможные ошибки в новых стандартах.

АЛЕКСАНДР ТОЛСТОЙ: «Бакалавриат, снабдив выпускника необходимым базовым багажом знаний, в сочетании с развитой системой повышения квалификации, возможно, позволит удовлетворить массовые потребности рынка в специалистах по информационной безопасности»Следующий шаг – трансформировать список компетенций в описание необходимых знаний, умений и навыков выпускников, на основе которых можно создавать новые учебные дисциплины и программы для их реализации. Особенность образовательных стандартов третьего поколения состоит в большей свободе, которая предоставляется вузам в процессе формирования программ подготовки студентов. Если в предшествующих стандартах для каждой дисциплины подробно описывалось ее содержание, то в стандартах нового поколения такого детального описания нет – определение содержания в значительной степени становится прерогативой вуза. Такая свобода заманчива, но неизбежно создает немало проблем – далеко не все российские университеты имеют достаточные ресурсы для того, чтобы взять на себя подобную ответственность. Поэтому УМО вузов по образованию в области информационной безопасности помогает университетам, разрабатывая совместно с ними примерное содержание соответствующих программ. Эти программы опираются на накопленный опыт подготовки студентов в рамках стандартов второго поколения, но направлены на достижение новой цели – сформировать пул знаний и навыков, обеспечивающий необходимые компетенции выпускника для выполнения им конкретных функций.

Работа по созданию таких программ заставила еще раз внимательно проанализировать сформированный список компетенций и, как рассказывает Белов, понять, насколько те или иные из них реализуемы в учебном процессе, не возникает ли дублирования и т.д. Таким образом, обращение к конкретному содержанию образовательных программ позволяет совершенствовать стандарт.

Белов поясняет, что на содержание стандарта повлиял не только принятый компетентностный подход, но и общие серьезные изменения в области информационной безопасности, произошедшие за почти десять лет с момента принятия стандартов второго поколения. Это были годы активного становления образовательной области «Информационная безопасность», развития методов и средств защиты, появления принципиально новых технологий – все это необходимо было учесть в стандарте.

Станет ли бакалавр специалистом?

Появление бакалавров и магистров в системе обучения по информационной безопасности может оказаться наиболее сложным по сравнению с большинством других образовательных областей. Если многие отечественные вузы в порядке эксперимента начали опробовать двухуровневую модель, а в некоторых университетах она уже доказала свою жизнеспособность, то обучение по информационной безопасности до последнего времени велось только в рамках специалитета. Тем не менее переход на систему «бакалавр–магистр» в области информационной безопасности объективен, и не только по причине законодательного введения с 2010 года двухуровневой модели в отечественной высшей школе.

Белов поясняет, что обучение по стандартам второго поколения в основном было ориентировано на подготовку высококвалифицированных разработчиков технических, программно-аппаратных и иных средств обеспечения информационной безопасности и реализовывалось с помощью сложных, наукоемких программ специалитета, рассчитанных на пять – пять с половиной лет. Специалистов такого уровня, образование которых, по существу, соответствует требованиям госорганизаций и крупных предприятий, выпускают сегодня более сотни вузов, рассредоточенных по всем регионам страны. В результате сложилась парадоксальная ситуация. Развитие свободной экономики, активное становление частного бизнеса значительно повысило востребованность специалистов по информационной безопасности. Исследования рынка, проведенные несколько лет назад по заказу Минобрнауки, прогнозировали до 2010 года ежегодную потребность государственных структур и коммерческих предприятий
в 5 тыс. таких специалистов. Но сегодня эти цифры, по-видимому, надо увеличивать в разы, поскольку те или иные задачи обеспечения информационной безопасности возникают в любом банке, любой организации системы здравоохранения, органах госуправления всех уровней, фактически на любом предприятии, где есть автоматизированная обработка информации. А с принятием закона о персональных данных соответствующие специалисты будут нужны практически повсеместно. Но при этом уровень задач в организациях разного масштаба может существенно отличаться.

Компетентностный подход позволяет сформировать разные наборы задач для разных уровней подготовки и определить для них различные уровни глубины профессиональных компетенций. Пока же фактически по государственному заказу готовятся специалисты, знания которых оказываются часто избыточны на тех позициях, которые они занимают.

Стандарты третьего поколения предполагают, что подготовка специалистов по информационной безопасности останется только в тех вузах, где необходимость специалитета будет обоснованна, но пока четкие критерии, по которым вузам будет предоставлена возможность продолжить подготовку по специальностям, не выработаны. Это сложная проблема, требующая правовой проработки со стороны заинтересованных федеральных органов исполнительной власти. Как поясняет Белов, основной аргументацией должно стать наличие определенного государственного заказа на специалистов, обладающих необходимыми компетенциями построения и эксплуатации высокоуровневых систем защиты информации. Такой заказ может исходить от госструктур федерального уровня, региональных властей или даже конкретных предприятий, нуждающихся в подобных специалистах.

Важно, подчеркивает Белов, чтобы выпускники специалитетов действительно находили применение полученным знаниям. Их уход в другие области неприятен не только по причине фактической потери затраченных на образование государственных средств. Образование в области информационной безопасности всегда, помимо методик и технологий защиты информационных ресурсов, подразумевает и изучение средств нападения. «Наш выпускник – всегда борец», – отмечает Белов. Но если такому выпускнику не удается найти прямое применение полученным знаниям, он потенциально может превратиться из защитника в «агрессора», перейти на сторону нападения.

УМО по образованию в области информационной безопасности и УМО по образованию в области историко-архивоведения разработали и согласовали с работодателями и заинтересованными федеральными органами исполнительной власти проект федерального образовательного стандарта по направлению подготовки «Информационная безопасность» уровня «бакалавр – магистр». За четыре года студенты бакалавриата должны освоить базовый цикл фундаментальной подготовки по математическим, естественнонаучным, гуманитарным и профессиональным дисциплинам,
а на старших курсах – цикл дисциплин в соответствии с выбранным профилем. Стандарт предлагает шесть профилей бакалавриата, по содержанию ориентированных на различные направления деятельности в области информационной безопасности.

По замыслу разработчиков стандарта, бакалавры получат достаточно разностороннюю, но менее глубокую, чем специалисты, подготовку по выбранному профилю, что позволит им заниматься эксплуатацией систем защиты информации или выполнять менеджерские функции. Такие кадры, считает Белов, будут востребованы и уже востребованы рынком, о чем свидетельствует хотя бы тот факт, что даже выпускники системы среднего профессионального образования в области информационной безопасности сейчас, как правило, успешно трудоустраиваются. Студенты, окончившие бакалавриат, смогут развивать свою квалификацию с помощью системы дополнительного профессионального образования или же выбирая магистратуру, которая должна дать им возможность «дорасти» до уровня разработчика или исследователя в области информационной безопасности. И, вполне возможно, что общий срок обучения в шесть лет позволит готовить элитных защитников информации.

Лабораторный стенд по техническим средствам защиты Тем не менее в вузовской среде сохраняется осторожное отношение к введению двухуровневой системы образования в области информационной безопасности. Как отмечает заместитель декана факультета «Информационная безопасность» МИФИ Александр Толстой, опыт показывает, что четыре года – недостаточный срок для подготовки человека, способного работать в области информационной безопасности. Однако он соглашается с тем, что бакалавриат, снабдив выпускника необходимым базовым багажом знаний и научив студента заниматься амообразованием, в сочетании с развитой системой повышения квалификации, возможно, позволит удовлетворить массовые потребности рынка в соответствующих специалистах. Но при этом работодатели должны понимать, считает Толстой, что, принимая на работу выпускника бакалавриата, они вынуждены будут вкладываться в его дальнейшее обучение.

Массовые выпуски по специальностям группы «Информационная безопасность» появились лишь в последние годы, и только сейчас можно анализировать эффективность их подготовки. Например, Белов достаточно высоко оценивает уровень образования в большинстве вузов, специализирующихся на информационной безопасности, выделяя «отличников»: МИФИ, РГГУ, Санкт-Петербургский государственный политехнический университет, Томский госуниверситет систем управления и радиоэлектроники (ТУСУР), Воронежский гостехуниверситет, МАИ, МГТУ им. Н.Э. Баумана, Пензенский госуниверситет и ряд других вузов, которые начинали десять и более лет назад и смогли за эти годы сформировать мощные школы информационной безопасности.

Одним из первопроходцев был Московский инженерно-физический институт, принявший решение о начале подготовки по информационной безопасности еще в 1991 году. В институте была создана кафедра защиты информации в АСУ и сетях ЭВМ, которая вела обучение студентов начиная с четвертого курса, набранных со всех факультетов МИФИ. Новая специальность создавалась фактически с нуля. На тот момент единственным гражданским вузом, где велась подготовка по информационной безопасности, был Российский государственный гуманитарный университет (РГГУ), однако там обучение было ориентировано на подготовку специалистов в области секретного делопроизводства. В МИФИ же поставили задачу выстроить систему обучения по техническому и программно-аппаратному обеспечению защиты информации в компьютерных средах. Потребовались значительные усилия по разработке нового содержания, соответствующего специфике предметной области.

Созданная МИФИ и Институтом криптографии, связи и информатики Академии ФСБ специальность стала прототипом одной из семи существующих сегодня специальностей в области информационной безопасности – «Комплексное обеспечение информационной безопасности автоматизированных систем», которая сегодня преподается в МИФИ. Прием первокурсников по новой специальности состоялся в 1995 году. В ноябре того же года по решению Межведомственной комиссии по информационной безопасности Совета безопасности РФ в МИФИ был открыт факультет «Информационная безопасность».

Сегодня на факультете работают кафедры защиты информации, компьютерного права, информационной безопасности банковских систем, криптологии и дискретной математики, стратегических информационных исследований. Ежегодно на факультет «Информационная безопасность» МИФИ принимается сто первокурсников. И около тысячи специалистов повышают на факультете свою квалификацию в системе дополнительного образования.

Особенность информационной безопасности как образовательного предмета состоит в том, что она должна сочетать в себе знания как в области естественных наук и технологий, так и в области юриспруденции, менеджмента, ряда гуманитарных наук, поэтому в ограниченные рамки учебного плана необходимо вписать, помимо курсов по методам и средствам защиты данных, фундаментальные математические дисциплины, углубленную подготовку по ИТ, изучение организационных и правовых аспектов обеспечения информационной безопасности.

При этом каждое из этих направлений имеет свои особенности. Как рассказывает Толстой, в МИФИ, всегда славившемся углубленной математической подготовкой, не удалось просто взять и перенести существующие дисциплины в новую программу. Понадобилось вводить курсы и приглашать специалистов в базовых для методов защиты данных областях, таких как дискретная математика, алгебра, математическая статистика.

С самого начала в МИФИ стремились сочетать обучение естественнонаучным и инженерным дисциплинам с подготовкой в области юриспруденции, понимая, однако, что это должна быть не классическая юридическая программа, а курс, связанный с конкретными областями права: обеспечение интеллектуальной собственности, информационное право, экспертиза по компьютерным преступлениям. К моменту становления факультета серьезно этим не занимался ни один вуз страны. Организованная в МИФИ кафедра компьютерного права по сей день остается уникальной.

Комплекс технических дисциплин для студентов факультета «Информационная безопасность» также оптимизирован – они изучают различные аспекты защиты информации в физической среде и особенности организации самой этой среды, осваивая теорию и практику построения вычислительных систем. Кроме того, выпускники специальности должны уметь решать все организационные проблемы обеспечения информационной безопасности, чему также посвящена отдельная дисциплина.

За последние годы на факультете появляются и новые учебные программы, например дисциплина управления информационной безопасностью, включенная в новый образовательный стандарт.

Принципиально важной для направления информационной безопасности особенностью обучения на факультете является тесная интеграция практики в учебный процесс. Начиная с четвертого курса студенты получают возможность вести свою научно-исследовательскую работу под руководством специалистов предприятий и решать практические задачи обеспечения информационной безопасности в реальных условиях. Факультет проводит целевую подготовку специалистов для Центробанка и ФСБ, сотрудничает с рядом организаций, связанных с ФСТЭК России. Как отмечает Толстой, у такого подхода есть целый ряд преимуществ. Организация, принимая на работу выпускников, активно сотрудничавших с ней последние годы обучения в институте, получает не только нужного специалиста, но и человека, которого уже знают как с профессиональной, так и с моральной точки зрения, что для работы в области информационной безопасности немаловажно. С другой стороны, специалисты предприятий, с которыми сотрудничает факультет, принимают активное участие в учебном процессе, и такое привлечение практиков к преподаванию позволяет поддерживать актуальность курсов. Толстой убежден, что опыт целевой подготовки должен быть реализован при внедрении двухуровневого подхода к обучению как на факультете, так и в системе высшего образования по информационной безопасности в целом. Обеспечивая массовую подготовку специалистов для нужд рынка в бакалавриате, вузам целесообразно ограничить магистратуру целевым приемом для определенных организаций, сводя тем самым к минимуму риск получить выпускника, не работающего по специальности.

Факультет «Информационная безопасность» МИФИ активно способствует распространению системы вузовского образования в этой области. В середине 90-х годов вслед за открытием факультета было принято решение о создании в системе высшей школы сети региональных учебно-научных центров в области информационной безопасности. Головным центром стал МИФИ, и при его активном участии началось формирование центров на базе ведущих вузов страны. Сейчас функционирует 28 таких центров в разных регионах России, наиболее активные – на базе Воронежского технического университета, Южного федерального университета, Санкт-Петербургского государственного политехнического университета, Томского государственного университета систем управления и радиоэлектроники, Южно-Уральского университета, Уральского государственного технического университета, Нижегородского госуниверситета. Фактически все они стали центрами кристаллизации образовательных процессов по информационной безопасности – через них распространялся опыт преподавания, формировались научные школы, осваивались и активно внедрялись в учебный процесс передовые технологии защиты данных.

По словам Белова, сегодня эти центры превращаются в минитехнопарки, которые и обучают студентов, и оказывают различные услуги в области информационной безопасности, решая по заказу государства или коммерческих предприятий достаточно сложные задачи в сфере разработки новых методов защиты. Такой синтез бизнеса и образования позволяет вузу самостоятельно зарабатывать средства на совершенствование своего учебного процесса, привлекать высококвалифицированных специалистов на преподавательскую работу и повышать профессиональный уровень своих сотрудников.


Евгений Белов: «Компетентностный подход в образовательных стандартах нового поколения означает большую ориентацию учебных программ на практическую подготовку, на выработку у студентов умения решать реальные задачи в определенных областях деятельности».

Университеты информационной безопасности

Образовательные программы по информационной безопасности перестали быть прерогативой коммерческих учебных центров компаний, специализирующихся на защите данных, – cерьезность проблемы требует наличия квалифицированных специалистов, которых необходимо растить со студенческой скамьи.

http://www.osp.ru/os/2005/05-06/185607

Информационная безопасность в организации: взгляд практика

Вопросам информационной безопасности пока еще уделяется очень мало внимания.

http://www.osp.ru/os/2002/07-08/181717

Обучение безопасности

Что сделать для подготовки кадров, способных строить комплексную систему информационной «обороны»?

http://www.osp.ru/os/2002/07-08/181744

Компетенции бакалавра

В новом образовательном стандарте облик бакалавра информационной безопасности определяется набором общепрофессиональных компетенций:

  • способность использовать основные естественнонаучные законы, применять математический аппарат в профессиональной деятельности, выявлять сущность проблем, связанных с информационной безопасностью;
  • способность формировать эффективный комплекс мер по информационной безопасности с учетом его правовой обоснованности, административно-управленческой и технической реализуемости и экономической целесообразности;
  • способность организовывать и поддерживать выполнение комплекса мер по информационной безопасности, управлять процессом их реализации с учетом решаемых задач и организационной структуры предприятия, внешних воздействий, вероятных угроз и уровня развития технологий защиты информации.

Обучение по методу «Лаборатории Касперского»

Высшему профессиональному образованию в области информационной безопасности жизненно необходимо сотрудничество с компаниями–разработчиками средств защиты данных. Для вузов такое сотрудничество – не только возможность получить современное оборудование и программное обеспечение, но и способ дать студентам почувствовать пульс отрасли. А для участников рынка – возможность повлиять на вузовскую среду, помочь университетам готовить действительно нужных индустрии специалистов.

Компания «Лаборатория Касперского» ведет работу с высшим и средним профессиональным образованием России по собственной программе «Академия Касперского». Руководитель направления по работе с образовательными учреждениями «Лаборатории Касперского» Светлана Ефимова высоко оценивает уровень теоретической подготовки специалистов в сфере информационной безопасности в российских вузах, но отмечает его недостаточность с точки зрения практики. Основной трудностью, с которой сталкиваются выпускники вуза при трудоустройстве, оказывается отсутствие навыков прикладного использования полученных знаний. По мнению Ефимовой, тесное сотрудничество с компанией дает возможность исправить эту ситуацию.

Основные задачи программы «Академия Касперского»:

  • распространение передовых знаний и опыта в области защиты информации от современных компьютерных угроз;
  • поддержка наиболее одаренных студентов, заинтересованных в изучении вопросов информационной безопасности;
  • повышение квалификации преподавателей в области информационной безопасности, а также формирование площадки для обмена преподавательским опытом с коллегами;
  • обеспечение доступной антивирусной защиты для высших учебных заведений, центров повышения квалификации и переподготовки преподавателей.

Ефимова отмечает, что эффект приносит лишь комплексный подход к реализации программы, предусматривающий сочетание трех ее основных элементов: обучения, научно-исследовательской деятельности и практики. Вузу-партнеру «Лаборатория Касперского» бесплатно предоставляет учебные курсы, методические материалы, аналитические и статистические данные, исследования и обзоры ведущих экспертов компании по темам компьютерной и информационной безопасности. Для преподавателей и студентов проводятся дистанционные семинары, организуются мастер-классы и встречи с экспертами.

Под руководством экспертов «Лаборатории Касперского» студенты пишут дипломные проекты на темы, предложенные компанией, готовят аналитические обзоры и статьи. Все эти материалы рецензируются ведущими специалистами, а результаты наиболее интересных студенческих исследований применяются в работе компании. Исследовательская работа неразрывно связана с практической деятельностью, поэтому студентам предоставляется возможность пройти практику в компании для сбора необходимых материалов.

Для формирования сообщества молодых ученых «Лаборатория Касперского» организовала собственную конференцию по проблемам информационной безопасности IT Security for the New Generation. В этом году конференция стала международной, к российским участникам присоединились представители Англии, Германии, Монголии, Сингапура, Армении и Украины. На конференции были представлены работы по таким темам, как актуальность криптографии в современном обществе, компьютерные угрозы, методы обнаружения спама, средства анализа и тестирования современных средств защиты, образовательные проекты в области компьютерной безопасности, экономические аспекты информационной безопасности.

«Лаборатория Касперского» взаимодействует более чем со 120 вузами России и СНГ, среди которых МГУ, МГТУ, МИФИ, Казанский государственный университет, Южно-Уральский государственный университет и др. Работа с университетами начинается по отработанной схеме, при этом программа адаптируется под задачи и особенности каждого конкретного вуза. Говоря об эффективном сотрудничестве, Ефимова обращает внимание на инновационный подход во взаимодействии вузов – участников программы «Академия Касперского». Например, два вуза–партнера программы – Российский государственный социальный университет и Новосибирский государственный архитектурно-строительный университет – организовали совместный дипломный проект для студентов на тему «Безопасность беспроводных сетей». Студенты РГСУ готовят теоретическую и аналитическую часть проекта, а в НГАСУ разрабатывается программная часть для анализа уровня безопасности точки доступа.

С 2008 года «Лаборатория Касперского» является членом УМО вузов Российской Федерации по образованию в области информационной безопасности. Как отмечает Ефимова, компания стала единственным негосударственным представителем ИТ-сообщества, вошедшим в УМО. Эксперты «Лаборатории Касперского» приняли участие в разработке стандартов третьего поколения среднего и высшего профессионального образования в области информационной безопасности, а также в их рецензировании.

Для компании важно, что впервые к участию в создании одного из основных документов высшего образования пригласили представителей индустрии. «Лаборатория Касперского», являясь одним из основных «потребителей» выпускников по специальности «Информационная безопасность», имеет возможность внести рекомендации и дополнения в учебную программу, по-новому расставить акценты в подготовке специалистов, тем самым повысив квалификационный уровень выпускников.

Учебно-исследовательская криптографическая система

По мере развития информационных технологий и роста темпов их внедрения во все социально значимые сферы деятельности общества, все значимее становятся проблемы защиты информации, что и определило появление в перечне направлений подготовки специалистов в большинстве технических вузов специальностей, связанных с защитой информации. Вместе с тем знакомство с основами информационной безопасности необходимо практически каждому пользователю электронных средств обработки и обмена информацией. По существу, информационная безопасность имеет тенденцию превращения в «третью грамотность» наряду со «второй грамотностью» – владением компьютером и информационными технологиями.

Подготовка специалистов по специальности «Технология и организация защиты информации» в Государственном инженерном университете Армении проводится с 1999 года, причем в рамках курса «Информатика» основы информационной безопасности преподаются на всех специальностях университета. В качестве одного из основных средств защиты информации рассматривается криптография, для преподавания которой на кафедре информационной безопасности и программного обеспечения разработана учебно-исследовательская криптографическая система.

Система предназначена для демонстрации, изучения и исследования широкого спектра криптографических алгоритмов и способов их использования для решения основных задач обеспечения информационной безопасности. Система может использоваться в качестве демонстрационного материала при проведении лекционных занятий, как «стенд» для проведения лабораторных работ, в качестве исследовательского инструмента при подготовке курсовых и выпускных работ, а также в качестве пособия для самостоятельного изучения.

Возможности системы позволяют настроить ее под конкретное применение с учетом особенностей целевой аудитории. В соответствии с принципом историчности изложения материала, заложенном в предметные программы университета, в систему включены не только основные современные, но и наиболее интересные и поучительные исторические алгоритмы.

Система не предполагает предварительной профессиональной подготовки пользователей и может быть полезна не только для преподавателей, студентов и аспирантов соответствующих специальностей вузов, но и для широкого круга лиц, интересующихся криптографией.

Учебно-исследовательская криптографическая система включает в себя наиболее интересные исторические криптографические алгоритмы (Цезаря, перестановки, Вижинера, Плейфера, Хилла, и др.) вместе с описанием соответствующих этим алгоритмам основных подходов к криптоанализу на базе классических методов анализа (энтропия, частотные гистограммы, автокорреляция и т.д.).

В разделе современных алгоритмов представлены наиболее распространенные симметричные (IDEA, DES, 3DES, AES и др.) и асимметричные (RSA) алгоритмы, а также соответствующие специальные методы криптоанализа. На основе алгоритма RSA представлен полный цикл работы с цифровой подписью (подпись сообщения, выделение подписи, проверка подписи). Предусмотрена возможность последовательного применения нескольких криптографических алгоритмов и построения гибридной криптосистемы на основе совмещения симметричного и асимметричного алгоритмов.

В систему включены также некоторые «сопутствующие алгоритмы», в частности хеш функций (MD2, MD4, SHA, SHA1 и др.), обмена ключами (Диффи-Хеллман), сжатия (zip), генерации случайных чисел и т.д. Для каждого из криптографических алгоритмов предусмотрены соответствующие средства генерации ключей с заданными параметрами на основе случайных чисел или введенного кодового слова (пароля).

Система имеет объектно-модульную структуру и открыта для расширения посредством добавления программных модулей, реализующих новые алгоритмы и способы с соответствующей модернизацией интерфейса (меню) системы.

Важнейшей в образовательном плане составной частью системы является справочная подсистема, которая содержит подробные сведения не только по организации и функционированию системы, но и по всем включенным в нее алгоритмам и способам. Полная многоуровневая гипертекстовая подсказка представляет собой два электронных учебника. В первом приводится подробное описание собственно системы, а второй представляет собой расширенный и дополненный обобщенный курс «Криптографические методы защиты информации», который на протяжении более 10 лет преподается в Государственном инженерном университете Армении.

Геворг Маргаров (mgi@seua.am), заведующий кафедрой «Информационной безопасности и программного обеспечения», Государственный инженерный университет Армении (г. Ереван).