катедра "БИЗНЕС ИНФОРМАТИКА"

Подготовка на магистри по новата специалност Информационна безопасност”

Профессор, д.э.н. Сергей Охрименко
Лаборатория информационной безопасности
Молдавской Экономической Академии


Доц. д-р инж. Агоп Саркисян
Стопанска Академия Д.А.Ценов

В доклада се прави опит да се обоснове необходимостта от разработване на ново направление в подготовката на магистри по Информационна безопасност”. Разглеждат се целите, задачите и съдържанието на магистърската програма. За обсъждане са представени образователните стандарти: квалификационна характеристика; изисквания към нивото на подготовка (знания, умения, навици); примерно съдържание на програмата за подготовка.


Предпоставки за формиране на нова специалност

Развитието на информационните и комуникационните технологии коренно промени ежедневния живот, превръщайки се в доминиращ фактор за устойчивото развитие на обществото през ХХІ век. При това проблемите на информационната безопасност придобиха принципно значение не само за обществото и държавата, но и за личността (отделния индивид). В по-голяма част от страните информационната безопасност се разглежда като съставна част от националната безопасност, която наред с енергийната, продоволствена и др., изисква осигуряване на безопасност за производствено техническите и социално-икономическите системи, създавани от обществото. Във връзка с това повишено внимание се отделя на кадровото осигуряване на информационната безопасност. Освен това, повсеместно се чувства нуждата от увеличаване на професионалистите в дадената предметна област на основата на непрекъснато усъвършенстване на образователния процес, защото теорията и практиката в областта на информационните ресурси се развива непрекъснато и интензивно.

Анализът на обширните учебни програми и публикации свидетелства за наличието на две основни направления: академично образование и специализирани курсове на водещите ИТ-компании. Първото направление предполага изучаване на разнообразни дисциплини, запознаване с научно-техническите достижения и формиране на специалисти с високо равнище на теоретични знания и практически навици. Второто направление предполага придобиване на достатъчни знания и тяхното усъвършенстване с цел постигане на съответствие с изискванията за равнището на развитие на информационните технологии и съответстващите стандарти. Посочените направления за подготовка не си противоречат едно на друго. Актуална задача на съвременния етап е тяхната конвергенция – съединяване на фундаменталната подготовка с най-новите достижения на практиката въз основа тясно взаимодействие.

Анализът на системата за подготовка на специалисти в областта на информационната безопасност на водещите в информационното развитие страни очертава две направления – техническо и хуманитарно.

Налице са всички основания да се предположи, че общ принцип при подготовката на кадри в областта на хуманитарното направление на информационната безопасност е подготовката на специалисти на база фундаментално (университетско или академическо) образование. Това се обяснява с необходимостта за формиране на система за информационна безопасност основана на професионалните знания от конкретна предметна област, адекватни на изискванията на времето. В настояще време остро се усеща нуждата от специалисти с фундаментална базова подготовка в конкретна предметна област, допълнена със знания във вид на специализация по информационна безопасност. Това се отнася с еднаква сила за специалистите, обучаващи се по специалности като Счетоводство и контрол”, Мениджмънт”, Финанси”, Маркетинг”. За осигуряването на висока квалификация е необходимо интегриране на икономическите, технологичните и управленски знания.

Първоначално е необходимо да се определи съдържанието на понятието “Информационна безопасност”. В литературата се срещат и използват значителен брой утвърдили се категории, понятия и определения. Много често терминът “информационна безопасност” се разглежда като съставна част на общата безопасност в информационната система (ИС) и се заменя с такива понятия като “компютърна безопасност” и др. Според нас, категорията “информационна безопасност” е водеща, защото именно тя обхваща всички технологични процеси на приемане, предаване, обработка и съхраняване на информацията в ИС. Именно това обстоятелство произтича от определението на информационната безопасност – комплекс от мероприятия, осигуряващи “защитеност” в информационната среда на обществото, а също така и нейното формиране, използване и развитие в интерес на гражданите, организациите и държавата.

Програмата за подготовка на магистри трябва бъде изградена в съответствие с основната образователна концепция Computing Curricula 2001 (СС2001) [6], подготвена от IEEE и Икономическата академия на Молдова, която е важен методически ориентир за образователната система. Основната концепция залага на подготовката на специалисти в областта на информационните технологии за изследователски лаборатории, индустрията и бизнеса, а не на кадри, прослушали голямо количество курсове, но неподготвени за практическа работа. Всички елементи на програмата трябва да представляват сплав от научни знания, технически решения, модели на производствени процеси, други социално-икономически и хуманитарни аспекти.

Най-общо информационната безопасност включва три основни компонента – хора, технологии и процеси, които са обект на изучаване и оценка като съвкупност.


Цели и задачи на програмата

Основна цел е изучаване на съвременните правни, организационни, технически, програмни и други методи и средства за защита на информацията. От тази цел произтичат следните основни задачи [1, 3, 4]:

- формиране на съвременен подход към информационната безопасност като системна научно-практическа дейност, носеща приложен характер;

- формиране на теоретичните основи, които са в основата на управлението на информационната система и ресурсите, а също така информационната безопасност;

- да се даде представа за съвременните методи и средства за защита на информацията;

- изучаване използването на разпространените програмни продукти и услуги от областта на информационната безопасност.

В резултат на обучението магистърът трябва:

- да познава правните основи, засягащи защитата на информацията, да владее организационни, технически, програмни методи за защита на информацията в съвременните информационни системи и мрежи, стандартите и моделите за безопасност, методите за идентифициране на потребителите, методите за защита на ресурсите от програмни злоупотреби, инфраструктурата на системите, изградени посредством използването на публични и тайни ключове;

- да умее практически да прилага получените знания за известните методи и средства на информационна безопасност, да извършва сравнителен анали и избор на съответстващи средства и методи, да оценява равнището на защита на информационните ресурси;

- да има представа за основните направления и перспективи в развитието на методите и средствата в областта на информационната безопасност.

Приложено към етапите на жизнения цикъл на информационните системи, които включват такива дейности като проектиране, създаване, изпитване и експлоатация, специалистът трябва да умее да решава следните задачи [5]:

- в рамките на процеса на проектиране на информационната система и системата за защита на информационните ресурси: да извършва обследване на обекта на управление за да определи необходимостта от използване на специални средства за защита; да определя потенциалните заплахи към информацията; да определя и прогнозира значението на показателите за защитеност на информационните ресурси; да обосновава равнището на необходимата защита и способите за неговото осигуряване; да осъществява избор на средства, достатъчни за решаването на задачите за защита на ресурсите; да разработва проектни решения за изграждането на система за информационна безопасност на обекта на управление и препоръки за тяхното реализиране; да проектира технологичните схеми за функциониране на системата за информационна безопасност, приложими при различни режими на функциониране на обекта и информационната система; да разработва предложения за практическа реализация на проекта за система на информационна безопасност;

- в рамките на процеса на реализация на проекта: да разработва спецификациите на средствата за защита, да осъществява поръчване, проверка и инсталиране, а също така приемане и изпитание; да обучава и инструктира потребителите относно особеностите на функциониране на средствата за информационна безопасност и правилата за поведение на персонала.

- в рамките на процеса на функциониране: да организира мониторинг на функционирането на системата за информационна безопасност; да разработва и реализира сценарии за отстраняване на нещатни ситуации; да осъществява събиране, натрупване и обработка на статистическа информация за функционирането на системата за информационна безопасност; да разработва препоръки за усъвършенстване функционирането на информационната система и системата за информационна безопасност, а също така тяхната реализация.

Формирането на комплексен подход, обхващането на мерките от всички равнища, насочени към осигуряването на информационна безопасност, както и всички етапи от жизнения цикъл на информационните системи, са още една цел на програмата за подготовка на специалисти.


Съдържание на програмата за подготовка

В съответствие с представените цел и задачи, които стоят пред специалиста в областта на информационната безопасност, програмата за подготовка трябва да обединява два блока от дисциплини – общопрофесионални и специални дисциплини, а също така дисциплини за специализация.

В групата на специализираните трябва да бъдат включени дисциплини като: безопасност на банковите информационни системи, информационни системи в предприемаческата дейност, защита на информацията в пределите на държавните предприятия и организации, безопасност на регионалните информационни ресурси и др. По наше мнение този раздел трябва да бъде ориентиран към изследване и решаване на специфични проблеми, свързани с икономическата безопасност на обектите на управление и постоянно да се преразглежда в зависимост от променящата се обстановка.

Програмата за подготовка може да включва следните раздели:

  • правно осигуряване на информационната безопасност;

  • организация на системата за информационна безопасност;

  • анализ на заплахите;

  • стандарти и измерване (метрики) на информационната безопасност;

  • разработване на организационно-разпоредителна документация за защита на информацията.

Да разгледаме по-подробно съдържанието на представените раздели.

Правно осигуряване на информационната безопасност

Правното осигуряване определя и регламентира отношенията, възникващи по време на събирането, предаването, обработката, натрупването, съхраняването, актуализацията, купуването и продажбата на информация, възникващи в процеса на създаване, внедряване и експлоатация на информационни системи и други системи за обработка и предаване на информация.

На първо място на детайлно изучаване подлежат международни и национални законодателни актове, регламентиращи отношенията в областта на информационните и комуникационните технологии. Именно те регламентират следните основни моменти:

  • документиране на фактите и класифициране на информацията по различни признаци;

  • установяване на правния режим, включително параметрите на собственост, достъп, защита, ограничения за достъп и използване;

  • използване на механизми за защита на държавната, търговската, професионалната тайна.

Особено внимание следва да се обърне към изучаването на информацията с ограничен достъп. Към нея се отнася информацията, представляваща държавна, търговска и професионална тайна, а също професионалните данни.

Организация на системата за информационна безопасност

При изучаване основите за изграждане и функциониране на системи за информационна безопасност основно внимание трябва да бъде насочено към следните механизми и принципи [1]:

  • политика – съвкупност от формални правила, регламентиращи механизмите за информационна безопасност;

  • идентификация – определяне на всеки участник в информационното взаимодействие;

  • аутентификация – осигуряване на увереност в това, че участникът в процеса на обмен на информация е правилно идентифициран;

  • контрол на достъпа – създаване и поддръжка на набор от правила, определящи разрешение за достъп до ресурсите за всеки участник в процеса на информационен обмен;

  • авторизация – формиране на профил с права за конкретния участник в процеса на информационен обмен;

  • одит и мониторинг – проследяване на събитията, случващи се в процеса на обмен на информация (одитът предполага анализ на събитията постфактум, а мониторинга се реализира в режим на реално време);

  • реагиране на инциденти – съвкупност от процедури или мероприятия, изпълнявани при нарушение или подозрение за нарушение на информационната безопасност;

  • управление на конфигурацията – създаване и поддръжка на среда за информационен обмен в работоспособно състояние и в съответствие с изискванията на информационната безопасност;

  • управление на потребителите – осигуряване на условия за работа на потребителите в средата на информационния обмен в съответствие с изискванията на информационната безопасност;

  • управление на рисковете – осигуряване съответствие на възможните загуби от нарушаване на информационната безопасност;

  • осигуряване на устойчивост – поддържане средата на информационен обмен в минимално допустимо работоспособно състояние.


Анализ на заплахите

Този раздел е един от основните и в него трябва да се представи информация, характеризираща класификацията на заплахите за информационната безопасност, отграничавайки такива признаци, като: преднамерени и случайни, според съдържанието и последствията, по тип, по цели, по характер и място на възникване, по обект на въздействие, по причина на възникване и много други. Но основното внимание трябва да бъде концентрирано върху преднамерените заплахи. Целият спектър от заплахи трябва да се разглежда през призмата на уязвимостите (технически и програмни), преминавайки към идентификация и управление на риска, моделиране на аварийни ситуации, подготовка и поддръжка на решенията. Анализът на риска трябва да се изгражда, като се отчитат моделите на възможния нарушител и неговите действия, а също така и потенциалните загуби.

Реализацията на широк спектър заплахи е свързана с компютърни престъпления, мошеничество и хулиганство. В тази връзка Европейската конвенция разграничава незаконен достъп и незаконно прехващане на данни, намеса във функционирането на системата и незаконно използване на устройства, фалшификации и мошеничество с използване на компютри, правонарушения, свързани със съхранението на данни и нарушаване на авторското право.

Необходимо е също да се обърне внимание към разработването на сценарии за взаимодействие на нападащата и защитаващата се страни, форми и методи за информационно противопоставяне, криминалният характер на компютърните престъпления, като се разработи класификация на способите за тяхното извършване и профилите на нарушителя [7, 8].


Стандарти и метрики на информационната безопасност

В условията на глобализация значително нараства ролята на международните стандарти. На първо място това засяга стандартите за управление на качеството, безопасността и екологията.

Даденият раздел трябва да съдържа сведения за стандартите (международни, национални, промишлени) и спецификациите в областта на информационната безопасност. Основно внимание трябва да се отдели на следните международни стандарти: ISO/IEC 15408-1999 “Критерии за оценка безопасността на информационните технологии” (Evaluation Criteria for IT Security) и асоциираната към тях методология ISO/IEC 18045, ISO/IEC 17799 (предишен стандарт BS 7799-2:2002), ISO/IEC 21827, ISO 7498-2, BSI; COBIT, SAC, COSO, SAS 78/94 и другии, осигуряващи оценка за нивото на информационна безопасност [2, 3 и др.].

Изучаването на материала от този раздел предполага:

  • определяне целите за осигуряване на информационна безопасност на ИС;

  • създаване на ефективна система за управление на информационната безопасност;

  • разчет на съвкупността от детайлизирани (не само качествени, но и количествени) показатели за оценка съответствието на информационната безопасност и заявените цели;

  • прилагане на инструментариума за осигуряване на информационна безопасност и оценка на нейното текущо състояние;

  • използване на методики за управление на безопасността с обоснована система метрики за осигуряване на информационна безопасност, позволяващи обективно да се оцени защитеността на информационните активи и да се управлява информационната безопасност.

Към основните достойнства на съществуващата система за оценка и лежащите в нейната основа стандарти следва да се отнесат: универсалност, гъвкавост, гарантираност, реализуемост, актуалност, високо равнище на детайлизация и параметризиране на изискванията към безопасността, а също и простотата на интерпретация на резултатите. Универсалността се определя от възможността за коректно приложение по отношение на всякакви ИС и предметни области. Гъвкавостта означава възможност за използване в условията на постоянно развитие и усъвършенстване на информационните технологии. Гарантираността е като потвърждение на надеждността на резултатите от анализа. Реализуемостта осигурява възможност да се използват в практиката изискванията и критериите на стандарта. Актуалността отразява съответствието между изискванията на стандарта и множеството заплахи за безопасността.

Особено внимание трябва да бъде отделено при разглеждане на еволюцията в метриките на информационната безопасност по примера на такива решения като “Серия Дъга”, “Европейски критерии за безопасност на информационните технологии”, “Единни (общи) критерии за оценка безопасността на информационните технологии” и други.

В резултата от изучаване на този раздел специалистът трябва да придобие методологични знания и методически умения в три основни аспекта:

  • защо се извършва оценка на безопасността;

  • какво се оценява;

  • как да се оценява.

Оценката на безопасността може да преследва две цели: формална и съдържателна. Формалната цел се състои в изпълнение на законодателните, нормативните и техническите изисквания, предявявани към информационните системи с определена ведомствена принадлежност, изпълняващи определени функция, съхраняващи, обработващи и предаващи данни с определен характер. Съдържателната оценка се разглежда като елемент от формирането и поддържането на режима на реална информационна безопасност.

Последователността на разглеждане на този раздел може да се базира на Международния стандарт за безопасност ISO/IEC17799, BSI, COBIT и да включва следните въпроси:

  • организационни мерки за осигуряване на безопасност;

  • класификация и управление на ресурсите;

  • безопасност на персонала;

  • физическа безопасност;

  • управление на комуникациите и процесите;

  • контрол на достъпа;

  • разработване и техническа поддръжка на изчислителните системи;

  • политика на безопасност;

  • управление непрекъсваемостта на бизнеса;

  • съответствие на системата от основните изисквания.

Немският стандарт “Ръководство за осигуряване безопасност на ИС” (IT Baseline Protection Manual) е разработен в BSI (Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency). Той е един от най-обемните, съдържателни и практични стандарти за информационна безопасност. Представлява пълен набор от документи за свободно запознаване. В тях се съдържат подробни ръководства за осигуряване на информационна безопасност приложно към различни аспекти от функционирането на ИС и различните области на ИТ. Този стандарт постоянно се усъвършенства с цел осигуряване на неговото съответствие на текущото състояние в областта на ИТ и информационната безопасност. Към настоящ момент е натрупана уникална база знания, съдържаща информация за заплахите и контра мерките в структуриран вид.

COBIT е международен стандарт, определящ набор от универсални задачи при управлението на ИТ, ориентирани преди всичко към ръководството на организацията и към ИТ одиторите. Уникалността и основната ценност на COBIT се състои в това, че той предлага модел, осигуряващ взаимовръзка между бизнес целите и ИТ процесите. COBIT е синтез на четири десятки международни стандарти (деюре и дефакто) в областта на управление на ИТ, одит, контрол и информационна безопасност. Негова основна стратегическа задача е ликвидирането на изоставането между ръководството на организация с неговото виждане за бизнес целите и ИТ департамента, осъществяващ поддръжка на най важната за всяка съвременна организация информационна инфраструктура, която трябва да работи за достигането на тези цели.


Разработка на организационно разпоредителна документация

за защита на информацията

Този раздел е завършващ и в него се интегрират теоретичните знания и практическите навици, получени при изучаването на предходните раздели. На първо място, става въпрос за разработването на концепция за осигуряване безопасност на информацията в конкретна ИС, в която са описани общите принципи и подходи към осигуряване безопасност на информацията и информационните ресурси. Съдържанието на даденият документ представлява основата за изграждане на цялостна система за информационна безопасност.

Подготовката на методически материали предвижда създаването на съответстващи регламенти, препоръки и длъжностни инструкции за работниците в обекта на управление за съблюдаването от тях на концепциите за осигуряване безопасност на информацията. Към тях могат да се причислят такива, като правила на работа с изчислителна и комуникационна техника, програмно осигуряване, формиране на потребителски пароли, действия в кризисни ситуации и други.

Разработването на проект за информационна безопасност предвижда определянето на цели и задачи на информационната безопасност, идентифициране на заплахите и средствата за противодействие на техническо и програмно ниво, оценка на риска и потенциалните загуби. Проектът трябва да съдържа също така икономически аспекти на ефективност на системите за информационна безопасност, да отразява съотношението “ефективност - цена” на комплекса от мероприятия като се използват абсолютни и относителни количествени и качествени показатели. Към тях се отнасят такива, като брой на разпознаваемите заплахи, качество на противопоставянето (съпротивата) срещу заплахите, разходи за възстановяване към нормална работа след реализирането на заплаха, коефициент за намаляване на потенциалните загуби.

Подготовката на статут за подразделение, отговарящо за реализация на плана за организационно-техническите мероприятия, насочени към осигуряване на комплексна безопасност на обекта на управление с определяне задачите и функциите, персоналната отговорност, оценка ефективността на работите по защита на информационните ресурси.


Заключение


Основни принципи при подготовката на кадри в областта на информационната безопасност трябва да бъдат следните:

  • нивото на теоретичните знания трябва да се приближава до международното и да съответства на изискванията към днешния ден;

  • подготовката трябва да е ориентирана към овладяването на теоретичните знания и практически навици, използвани за преодоляване на кризисни ситуации, възникващи в процеса на функциониране на информационните системи.

Представеният материал отразява само гледната точка на авторите и не претендира да бъде завършен. Очевидно, е че програмата може да бъде допълнена и с други раздели, а също така с информация за допълнителна специализация.



Литература

1. Конев И., Беляев А. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003.

2. IT Baseline Protection Manual. http://www.bsi.bund.de/gshb/english/menue.htm

3. ISO/IEC FDIS 27001. Information technology-Security techniques-Information security management systems-Requirements. 2005-05-14.

4. Компьютерная преступность и информационная безопасность.- Мн.: АРИЛ,, 2000

5. Черней Г.А., Охрименко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем. – Кишинев: Ruxanda, 1996.

6. Computing Curricula 2001. December 15, 2001. http://www.sigcse.org/cc2001

7. Саркисян А., Охрименко С., Черней Г. Информационно противопоставяне. http://www.security.ase.md/publ/ru/pubru46.html

8. Радев Е., Охрименко С., Черней Г. Информационното противостоене – възможности и оценка на риска.//Автоматика и информатика, 2000, N 2-3.