Особенности подготовки кадров в области организационно-правового обеспечения информационной безопасности

(Полякова Т. А., Химченко А. И.) («Информационное право», 2013, N 3)

ОСОБЕННОСТИ ПОДГОТОВКИ КАДРОВ В ОБЛАСТИ ОРГАНИЗАЦИОННО-ПРАВОВОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ <*>

Т. А. ПОЛЯКОВА, А. И. ХИМЧЕНКО

——————————— <*> Статья рекомендована кафедрой информационного права, информатики и математики Российской правовой академии Министерства юстиции Российской Федерации (протокол от 26 июня 2013 г. N 6).

Полякова Татьяна Анатольевна, главный научный сотрудник НИИ Российской правовой академии Минюста России, доктор юридических наук, заслуженный юрист Российской Федерации.

Химченко Алексей Игоревич, научный сотрудник НИУ ВШЭ, соискатель кафедры информационного права, информатики и математики Российской правовой академии Минюста России.

В статье рассматриваются актуальные аспекты развития информационного права, а также особенности образования в области информационной безопасности в современных условиях глобального информационного общества.

Ключевые слова: информационное право, глобальное информационное общество, Доктрина информационной безопасности, Учебно-методическое объединение высших учебных заведений Российской Федерации по образованию в области информационной безопасности, государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Staff training features in the field of organizational and legal information security providing T. A. Polyakova, A. I. Hymchenko

In the article important aspects of development of the information law and features education in the field of information security under the modern global information society are considered.

Key words: information law, global information society, Information security doctrine, Training and methodical association of higher educational institutions of the Russian Federation in the field of information security, the state system of detection, prevention and response to cyber attacks on information resources of the Russian Federation.

В условиях формирования глобального информационного общества, построения информационного общества в России, включая электронное правительство, оказание государственных и муниципальных услуг, необходимость развития применения информационных технологий в судебной деятельности, безусловно, развивается и информационное право. Несмотря на продолжающиеся дискуссии относительно самостоятельности этой отрасли права, она достаточно решительно закрепляет свои позиции, что наглядно подтверждается выделением сегодня информационного права в самостоятельную научную специальность (12.00.13), наличием уже вновь созданных диссертационных советов для защиты кандидатских и докторских диссертаций по информационному праву в таких известнейших научных и учебных заведениях, как Институт законодательства и сравнительного правоведения при Правительстве Российской Федерации, МГЮА, Высшая школа экономики. Нельзя не отметить роль в этом процессе тех, кто много сделал для формирования и развития информационного права. В первую очередь хочется вспомнить тех, кого уже с нами сегодня нет, это В. А. Копылов и недавно ушедший М. М. Рассолов, светлая им память. Неоценимый вклад в развитие этой комплексной отрасли права, в подготовку специалистов, бакалавров, магистров, аспирантов, докторантов внесли такие известные ученые специалисты в области информационного права, как И. Л. Бачило, А. В. Морозов, П. У. Кузнецов, А. А. Стрельцов, В. Н. Лопатин, Д. А. Ловцов, Л. К. Терещенко, Л. В. Филатова и многие другие. Сегодня вопрос подготовки специалистов в этой области как никогда актуален, и хочется надеяться, что более чем годичный перерыв в деятельности диссертационных советов по этой специальности, связанный с их реформированием, только придаст новый мощный импульс и динамику процессу подготовки научных кадров специалистов-юристов в этой сфере. Представляется, что это важная задача государственного уровня для организационно-правового обеспечения формирования и реализации государственной политики в этой области. Как уже отмечалось, в связи с развитием информационного права, формированием информационного общества, созданием электронного правительства особое значение приобретает подготовка специалистов, магистров права, ориентированных на профессиональную деятельность в сфере организационно-правового обеспечения информационной безопасности. Уровень подготовки специалистов служб информационной безопасности, обучение их способам построения комплексных систем защиты информации, применения аппаратно-программных средств защиты становится одним из приоритетных условий поддержания нормального функционирования как коммерческих, так и государственных структур. Однако в настоящее время отмечается острый дефицит высококвалифицированных специалистов в области обеспечения информационной безопасности. Причем такое положение характерно не только для России, но и для всего мира, поскольку проблемы обеспечения информационной безопасности в настоящее время приобретают трансграничный характер. Развитие и совершенствование системы подготовки кадров специалистов, работающих в сфере обеспечения информационной безопасности, можно отнести к первоочередным задачам при формировании государственной политики и в зарубежных государствах. Так, по данным опроса, проведенного Институтом компьютерной безопасности США <1>, в 2012 г. 93% американских организаций столкнулись со злоупотреблениями в области пользования Интернетом. По результатам исследований Ассоциации компьютерных технологий <2>, 31% компаний отмечают за полугодие от 1 до 3 серьезных атак, нанесших значительный урон корпоративным сетям. При этом 22% респондентов отмечают, что их сотрудники не проходили специальной подготовки по борьбе с несанкционированными вторжениями, а 96% опрошенных компаний утверждают, что подготовка специалистов в области информационной безопасности критически необходима, поскольку, как показывают результаты исследований, более 63% идентифицированных нарушений в корпорациях связаны с человеческим фактором. ——————————— <1> National Institute of Standards and National Computer Security Center // URL: csrc. nist. gov. <2> Computing Technology Industry Association (CompTIA) // URL: www. comptia. org.

Следует отметить, что в США и в других зарубежных государствах данная проблема является не менее острой, чем в России. Уполномоченные органы повышают требования по обеспечению информационной безопасности сотрудниками как государственных, так и частных компаний. При этом, по данным последних специализированных опросов SurfControl/NOP <3>, 73% крупнейших британских компаний признают, что не располагают соответствующими тренинговыми программами, 3/4 британских работников отмечают, что вообще не проходили какого-либо специализированного обучения в области решения проблем информационной безопасности. Однако, по их данным, более 80% сотрудников констатируют, что сталкивались с проблемами в области обеспечения безопасности, в частности с вирусами, но не имели соответствующей подготовки по отражению и предотвращению таких инцидентов. Предотвращение нарушений информационной безопасности граждан и организаций, несомненно, связано с развитием информационного законодательства и законодательства в области обеспечения информационной безопасности, а также, безусловно, с подготовкой грамотных специалистов в области организации и технологий защиты информации, способных предугадать события и проблемы своей профессиональной сферы деятельности. Нельзя при этом умалять значение подготовки юристов в данной области. ——————————— <3> SurfControl plc — разработчик эффективных средств сетевого администрирования и интернет-мониторинга, мировой лидер рынка интернет-безопасности с 1997 г. Компания занимается постоянным исследованием угроз и опасностей, возникающих в сети Интернет, регулярно внедряет новые технологии фильтрации и защиты.

В связи с этим важно отметить, что актуальнейшей задачей современного образования становится необходимость разработки таких методик учебно-воспитательной работы, в которых бы гармонично сочеталось обучение современным информационным технологиям с формированием высоких нравственных качеств для выработки не только иммунитета к совершаемым компьютерным преступлениям, но и к правовому просвещению и воспитанию киберкультуры. В Российской Федерации подготовке специалистов-юристов по информационной безопасности уделяется все больше внимания. В соответствии с Доктриной информационной безопасности Российской Федерации <4> одним из приоритетных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации является совершенствование системы подготовки кадров в области обеспечения информационной безопасности. ——————————— <4> Утверждена Президентом Российской Федерации 09.09.2000 N Пр-1895 // URL: www. consultant. ru/document/cons_doc_LAW_28679.

Также о внимании, уделяемом вопросам информационной безопасности в Российской Федерации, свидетельствует Указ Президента Российской Федерации «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» <5>, опубликованный 15 января 2013 г. ——————————— <5> Указ Президента Российской Федерации от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» // URL: www. rg. ru/2013/01/18/komp-ataki-site-dok. htm.

Следует отметить также Учебно-методическое объединение высших учебных заведений Российской Федерации по образованию в области информационной безопасности (УМО ИБ) <6>, созданное на базе Института криптографии связи и информатики Академии ФСБ России. На сегодняшний день в состав УМО ИБ входят 74 высших учебных заведения, осуществляющих подготовку специалистов в сфере информационной безопасности. Подготовка осуществляется по направлениям: ——————————— <6> Приказ Государственного комитета Российской Федерации по высшему образованию от 09.04.1996 N 613 «Об образовании Учебно-методического объединения в области информационной безопасности» (УМО).

— Государственный образовательный стандарт высшего профессионального образования по специальности 075200 «Компьютерная безопасность»; — Государственный образовательный стандарт высшего профессионального образования по специальности 075500 «Комплексное обеспечение информационной безопасности автоматизированных систем»; — Государственный образовательный стандарт высшего профессионального образования по специальности 075600 «Информационная безопасность телекоммуникационных систем». Вместе с тем сама система подготовки специалистов требует постоянной диагностики и сравнения с аналогичными системами в мире. Это необходимо для совершенствования как содержания образования, так и образовательных технологий. С этой целью важным также представляется рассмотреть зарубежные системы подготовки кадров в области защиты информации. Например, в Великобритании при подготовке бакалавров и магистров в сфере информационной безопасности выделено несколько основных направлений (профилей) подготовки: «Законодательство в сфере информационных систем», «Компьютерная безопасность», «Безопасность ИТ», «Расследование компьютерных инцидентов, «Безопасность компьютерных сетей», «Менеджмент информационной безопасности». При этом наиболее распространенными и востребованными являются программы подготовки, связанные с расследованием компьютерных инцидентов и общей безопасностью информационных технологий. Отличительными особенностями при этом являются то, что только в этой стране студенты имеют возможность получить степень магистра права в области информационных технологий, а также то, что среди направлений подготовки чаще, чем в других странах, встречаются программы, связанные с правовыми аспектами информационной безопасности. В США серьезное внимание уделяют проблеме подготовки специалистов для защиты национальных информационных структур. Важно отметить, что в США много внимания уделяется привлечению общественного внимания к проблеме информационной безопасности. В 1998 г. был создан Национальный центр защиты инфраструктуры <7>, который объединяет представителей органов власти, военных и частного сектора, для защиты национальных инфраструктур. Международная ассоциация специалистов по компьютерным исследованиям <8> обеспечивает обучение в области компьютерных технологий. Успешно функционирует Национальный союз кибербезопасности <9>, созданный совместно правительством и промышленниками США, целями которого являются разработка подходов к проблеме безопасности в киберпространстве, повышение уровня образования в сфере информационной безопасности, привлечение общественного внимания к проблеме кибертерроризма. ——————————— <7> The National Infrastructure Protection Center (NIPC). <8> International Association of Computer Investigative Specialists (IACIS) // URL: http://www. iacis. com/. <9> National Cyber Security Alliance.

Проведенный обзор интернет-сайтов, посвященных подготовке специалистов в США, позволил выделить крупнейшие компании, проводящие обучение в области информационной безопасности: Check Point Software Technologies, Cisco Systems, IBM Tivoli Systems Global Security Laboratory, Internet Security Systems, Microsoft, Network Associates, Prosoft Training. Com, Sun Microsystems, Symantec. Среди учебных центров, специализирующихся на подготовке специалистов по защите информации, можно отметить CERT, GIAC, CSI, Cisco Systems. Помимо коммерческих компаний, подготовку специалистов в области информационной безопасности осуществляет ряд государственных структур: аспирантура NAVAL предлагает 12 различных курсов, агентство по защите информационных систем (Defense Information Systems Agency, DISA) — 8 курсов, колледж управления информационными ресурсами (Information Resource Management College) — 1 курс. Для совершенствования методов обучения в Министерстве обороны США создано специальное подразделение — «Управление программ по информационной безопасности (Information Assurance Program Office)». Агентство национальной безопасности (NSA) сформировало еще в 1999 г. ряд центров послевузовского образования, а в 2000 г. подключило к ним 14 ведущих университетов США. Одновременно Белый дом приступил к обучению правительственных чиновников (до 10 тыс. человек) в рамках федеральной программы обеспечения безопасности информационных технологий с бюджетом 25 млн. долларов в год. После трагических событий 11 сентября 2001 г. во многих городах США регулярно проводятся семинары, конференции, симпозиумы по проблемам киберпреступности и кибертерроризма. Вместе с тем обучение в США концентрируется в основном на подготовке и переподготовке специалистов по техническим аспектам защиты информации, при этом намечается отставание в подготовке юристов по расследованию компьютерных преступлений. При этом в учебные курсы включены как вопросы расследования компьютерных преступлений, так и разделы, касающиеся профилактики компьютерных преступлений. При таких масштабах подготовки тем не менее в США по-прежнему отмечается нехватка специалистов в области безопасности информационных систем, составляющая, по мнению специалистов, до 50000 человек. Одно из направлений совершенствования системы подготовки специалистов по защите информации в США видят в создании международных консорциумов <10>. ——————————— <10> Аналогичный консорциум был создан решением Ученого совета от 9 июня 2003 г., и в соответствии с Приказом ректора МГУ академика В. А. Садовничего от 13 июля 2004 г. N 553 в Московском университете в качестве структурного подразделения начал работать Институт проблем информационной безопасности. Открытие института явилось результатом долговременных и результативных междисциплинарных исследований в области информационной безопасности, проводимых различными научными коллективами Московского университета // URL: http://www. msu. ru/info/struct/departments/ipb. html.

США выступили инициаторами создания сети международных консорциумов по подготовке кадров в области защиты информации. Мировым лидером по сертификации специалистов по информационной безопасности является международный консорциум по сертификации в области безопасности информационных систем <11>, находящийся в Вене и Виржинии, а также имеющий офисы в Лондоне и Гонконге. ——————————— <11> International Information Systems Security Certification Consortium, Inc. (ISC).

В Германии обязательные для изучения дисциплины устанавливаются самостоятельно высшим учебным заведением. При подготовке в сфере информационной безопасности к общим обязательным дисциплинам относятся «Основы физики и математики», «Теоретическая информатика», «Введение в программирование», «Анализ и числовые методы», «Базы данных и системы управления», «Структуры данных и алгоритмы», «Разработка программного обеспечения», «Информационная безопасность». Обязательные специализированные дисциплины включают электронные ключи, прикладную криптографию, безопасность мобильных устройств, управление информационной безопасностью. При этом студенты могут осваивать различные дисциплины по выбору. Как правило, в конце обучения студент выбирает одно из факультативных направлений, включающее несколько специализированных курсов, которое и будет определять его специализацию. Специалистов по информационной безопасности во Франции готовят по направлениям «Информационные системы аудита, специального программного обеспечения, безопасности информационных систем и технологий», «Управление информационной безопасностью», «Криптология и информационная безопасность». Французская подготовка специалистов в области информационной безопасности четко ориентируется на изучение вопросов, связанных с криптографией, сетевой безопасностью и аудитом информационных систем. Особенностью французской школы подготовки является то, что студентам дается серьезное математическое образование, необходимое для освоения математических аспектов криптологии и компьютерной безопасности. Таким образом, наиболее целесообразными способами повышения уровня компетенций в Российской Федерации в сфере информационной безопасности являются целенаправленная подготовка высококвалифицированных специалистов в специализированных учебных заведениях, а также непрерывный процесс развития общих навыков грамотности, культуры при обращении со служебной и личной информацией (особое место занимают персональные данные) и трансграничности, а также пропагандой политики безопасности в указанной сфере, что является особенно актуальным в условиях глобализации, когда кибератаки начали носить системный характер, а кибербезопасность становится одной из важнейших составляющих обеспечения как национальной безопасности государств, так и международной информационной безопасности в целом.

——————————————————————