:::::: № 4 июль-август 2006 г. :::::: - Журнал «Защита информации. Инсайд»

		№ 4 июль-август 2006 г. Тема номера: КОРПОРАТИВНЫЕ ПРОГРАММЫ ОБУЧЕНИЯ ВОПРОСАМ БЕЗОПАСНОСТИ
		МЫ ВСЕ УЧИЛИСЬ ПОНЕМНОГУ… М. Ю. Емельянников, заместитель генерального директора по безопасности ОАО «Связьинтек» З. В. Попова, директор Учебного центра «Информзащита»

…чему-нибудь и как-нибудь… Видимо, в этом и есть большая часть проблемы корпоративного обучения информационной безопасности. Именно чему-нибудь, и именно как-нибудь. Подозреваем, что данная ситуация характерна не только для этой области образования, но об этом – в другой раз.

Часто сотрудник компании, осваивающий работу с информационными системами, напоминает ребенка, внезапно попавшего во взрослый мир с массой необыкновенно интересных вещей, правила обращения с которыми ему, ребенку или сотруднику, абсолютно неизвестны. Вокруг столько занятного, возможности колоссальные, вот только как ими пользоваться и, самое главное, к чему это приведет – совершенно непонятно. Можно съесть или выпить то, что с таким удовольствием едят или пьют взрослые, и отравиться. Можно засунуть пальчик в эту симпатичную дырочку, но ударит током так, что мало не покажется. Можно попытаться унести эту красивую штучку домой, но злой дядя у выхода все отберет, да еще по одному месту нашлепает. И если родители, учителя, няни – кому как повезет – не научат правильно жить в окружении всех этих благ и пользоваться всем этим сказочным богатством взрослого мира, судьба ребенка печальна. Болезни, травмы, черная зависть к тем, кто умеет, – вот удел и перспектива необученного ребенка. Сколько примеров детей из самых благополучных семей мелькает на экранах телевизоров и на страницах таблоидов! Воровство, пьянство за рулем, оскорбление окружающих, элементарная невоспитанность, больше похожая на хамство – и у кого! Что, у родителей не было денег или возможностей научить? Не хватало грошового флакончика духов из супермаркета? Не было никакого карнавального костюма, кроме нацистского мундира? Да нет, не в этом дело… НЕ НАУЧИЛИ!

Не учить элементарным правилам могли по самым разным причинам – потому что сами учителя не знали, чему учить, потому что казалось – зачем учить, если сами научатся, или вообще это представлялось не самым главным в жизни.

Работник с правами доступа, не требующимися для выполнения своих функций, «грохнул» базу данных, нажав на Delete или подтвердив ОК на непонятный вопрос на непонятном языке… Однокашнику по институту, работающему в другой компании, но в этом же секторе бизнеса, направлен в качестве курьеза или предмета гордости последний драфт корпоративного плана повышения лояльности клиентов… Открыто вложение в электронное письмо, обещающее показать фото об интимных подробностях жизни кинозвезды… Те, кто это делал, хотели зла компании, давшей им работу, кормящей и поящей их? Да нет, никакого злого умысла у всех этих людей не было: не знал, не думал, не предполагал… А главное – НЕ НАУЧИЛИ!

Хотели, как лучше, а получилось, как всегда

Нельзя сказать, что в российских компаниях не учат информационной безопасности. Только в Учебном центре «Информзащита» за 8 лет обучилось более 12 тыс. человек из нескольких тысяч коммерческих компаний и государственных структур. А ведь учат не только в «Информзащите». Но вот только кого и чему?

До недавнего времени различным аспектам обеспечения информационной безопасности обучались сетевые администраторы, администраторы безопасности, руководители и работники IT-подразделений или подразделений безопасности. С ними как раз все ясно – они приобретают знания и учатся языку общения на специализированных курсах по защите информации типа «Безопасность информационных технологий» или «Безопасность компьютерных сетей», обучаются умениям решать конкретные задачи вроде межсетевого экранирования, анализа защищенности сети или разбора инцидентов, применению конкретных продуктов на авторизованных курсах производителей.

Никто не ставит под сомнение, что это не только нужно – без этого не обойтись. Люди, строящие подсистему безопасности информационной инфраструктуры предприятия, должны быть профессионалами с большой буквы, и без постоянного повышения квалификации в быстроменяющейся сфере информационных технологий им никак не обойтись.

Однако подготовки только этих специалистов – недостаточно. Построить систему безопасности они, конечно, смогут, но уследить за всем и всеми – вряд ли. Ведь сколько ни учи сотрудников транспортной полиции, а без подготовки самих водителей все равно не обойтись – аварии неизбежно будут и будут ужасными. Те, кому довелось побывать за рулем где-нибудь в Африке или Юго-Восточной Азии, с нами согласятся. ООН, различные фонды и межправительственные организации, бывшие метрополии, мучимые чувством вины за многовековое колониальное угнетение, вкладывают колоссальные деньги в обучение полицейских: их возят на стажировку в благополучные европейские и американские города, им покупают новейшие радары и камеры слежения, а на дороге Хургада-Каир или Хургада-Луксор каждую неделю разбиваются автобусы, в каждой катастрофе гибнут десятки туристов. На улицах столиц Центральной Африки лоб в лоб сталкиваются мощные японские «тачки», разогнанные водителями до 200 км/час там, где и 60 – опасно для жизни. Полиция, даже самая обученная, не поможет, если водитель ИМЕЕТ ПРАВО, но НЕ УМЕЕТ управлять автомобилем. Да что там на Африку смотреть, включите утренний «Дорожный патруль», там наши соотечественники, купившие права, такое вытворяют…

А не учат (мы снова про информационную безопасность) не только конечных пользователей. Не учат еще одну немногочисленную, но определяющую политику компании группу – ее руководителей. Их-то кто пошлет учиться, если они сами всех… посылают? Хороший вопрос. Вот только без ответа на него вряд ли удастся построить надежную систему защиты информации. О необходимости привлечения руководства к управлению безопасностью, а значит – и наличии у него, руководства, соответствующих знаний, говорится во всех международных стандартах (и не только безопасности, но и управления качеством, аудита и других близких областей).

Попытка классификации

Объединив многолетний опыт построения системы информационной безопасности и управления ею в одном из крупнейших российских холдингов, а также опыт обучения информационной безопасности различных категорий персонала в крупнейшем российском специализированном учебном центре, мы попытались построить некую упорядоченную модель корпоративной системы подготовки.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья