Вопрос информационной безопасности является актуальным не только для компаний и промышленных предприятий, но и для учреждений образования. Однако взаимоотношения вендоров и вузов не ограничиваются защитой конфиденциальных данных самого образовательного учреждения, а также подразумевают совместную работу в деле подготовки специалистов по информационной безопасности. Редакция SecureNews с помощью представителей высших учебных заведений и компаний-разработчиков программного обеспечения для защиты данных попыталась разобраться в специфике сотрудничества учреждений образования и ИБ-вендоров.
Учреждения образования, подобно другим организациям, работающим с большим количеством информации, несут на себе тяжелое бремя ответственности за ее сохранность. Информация какого характера нуждается в защите? Какие меры образовательные учреждения принимают для обеспечения безопасности данных? Какие требования в этом вопросе к вузам предъявляет государство? Ответы — у наших экспертов.
Коммерческий директор ООО «Аванпост» Александр Санин:
«Учреждения образования, как и любые другие организации, работающие на территории Российской Федерации, должны исполнять российские законы. Соответственно, и меры защиты информации, обязательные к исполнению законодательно (например, 152-ФЗ о персональных данных и соответствующие подзаконные акты), такими учреждениями должны применяться».
Финансовый директор ООО «Параллакс» Дмитрий Кузнецов:
«На образовательные учреждения распространяются те же требования по информационной безопасности, что и на все остальные государственные и частные организации. Наиболее актуальные вопросы во всех без исключения учебных заведениях — защита персональных данных; в вузах, осуществляющих научную и производственную деятельность, — защита коммерческой и государственной тайны; в медицинских вузах и училищах — защита врачебной тайны. Федеральные и региональные органы управления образованием разрабатывают собственные нормативно-методические документы, регламентирующие защиту информации в учебных заведениях, но они лишь предлагают стандартизированные подходы к реализации более общих требований законодательства и, как правило, носят рекомендательный характер».
Генеральный директор ООО «СкайДНС» (SkyDNS) Дмитрий Вострецов:
«В зависимости от размера и типа образовательного учреждения варьируются разновидности используемого программного обеспечения. Например, в школах обычно применяются антивирусы и средства контент-фильтрации. Также могут использоваться сертифицированные ФСТЭК средства для защиты персональных данных и файрволы, встроенные в другие инструменты, такие как интернет-шлюзы и роутеры. В университетах подход к защите информации более серьезен, и там применяется более широкий спектр средств, связанный как с более сложной и крупной ИТ-инфраструктурой, так и с большими финансовыми возможностями университетов.
В принципе в отношении защиты информации вузы больше похожи на корпоративных заказчиков — могут себе позволить создать эшелонированную защиту, имеют обученный, квалифицированный персонал и понимают, что делают, а школы больше похожи на малый бизнес: не знают, что защищать и как защищать, и зачастую не имеют средств на то, чтобы правильно защитить имеющиеся системы и данные".
Директор учебного центра SearchInform Алексей Дрозд:
«Информацию, которую стоит защищать в вузах, я бы разделил на две категории. Первая касается требования регуляторов. К примеру, любой вуз хранит персональные данные сотрудников и учащихся. Следовательно, будут актуальны требования ФЗ 152 «О персональных данных», постановление Правительства Р Ф № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и так далее. Если имеются ГИС, то добавляется приказ ФСТЭК № 17, есть АСУ ТП — приказ ФСТЭК № 31.
Вторая категория касается коммерциализации. Тренд последних лет — вузы занимаются собственными научными разработками и ведут научно-исследовательскую деятельность с конкретными коммерческими целями. С этой точки зрения вуз перестает отличаться от какой-либо бизнес-структуры, а значит, сохранить конфиденциальность своих разработок и проектов становится в его же интересах. При этом утечка может иметь очень серьезные последствия не только в финансовом плане. Взять хотя бы громкий инцидент, когда в 2012 году два профессора Балтийского государственного технического университета «Военмех» им. Устинова были осуждены за «слив» секретной информации о ракете «Булава» Китаю".
Руководитель направления информационной безопасности компании КРОК Андрей Заикин:
«В первую очередь в образовательных учреждениях традиционно предпринимаются меры по защите рабочих станций от внешних несанкционированных воздействий — речь идет об антивирусной защите и регулярном обновлении программного обеспечения. Вторая важная мера — это обеспечение безопасного доступа в интернет. Важно защитить школьников от нежелательного контента, которого в сети очень много. Так, администрации школ обязаны соблюдать законодательство № 436 ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию», № 139 ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и прочие подзаконные акты, ограничивающие доступ к противоправной информации в интернете. Для этого используются специализированные решения, блокирующие ресурсы, не предназначенные для просмотра детьми.
Для студентов вузов это также важно. Для такой защиты применяются системы контентной фильтрации интернет-трафика, которые позволяют запретить доступ к нежелательным и вредоносным ресурсам.
И наконец, не стоит забывать, что образовательные учреждения являются одними из ключевых операторов персональных данных — учеников, студентов, слушателей. Требования по защите таких данных со стороны закона (152-ФЗ) предусматривают не только регламентирование деятельности по обработке персональных данных, но и обеспечение должного уровня защиты. При этом, согласно № 242-ФЗ, базы с персональными данными российских граждан должны находиться на территории России".
Начальник отдела разработки учебной документации компании «Код безопасности» Оксана Царькова:
«Меры по защите информации в образовательных учреждениях принято сегментировать на те, где доминируют либо технический, либо организационный аспекты.
Организационные меры связаны с проведением мероприятий, направленных на реализацию нормативно-правовой базы. В их числе — организация режима и охраны; обеспечение работы с документами; анализ внутренних и внешних угроз конфиденциальной информации и выработка мер по ее защите; систематический контроль за работой с конфиденциальной информацией, соблюдение порядка учета, хранения и уничтожения документов и технических носителей.
Технический аспект обеспечения информационной безопасности связан с выбором необходимого аппаратного и программного обеспечения. Такие меры включают использование специальных защитных электронных устройств и программ".
Как и коммерческие организации, учреждения образования уделяют большое внимание защите персональных данных своих сотрудников и клиентов. Также чрезвычайно важно обеспечивать конфиденциальность документации, касающейся научно-исследовательской деятельности, а также ограждать студентов от нежелательной информации.
Теперь обратимся ко второму аспекту сотрудничества ИБ-компаний и учреждений образования — подготовке специалистов. Однако прежде чем переходить к конкретным примерам, узнаем насколько распространены в России программы обучения специалистов по информационной безопасности.
Александр Санин:
«Достаточно большое количество вузов по всей стране готовит специалистов в области информационной безопасности. И в последние несколько лет наметился явный прогресс в этой области. Если раньше, еще лет 10−15 назад, таких специалистов учили, больше основываясь на теоретических знаниях, то сегодня упор делается на практические навыки».
Дмитрий Кузнецов:
«Многие российские вузы имеют кафедры защиты информации и предлагают высшее образование (бакалавриат, магистратуру) в области защиты информации. В общероссийском классификаторе специальностей «Информационная безопасность» — это особый раздел, включающий в себя специалистов по криптографии, компьютерной безопасности, противодействию иностранным разведкам. Кроме того, ряд образовательных учреждений предлагает программы повышения квалификации в данной сфере.
Увы, качество многих из этих образовательных программ оставляет желать лучшего. Информационные технологии развиваются стремительными темпами, за которыми учебному процессу порой бывает трудно «угнаться». Преподавательский состав не всегда вовлечен в работу по защите информации в действующих информационных системах — в результате часто бывает виден перекос в теоретическую область, без привязки к практике решения реальных проблем, с которыми сталкиваются в своей деятельности специалисты по информационной безопасности. В идеале участие разработчиков программного обеспечения должно помочь преодолеть эту проблему".
Руководитель направления по сотрудничеству с вузами в компании Falcongaze Антон Соловей:
«Образовательных программ в сфере информационной безопасности сейчас существует достаточно, как в рамках высшего образования (бакалавриат/специалитет), так и факультатива (коммерческие курсы, повышение квалификации). Объективно оценить качество обучения, которое отличается от вуза к вузу, затруднительно, однако следует отметить, что в рамках высшего профессионального образования наблюдается тенденция дефицита практического опыта среди студентов-выпускников, обусловленная недостаточностью практических работ со средствами обеспечения ИБ».
Проректор Московского педагогического государственного университета Алексей Коршунов:
«У нашего университета есть свой, достаточно сильный Институт физики, технологии и информационных систем. Специалистов по информатике готовит и математический факультет. Сегодня наша приоритетная задача — активизировать потенциал наших студентов и профессорско-преподавательского состава в сотрудничестве по укреплению информационной безопасности.
Оптимальная конструкция, на мой взгляд, это создание альянса по информационной безопасности, который включает талантливых студентов и преподавателей, а также фирмы-разработчики программного обеспечения. Мы активно сотрудничаем с компаниями-поставщиками ПО и постоянно ищем новые контакты, поэтому открыты для любых интересных предложений".
Количество программ обучения специалистов по информационной безопасности, как и интерес к ним, динамично растет. Чтобы узнать подробнее о плодах такого сотрудничества, редакция SecureNews обратилась к представителям системных интеграторов и компаний-разработчиков программного обеспечения для защиты информации.
Александр Санин:
«Компании-производители средств защиты информации стали чаще сотрудничать с вузами, стали предоставлять экземпляры своей продукции для целей обучения студентов. Наш опыт показывает, что компаниям-разработчикам гораздо выгоднее активно работать с вузами, получая на выходе специалистов, знакомых с их продуктами и готовых к их администрированию, нежели тратить огромные деньги и время на обучение технических специалистов с нуля. Мы, например, уже несколько лет успешно сотрудничаем с кафедрой Информационной Безопасности НИУ ВШЭ, регулярно выступаем перед студентами, показываем им свои разработки, делимся опытом и, присматривая талантливых ребят, приглашаем их в свою команду».
Дмитрий Кузнецов:
«Работая на конкурентном рынке, разработчики средств защиты информации вынуждены все время совершенствовать свои продукты, расширяя их функциональность, обеспечивая защиту от все новых и новых актуальных угроз. Специалисты разработчиков обладают богатым опытом практического применения теоретических знаний, что так необходимо студентам. К сожалению, в действительности мы часто видим, что компании-разработчики не заинтересованы в передаче этого опыта без гарантий того, что получивший знания и умения студент будет потом работать у них. Никто не хочет готовить кадры для конкурентов. Кроме того, самые опытные специалисты-практики, как правило, не имеют достаточно свободного времени и редко обладают преподавательским талантом. В результате участие таких компаний сводится к рекламной, по сути, деятельности в университетской среде.
Возможно, в этой области могло бы помочь аккуратное государственное вмешательство: какие-то льготы и преференции организациям, участвующим в образовательном процессе, выделение государственным вузам бюджета для привлечения опытных специалистов-практиков на контрактной основе".
Дмитрий Вострецов:
«Нас как разработчика программного обеспечения для защиты информации образовательные учреждения интересуют в двух ипостасях — из вузов к нам приходят новые разработчики и специалисты по информационной безопасности. И кроме этого, учреждения образовательной сферы являются нашими клиентами — наши системы контент-фильтрации применяются в учреждениях от детских садов до университетов для защиты детей и подростков от опасной информации и вредоносных интернет-ресурсов».
Алексей Дрозд:
«У вуза есть несколько вариантов, как можно организовать обучение: учить своими силами, привлечь практикующего ИБ-специалиста или сотрудничать с вендором. Расскажу о последнем варианте, так как мы обладаем именно таким опытом.
Как поступает большинство производителей? Они говорят: «У нас есть вот такой продукт, который занимает видное место на рынке. Мы готовы предоставить его бесплатно (и, может быть, дать к нему документацию). А дальше вы уже сами придумывайте, как обучать студентов». Естественно, такая схема не устраивает вузы, а из преподавателей только большие энтузиасты возьмутся за разработку учебных программ с нуля.
В идеале вендор должен брать создание учебных материалов на себя. Специалисты учебного центра SearchInform разрабатывают пособия, лабораторные работы, подготавливают виртуальные машины, проводят вебинары и обучение в вузах. С 2010 года ведется комплексная работа, цель которой — повышение уровня знаний студентов в сфере ИБ, качественная подготовка специалистов по информационной безопасности. Мы сотрудничаем с 56 вузами в России и странах СНГ; 824 студента приняли участие в программе сертификации SearchInform; в рамках учебного курса подготовку прошли 109 преподавателей.
Разработкой программ занимаются практикующие преподаватели, то есть люди не только знакомые с практической стороной применения DLP, но и обладающие специальной подготовкой и опытом, которые позволяют «достучаться» до студентов. Мы используем разные формы работы: лекции, лабораторные, вебинары, мастер-классы. Следим за изменениями в сфере ИБ и ежегодно обновляем учебно-методический комплекс, актуализируем материалы".
Андрей Заикин:
«Специалистов по информационной безопасности сейчас готовят многие технические вузы страны. Здесь обучают и основам информационной безопасности, и криптографическим методам защиты информации, и правовым аспектам обеспечения безопасности. Однако практическая сторона вопросов защиты чаще всего познается именно в процессе разбора реальных кейсов. Такой опыт можно получить в ходе стажировки в компаниях, внедряющих решения в области ИБ. В частности, у нас в КРОК хорошо развита стажерская программа. Кроме того, практический опыт, полезные советы и инструкции можно получить на профильных курсах, которые также нередко проводятся ИТ-компаниями, либо с участием их сотрудников в качестве преподавателей. Например, в обучающем центре КРОК есть несколько курсов по безопасности».
Оксана Царькова:
«Компания «Код безопасности» взаимодействует с ведущими учебными заведениями, которые занимаются профессиональной подготовкой, переподготовкой и повышением квалификации специалистов в области защиты информации. Нашими авторизованными партнерами являются семь крупнейших учебных центров.
Мы заключаем соглашение о сотрудничестве с учебным заведением и подписываем лицензионный договор. И затем предоставляем информацию о нашей продукции, рекомендации по наиболее эффективным способам ее использования в учебном процессе. Передаем лицензии, помогаем организовать виртуальные стенды для проведения экспериментальных и лабораторных работ учащихся, поддерживаем участие образовательного заведения в олимпиадах и научно-практических конференциях, приглашаем студентов и выпускников в нашу компанию на стажировку и производственную практику с возможностью дальнейшего трудоустройства".
Антон Соловей:
«Сотрудничество будет однозначно полезным обеим сторонам: вендоры получат талантливых и уже компетентных выпускников, которых можно принять на работу и из которых можно будет сделать менеджеров, технических и других специалистов, а если выпускник пойдет дальше — работодатель получит также специалиста с практическим опытом, а не „зеленого“ теоретика. Вузы выиграют на качестве обучения и смогут усовершенствовать свои учебные программы. Мы также активно сотрудничаем с образовательными учреждениями, которые занимаются подготовкой специалистов в области информационной безопасности. Студенты получают практические навыки, обучаясь работе с инструментом, который в будущем смогут использовать в своей профессиональной деятельности».
В целом можно утверждать, что сотрудничество компаний, специализирующихся на информационной безопасности, с учреждениями образования развивается достаточно успешно. В результате все стороны извлекают выгоду для себя: имеет место повышение качества программ обучения в вузах, приобретение студентами практических навыков в работе со специализированными программными решениями, появление в штате ИБ-компаний высококвалифицированных сотрудников. И, конечно, не стоит забывать о том, что под надежной защитой вендоров находятся персональные данные преподавателей и студентов, научные исследования и разработки, а также финансовая информация образовательных учреждений.