Глава 1. Актуальность в обучении компьютерной безопасности

Невиданный прогресс в развитии средств вычислительной техники и связи открыл перед человечеством небывалые возможности по автоматизации умственного труда и привел к созданию в различных сферах жизни и деятельности общества большого числа автоматизированных информационных и управляющих систем, к возникновению принципиально новых, так называемых, информационных технологий (ИТ). Компьютерным системам сегодня доверяют самую ответственную работу, от качества выполнения которой зависит жизнь и благосостояние многих людей.

Однако, как уже всем стало понятно, без должного внимания к вопросам обеспечения безопасности, последствия перехода общества к широкомасштабному использованию информационных технологий могут быть весьма драматическими. Неправомерное уничтожение или разглашение, искажение или фальсификация определенной части информации, равно как и дезорганизация процессов ее обработки в информационно-управляющих системах могут приводить и уже приводят к нанесению серьезного материального, морального и даже физического ущерба отдельным гражданам, организациям и даже государствам.

Проблема обеспечения безопасности компьютерных систем становится в наши дни одной из самых насущных. Возникла и уже стала модной сравнительно молодая профессия специалиста по защите информационных технологий. Как считает Ал Декер, руководитель американской консалтинговой компании в области информационной безопасности Фидерус, в ближайшие несколько лет США будут необходимы 50-75 тысяч специалистов по информационной безопасности. И тот факт, что средняя зарплата американского "защитника компьютерных сетей" выросла за последний год на 50%, также является свидетельством кадрового голода в области информационной безопасности США.

Давать подобные количественные прогнозы для отечественного рынка труда сложно. Очевидно одно, в последнее время спрос на специалистов по компьютерной безопасности и в нашей стране значительно вырос. Многие отечественные предприятия и организации испытывают острую потребность в квалифицированных специалистах следующих категорий:

руководители специальных подразделений защиты информации, отвечающие за состояние информационной безопасности в АС[1], организацию и координацию работ по созданию комплексных систем защиты информационных технологий;

аналитики по компьютерной безопасности, отвечающие за анализ рисков, связанных с использованием автоматизированных систем (АС), за определение требований к защищенности ресурсов АС, обоснованный выбор методов и средств защиты, а также за разработку организационно-распорядительных документов;

администраторы средств защиты, отвечающие за эффективное применение штатных и дополнительных средств защиты и средств контроля защищенности ресурсов АС.

Учитывая стремительные темпы развития информационных технологий и специфику обеспечения их безопасности, можно смело говорить о перспективности новых профессий и о том, что "компьютерные безопасники" без работы не останутся.

В Доктрине информационной безопасности РФ совершенствование и развитие системы подготовки и повышения квалификации кадров в данной области названо одним из приоритетных направлений. Такая система должна включать все виды обучения: фундаментальное академическое образование в вузах, переподготовку специалистов в рамках дополнительного образования, и другие формы обучения.

Усиливающийся спрос рождает предложение. Многие вузы открывают отделения, кафедры и даже факультеты подготовки специалистов по безопасности компьютерных информационных технологий. Несколько десятков ведущих российских вузов обучают студентов по специальностям: "Организация и технология защиты информации", "Комплексное обеспечение информационной безопасности автоматизированных систем", "Информационная безопасность телекоммуникационных систем", "Компьютерная безопасность" и другим.

В отличие от вузов, где учебный процесс длится достаточно долго (не менее пяти лет) и ориентирован на студентов, не имеющих базовых знаний, курсы повышения квалификации, предлагаемые учреждениями дополнительного образования, ориентированы на слушателей с хорошей базовой подготовкой и позволяют им за сравнительно короткий срок приобрести необходимые для решения конкретных задач практические знания и навыки.

Большинство упомянутых вузов только начали выпускать специалистов данного профиля, их не хватает и, наверное, еще долго не будет хватать. Поэтому во многих организациях компьютерной безопасностью занимаются специалисты, вынужденные перепрофилироваться. Новые профессии, о которых идет речь, возникли на стыке двух направлений: современных информационных технологий и технологий обеспечения безопасности. Эта специфика очень хорошо видна при анализе подготовки людей, работающих в области компьютерной безопасности. Сюда обычно приходят либо специалисты "из других видов безопасности" (выходцы из различных силовых структур), либо специалисты в области программирования, вычислительной техники и связи ("автоматизаторы"). Компьютерная безопасность требует комплексного решения широкого спектра правовых и организационно-технических вопросов и предполагает некоторую внутреннюю специализацию. Прекрасные аналитики и администраторы средств защиты получаются из ИТ-специалистов[2]. Хорошие руководители подразделений информационной безопасности и организаторы получаются из "безопасников". Наоборот бывает крайне редко. Но, в любом случае, всем приходится осваивать "недостающую часть специальности". И здесь, конечно, курсы повышения квалификации просто незаменимы.

Необходимость курсов повышения квалификации вызвана еще и высокой динамикой развития информационных технологий, методов и средств их защиты. Потребность в получении знаний о новых технологиях и решениях, в приобретении навыков эффективного применения новых средств защиты будет возникать постоянно. Знания, так же, как техника или программное обеспечение в данной области, требуют периодического обновления.

Как для вузов, так и для учебных центров характерны общие проблемы. Это наличие высококвалифицированных преподавателей и доступа к новым сведениям и последним достижениям в области защиты ИТ. Очевидно, что преимущество в качестве имеют те учебные заведения, которые находятся "ближе к переднему краю прогресса в ИТ-безопасности". Сложно судить о качестве обучения информационной безопасности в образовательных учреждениях с весьма далекой от компьютерной безопасности специализацией, ранее не проводивших разработок в этом направлении. Как правило, расчет на "варягов" (привлекаемых со стороны специалистов) себя не оправдывает. Страдает стройность и комплексность обучения, поэтому серьезные организации держат штат собственных преподавателей и методистов-разработчиков курсов.

Преимущества корпоративных учебных центров, созданных при предприятиях, специализирующихся на разработке средств защиты и оказании услуг в области информационной безопасности, очевидны. Преподаватели таких учебных центров не только имеют доступ к самым последним версиям средств защиты, но и, как правило, периодически участвуют в конкретных работах, проводимых базовыми предприятиями. Эффективно обучать могут лишь высококвалифицированные профессионалы в области компьютерной безопасности. Чему, например, можно научиться у начитанного лектора-"специалиста" по безопасности современных информационных технологий, не умеющего пользоваться компьютером на элементарном уровне? В лучшем случае, только пониманию общей сути проблем. Совсем иное дело, если слушателей обучают обладающие обширными знаниями по компьютерной безопасности опытные преподаватели-методисты, на практике владеющие изучаемыми методами и средствами защиты, досконально знающие особенности их использования. К сожалению, в отечественной практике такие профессионалы - большая редкость.

Каким должно быть обучение и как выбирать курсы по компьютерной безопасности?

Для того, чтобы время и средства были потрачены не напрасно, необходимо четко представлять, чего Вы действительно ждете от курсов по компьютерной безопасности, и, исходя из этого, выбирать учебный центр и соответствующую программу обучения. Обычно главное требование специалистов к курсам повышения квалификации - их практическая направленность. Обучение должно быть построено так, чтобы слушатели после окончания курсов могли сразу же приступить к реализации на практике полученных знаний и навыков. Учет реальных потребностей слушателей и дифференцированный подход к разработке курсов и комплектованию групп обучаемых позволяет решить эту задачу.

Повышение квалификации должно вестись по нескольким направлениям, ориентированным на разные категории специалистов - руководителей подразделений, аналитиков, администраторов безопасности и средств защиты. Для удовлетворения потребностей различных категорий специалистов необходимо разделение всех курсов, как минимум, на две группы: базовые комплексные и тренинговые. Комплексные курсы охватывают широкий круг проблем, связанных с ними задач по обеспечению информационной безопасности предприятий и различных вариантов их решений. Ориентированы они, в основном, на руководителей и аналитиков, учитывают характер стоящих перед ними практических задач и не привязаны к какой-либо одной технологии или средству защиты. Тренинговые курсы, напротив, ориентированы на освоение администраторами приемов эффективного применения одного конкретного средства обеспечения безопасности, либо дают практическую подготовку по узкому кругу вопросов, например, по использованию межсетевых экранов для защиты корпоративных сетей.

Важное условие успеха интенсивной подготовки - индивидуальный подход к обучаемым. Количество слушателей в группах не должно быть большим, чтобы преподаватель (инструктор) при проведении занятий мог учитывать уровень подготовки, темп освоения материала конкретным слушателем и специфику его профессиональных запросов.

«В последнее время появляется много организаций, предлагающих "среди прочего" обучение по отдельным аспектам компьютерной безопасности или по конкретным средствам защиты. Если Вам нужна углубленная профессиональная подготовка по безопасности ИТ[3] и важен практический результат от обучения, ориентируйтесь, в первую очередь, на специализирующиеся в области компьютерной безопасности учебные центры. Первым признаком такой специализации является обширный перечень предлагаемых курсов по данной тематике (в Учебном Центре "ИНФОРМЗАЩИТА", например, в настоящее время проводится обучение более чем по 20 различным курсам по компьютерной безопасности). Среди них предпочтительнее центры, организованные известными компаниями, хорошо зарекомендовавшими себя на рынке средств и услуг в области компьютерной безопасности. Обучение применению конкретных средств защиты в учебном центре при организации-разработчике данного средства ("обучение из первых рук") всегда предпочтительнее»[4].

Важно также учитывать и авторитетность учебного центра (его известность, стабильность работы), отзывы ранее обучившихся специалистов, а также длительность его работы по данной тематике.

Для того, чтобы интенсивное краткосрочное обучение было качественным требуются специальные методики и хорошая материально-техническая база. Специалист по защите информации может считаться профессионалом лишь в том случае, если он хорошо знает распространенные средства нападения и взлома, используемые нарушителями, умеет эффективно им противостоять. Лучшая практика для отработки приемов противодействия нарушениям с применением конкретных методов и средств защиты - это моделирование типичных атак и критических ситуаций на специальных стендах, воспроизводящих конфигурации корпоративных сетей (в реальных сетях изучение подобных воздействий чревато ущербом и трудно устранимыми последствиями). В рамках базовых комплексных курсов такие стенды обычно используются для демонстрации возможностей нарушителей и соответствующих средств защиты. Подобное обучение могут себе позволить далеко не все учебные центры. Но именно оно наиболее полезно для администраторов средств защиты.

Руководителям, планирующим подготовку своих сотрудников, приходится осторожно относиться к выездному обучению на территории заказчика. Подготовка специалистов в стенах своей организации только на первый взгляд выгодна заказчику. Обучение многим вопросам компьютерной безопасности должно проходить в специально оборудованных лабораториях. Комплектование и настройка выездных учебных стендов требует больших затрат времени и сил, а потому обходится недешево. Поэтому выездное обучение, чаще всего, более теоретизировано, возможно, в ущерб практике и, как следствие, менее эффективно (представьте пользу от теоретического обучения вождению автомобиля). Кроме того, слушателей, проходящих обучение на своей территории, нередко отвлекают от занятий по различным "неотложным" делам. Чем это чревато при краткосрочном обучении, объяснять не нужно.

Обратим внимание и на качество методических руководств для слушателей курсов, наличие дополнительных пособий, иллюстративных и справочных материалов, позволяющих учащимся по завершении курсов самостоятельно углублять свои знания. Наличие возможности получать консультации инструкторов по тематике курсов также весьма желательно. Не следует забывать и о возможности получения предварительных консультаций у преподавателей по программам конкретных курсов и используемым методикам обучения.

Впервые обратившись в какой-либо учебный центр, будет не лишним поинтересоваться и его "формальными параметрами". В первую очередь, спросить о наличии лицензии на право заниматься образовательной деятельностью. Название организации, которой выдана лицензия, должно совпадать с названием организации, предлагающей Вам данное обучение (отговорки типа "мы являемся дочерней компанией, работаем под эгидой, являемся структурным подразделением и т.д." обычно свидетельствуют о наличии определенных проблем). Так, например, на учебный центр при вузе не распространяется лицензия, выданная этому вузу (разные юридические лица), каким бы авторитетным последний не был. Вид разрешенной лицензией деятельности должен соответствовать предложенной Вам тематике обучения (к примеру, деятельность в области информационных технологий не то же самое, что деятельность в области информационной безопасности). Так же следует обратить внимание и на срок действия лицензии. Если в информации об учебном курсе содержатся упоминания о согласовании программы курса с Гостехкомиссией России, ФСБ или ФАПСИ, запросите подтверждающий документ (лицензию или согласованную программу).

Предложение о прохождении обучения на платном семинаре, а не на курсах, скорее всего, свидетельствует о том, что Вам будет предложено только ознакомление с проблематикой, в худшем случае, с введением в изучаемый предмет. Причем отдельные вопросы семинара могут логически не стыковаться и даже противоречить друг другу. Стоит ли платить за освещение проблем? Чаще всего посетить платные семинары предлагают организации, либо не имеющие лицензии на образовательную деятельность, либо организации, не имеющие четких апробированных программ обучения и собственных преподавателей (инструкторов). Подобные семинары бывают содержательными и информативными (все зависит от состава выступающих), но называть их курсами повышения квалификации можно весьма условно. Организации, предлагающие серьезное обучение, обычно находят возможность проводить бесплатные семинары для ознакомления широкого круга желающих с актуальными проблемами информационной безопасности.

Безопасность Ваших информационных систем очень сильно зависит от квалификации и компетенции людей, которые ее обеспечивают. Помните, что иллюзия безопасности хуже ее полного отсутствия.

Глава 2. Разработка курса факультативных занятий (6 занятий)

Основные понятия компьютерной безопасности

Для того, чтобы рассматривать в дальнейшем вопросы защиты в Internet, необходимо напомнить основные понятия, которыми оперирует теория компьютерной безопасности. Вообще говоря, их всего три: это угрозы, уязвимости и атаки. Хотя искушенному читателю смысл их и так хорошо ясен, постараемся пояснить его.

Итак, угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.

Наконец, атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел) исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, различить преднамеренные и случайные действия бывает невозможно, и хорошая система защиты должна адекватно реагировать на любое из них.

Исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Угроза раскрытия заключается в том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка".

Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угроза отказа в обслуживании возникает всякий раз, когда в результате определенных действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или может вызвать только задержку, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан. В локальных ВС[5] наиболее частыми являются угрозы раскрытия и целостности, а в глобальных, - на первое место выходит угроза отказа в обслуживании.