Практика последних лет показывает, что подготовка специалистов в области информационной безопасности становится не только актуальной, но и жизненно необходимой для существования предприятия. Риски для компании, связанные с различными воздействиями на ее информационную инфраструктуру, являются неотъемлемой частью процесса управления непрерывностью бизнеса. При этом зачастую, особенно в небольших компаниях, в вопросах защиты информации руководители полагаются на рядовых сотрудников, не имеющих соответствующей квалификации.
Отдельные менеджеры считают, что справиться с задачей обеспечения информационной безопасности компании может практически любой человек, знакомый с ИТ, способный установить и настроить необходимые программные и аппаратные средства. Однако большая часть проблем в данной области не решается только путем применения программно-аппаратных средств – большое значение имеют организационные меры. Умение взглянуть на проблему защиты информации и обеспечения информационной безопасности в целом требует от сотрудников не только знания технологий, но и менеджерских навыков в данной области.
Учебные программы, разработанные за последние годы различными учебными центрами, призваны помочь руководителям в решении данной проблемы, но насколько они соответствуют потребностям и пожеланиям заказчиков? Так, в учебных программах "Академии АйТи" акцент делается на адаптацию под конкретную категорию слушателей, текущую ситуацию на рынке решений по информационной безопасности и требования регуляторов. Например, появление закона 152-ФЗ «О персональных данных» вызвало множество вопросов, в соответствии с чем были скорректированы учебные программы, в которых слушателям не только предлагается констатация тех или иных фактов, а рассматривается проблема в комплексе, включая различные варианты действий и решений.
"Академией АйТи" недавно разработаны программы, посвященные обеспечению безопасности персональных данных при их обработке, а также регулированию отношений при осуществлении проверок операторов персональных данных. В рамках этих программ слушатели изучают основные правила проведения обследований информационных систем, методики определения актуальных угроз безопасности, методы и способы защиты информации, требования к системам защиты информации, правовые основы обеспечения безопасности. При этом в каждом курсе предусмотрена возможность выявления начального уровня знаний обучаемых с последующей корректировкой методики проведения занятий. Для этих целей в обязательном порядке в каждой программе отводятся часы на входное и промежуточные тестирования. В ходе занятий используются такие педагогические приемы, как постановка проблем и их совместное решение слушателями под руководством преподавателя, выбор оптимальных решений из предлагаемых вариантов действий на основе анализа конкретных ситуаций, имитация реальных бизнес-процессов в группе и т. д.
Идеал и реальность
Идеальный вариант решения вопросов информационной безопасности в компании выглядит следующим образом:
- создана и успешно функционирует система управления информационной безопасностью;
- отработаны все необходимые документы;
- реализованы различные современные методы и способы защиты информации;
- имеется структурное подразделение, ответственное за защиту информации;
- все сотрудники осознают важность задачи обеспечения информационной безопасности и строго выполняют предписанные им инструкции и регламенты.
Однако в реальности все бывает иначе: вопросы информационной безопасности решаются по остаточному принципу, документы в области информационной безопасности разработаны формально и не актуализируются, а приказ о назначении сотрудника на соответствующую должностную позицию издается только во исполнение требований регуляторов. Но самой большой проблемой является непонимание необходимости решать задачу обеспечения информационной безопасности всем коллективом предприятия.
Как и чему учить?
Процесс обучения специалистов в области информационной безопасности условно можно разделить на подготовку руководителей и подготовку сотрудников, ответственных за эту деятельность в компании. Все это должно происходить на фоне повышения осведомленности каждого сотрудника компании в вопросах информационной безопасности.
Специфика обучения различных категорий пользователей состоит в глубине и масштабности отработки тех или иных вопросов. Например, руководителю необходим общий, целостный взгляд на проблему «сверху», и большая часть необходимых ему вопросов лежит в области организации процессов – главное в понимании того, что проблема существует. Для руководителей важна структурированность преподнесения информации о правовых, нормативных документах и ответственности за невыполнение их предписаний. Кроме того, требуется ответить на следующие вопросы: кто должен в организации заниматься теми или иными проблемами информационной безопасности, что должны знать подчиненные и как добиться выполнения ими предписанных требований?
Сегодня ряд учебных центров предлагает программы для топ-менеджмента по вопросам информационной безопасности. В "Академии АйТи" разработана авторская программа CSO (Chief Security Officer) по профессиональной переподготовке менеджеров в рамках специализации «Обеспечение непрерывности и безопасности бизнеса». Обучение проводится в вечернее время в течение одного учебного года с выдачей диплома государственного образца.
Особого внимания заслуживает подготовка или повышение квалификации сотрудников, отвечающих за защиту информации в организации, — ограничиться краткосрочными или дистанционными курсами здесь не удастся. Специалиста в области информационной безопасности, способного в последующем самому обучать сотрудников, можно подготовить только в рамках очного обучения. В рамках соответствующих программ изучаются особенности правового и нормативного регулирования деятельности по обеспечению информационной безопасности в организации, анализируются основные угрозы и риски, связанные с безопасностью информационных ресурсов компании, рассматриваются различные методы и способы защиты информации.
Рядовые сотрудники, как правило, об информационной безопасности имеют отдаленное представление, и их осведомленность ограничивается эпизодическими напоминаниями руководства о необходимости строго выполнять предписания различных инструкций и регламентов. При этом такая деятельность, как правило, активизируется, когда в компании уже что-то произошло. В этом случае требуются не просто специалисты по информационной безопасности, а эксперты, способные осуществлять весь комплекс мер в данной области, включая соответствующую подготовку рядовых работников. В компании не всегда есть такие эксперты либо они не располагают достаточным временем на обучение всех сотрудников, особенно если организация крупная или имеет разветвленную филиальную сеть. В этом случае эффективным будет дистанционный формат обучения. Программа подобного курса предусматривает ознакомление сотрудников с основными положениями в области защиты информации, получение навыков правильного использования имеющихся средств защиты, выработку понимания проблемы и ответственности за утечку информации и т. д. В рамках курса целесообразно изучить основы обеспечения информационной безопасности при работе с интернет-ресурсами, рассмотреть особенности использования антивирусных комплексов, изучить средства резервного копирования и другие технологии обеспечения информационной безопасности.
Вопросы выбора
Нередко приходится сталкиваться с негодованием слушателей: «Не того и не по той программе отправили учиться». Причины этого могут быть разными:
- непонимание теми, кто отвечает за организацию обучения, ключевых вопросов – кого, куда и на какие курсы следует направить;
- наличие одного-единственного специалиста, которого учат только потому, что необходимо реализовать выделенный на обучение бюджет;
- отсутствие в компании на данный конкретный момент времени специалиста, которого действительно необходимо направить на обучение;
- отсутствие единых образовательных стандартов подготовки, определяющих уровень знаний специалиста по информационной безопасности в организации;
- недостаточно точное определение целевой аудитории со стороны образовательного учреждения.
Для устранения подобных недоразумений учебные центры должны предоставлять как можно более подробное описание предлагаемых программ и курсов, а также четко выделять целевую аудиторию для различных типов программ.
Компаниям же, в свою очередь, необходимо более внимательно относиться к подбору претендентов на обучение, и, прежде чем принять решение, понять следующее: какие цели преследуются и что должно измениться после обучения сотрудника? По силам ли для выбранного специалиста дополнительная нагрузка и сможет ли он в будущем отвечать за данное направление?
Каковы же предпочтения компаний при выборе авторизованных и авторских учебных программ? Наиболее востребованными остаются авторские программы, согласованные с регуляторами (например, ФСТЭК и ФСБ), – необходимость выполнения лицензионных требований обязывает проходить именно такое обучение.
Часов, отводимых на обучение, зачастую бывает недостаточно для полноценного освещения всего материала. Опыт показывает, что время, выделяемое слушателям для самостоятельного изучения материалов, съедается необходимостью решать текущие задачи непосредственно на рабочих местах, что негативно сказывается на качестве подготовки. От образовательного учреждения в этом случае требуется: углубленная подготовка учебных материалов, предназначенных для самостоятельного изучения; детальная проработка учебно-методических рекомендаций по изучению конкретного курса; представление необходимых учебно-методических материалов в указанные в договоре сроки; выделение преподавателя для консультирования слушателей в ходе самостоятельного изучения материалов; объективный контроль за результатами самостоятельной работы обучаемых.
От организации, в свою очередь, требуется: предоставление обучаемому реального времени для изучения необходимого материала; оказание помощи образовательному учреждению в проведении объективного контроля усвоения учебных материалов; мотивация сотрудников.
Какую форму обучения выбрать – очную, очно/заочную или дистанционную, зависит от финансовых возможностей организации и продолжительности обучения. Ничто пока не может заменить живого общения с преподавателем, полноценной отработки практических и теоретических заданий, поэтому очное обучение является идеальным вариантом. В то же время, нельзя отказываться и от заочной и дистанционной форм, особенно актуальных для удаленных регионов России. Безусловно, эффект от такого обучения достигается при условии, что руководством компаний выделяется время, необходимое для прохождения программы.
Выбор формата курса (очный/дистанционный, авторизованный/авторский) зависит и от целей подготовки специалиста. Если необходимы знание конкретных продуктов и последующие сертификаты для подтверждения статуса, то выбор в пользу авторизованного очного обучения. Если требуется подготовка широкопрофильного специалиста по информационной безопасности, то для этих целей подойдет авторское обучение.
Вместе с тем главный фактор успеха как для очного, так и для дистанционного обучения по информационной безопасности – выбор учебного заведения. Здесь нужно в первую очередь обращать внимание на следующие факторы: наличие учебных программ, согласованных с ФСТЭК и ФСБ; гибкость формирования комплексных авторских программ; возможность реализации программ различных форматов обучения; наличие программ авторизованного обучения; последующее предоставление консалтинговых услуг; наличие филиальной сети учебного центра.
Относительно благополучно ситуация выглядит с учебными центрами, занимающимися авторизованным обучением: единые программы производителей средств защиты, сертифицированные преподаватели, последующая сертификация обучаемых дают достаточно надежные гарантии качественной подготовки специалистов. Несколько иначе дела обстоят с авторским обучением: различные программы, в которых тематику и методику преподнесения материалов определяют сами образовательные учреждения, не всегда в полной мере отражают актуальность тех или иных проблем, не всегда возможно и достижение оптимального соотношения практики и теории. Нередко в учебных учреждениях занятия проводят хорошие практики, не умеющие донести материал до слушателей. Другой распространенной ошибкой является излишняя теоретизация обучения, когда отличный лектор не всегда способен прокомментировать отдельные практические проблемы.
Игорь Семенихин (ISemenikhin@it.ru) – заведующий кафедрой информационной безопасности НОУДПО «Институт информационных технологий «АйТи» (Москва).