БЕЗОПАСНОСТЬ ИНФОРМАЦИИ – ОПЫТ ЦЕЛОСТНОГО ПОДХОДА В ОБУЧЕНИИ

Санкт-Петербургский институт информатики и автоматизации РАН, Санкт-Петербург

Тел.: (8, e-mail: *****@

Подготовка специалистов, профессиональная деятельность которых так или иначе будет связана с разработкой или использованием информационных технологий, в настоящее время и, тем более, в перспективе немыслима без включения в курс их обучения дисциплин, посвященных вопросам безопасности информации. Уже не вызывает сомнения, что осведомленность и грамотность в данных вопросах, понимание современного состояния и тенденций в развитии проблем безопасности различных информационных объектов, становится необходимым условием полноценного образования инженера.

За последние годы открыты соответствующие специальности и факультеты. Однако речь сейчас должна идти не только об узкоспециализированных кадрах в области собственно защиты информации, но и о широком спектре инженеров и администраторов системотехнического профиля. Особую актуальность это приобретает в связи с интенсивным включением индивидуальных и корпоративных пользователей в глобальные сетевые структуры, учитывая новые свойства, которые проявляются в них. Традиционные подходы к защите информации, где ключевым понятием было защита от НСД, а основным методом – криптозащита, становятся неадекватными. Следует говорить о внедрении в профессиональное образование вопросов безопасности информации, как неотъемлемой части инженерной культуры, аналогично тому, как несколько ранее такое произошло с вопросами экологической безопасности.

НЕ нашли? Не то? Что вы ищете?

На основе исследований и разработок, проделанных в СПИИРАН, успешно проводится лабораторный курс, предметом которого является оценивание защищенности конкретного информационного объекта и результативности применения средств защиты или осуществления атаки на него. В модель были заложены следующие принципы: минимизация количества базовых понятий, а также комплексность, целенаправленность, методическая однородность и простота анализа.

Рассматривается дихотомическая оппозиция: "защищаемый объект", с одной стороны, и, с другой, – считающаяся потенциально враждебной "среда", причем среда может представляться не только как пространственная, физическая сущность. Подчеркивается существование и необходимость фиксации "границы защищаемого объекта" или "границы ответственности" и "внешней границы среды". Соответственно выделяются три причинно-обусловленных непересекающихся подмножества множества элементов модели: "источники угроз", досягаемостью которых определяется внешняя граница среды; "угрозы безопасности", порождаемые источниками; "компоненты объекта", на которые воздействуют реализованные угрозы. Результатами воздействий угроз на объект определяется его "состояние защищенности", характеризуемое измеримыми показателями безопасности. Источники угроз определяются как независимые "субъекты воздействий", генераторы "событий", все остальные агенты воздействий на защищаемый объект квалифицируются в качестве угроз, реализации которых определяются как события, а компоненты – как объекты воздействий. Считается, что на множестве всех элементов модели может быть определено бинарное отношение "быть причиной" со свойством транзитивности, фиксирующее каналы распространения потоков угроз, характеризуемых по крайней мере двумя параметрами – интенсивностью реализации событий и их значимостью ("амплитудой").

Реализованный подход, как показывает опыт, независимо от кругозора, практического опыта, "продвинутости" студентов способствует актуализации и систематизации полученных в процессе общеинженерной и специальной подготовки знаний и навыков в аспекте проблем безопасности информации, приобретению практических навыков конкретного анализа безопасности информационных объектов и синтеза систем защиты информации. Характерно, что наиболее осведомленные студенты в начале работы могут испытывать определенные трудности, связанные с уже выработанной стереотипностью взгляда на решение проблем защиты, когда приходится проводить конкретный и целостный анализ безопасности в нестандартных ситуациях.

Лабораторный курс поддерживается программными средствами, разработанными в современной технологии и стандартном дизайне.