Видовой состав документов по защите информации предприятий очень многообразен. Однако возникает вопрос: где найти унифицированный перечень документов по организации защиты информации, чтобы руководителям и специалистам не пришлось ломать голову над этой проблемой? Ответ прост – пока нигде. Если видовой состав документов по защите и обработке персональных данных относительно устоялся и более-менее определенные указания на виды документов можно найти в законодательных актах Российской Федерации, то перечень документов, регламентирующий работу с конфиденциальной информацией, еще не вполне сложился. Поэтому в данном вопросе специалисты по защите информации и документоведы предприятий могут проявлять определенное творчество.
Сегодня рынок консалтинговых предприятий, предоставляющих услуги в области защиты информации достаточно разнообразен и активно развивается (Group-IB – Группа Информационной Безопасности, Москва; Группа компаний «Пять-пятьдесят пять», Москва; AltLinux, Москва; Интер-Траст, Москва; Научно-производственное объединение РТК, Санкт-Петербург; Likurg Company LTD, Екатеринбург; Агентство «СпецЮст», Челябинск; «Альфа-Вест», г. Челябинск; -Консультант», Брянск и др.). Большинство компаний предоставляют услуги аутсортинга информационной безопасности и консультаций в данной области. Как показывает практика, в большинстве случаев организациям самим приходится разрабатывать или дорабатывать документы в области ИБ. На помощь в решении данной проблемы могут прийти нормативно-методические документы по общему делопроизводству.
Видовой состав организационно-распорядительных документов и правила их оформления определены в Государственной системе документационного обеспечения управления (ГСДОУ), Типовой инструкции по делопроизводству в федеральных органах исполнительной власти, в ГОСТах, в общероссийском классификаторе управленческой документации (ОКУД), в перечнях типовых документов и других.
При создании системы защиты информации на предприятии не стоит забывать, что порядок обработки конфиденциальной документации должен быть строго регламентирован, поэтому наряду с перечисленными видами документов следует разработать инструкцию по делопроизводству (или стандарт предприятия в области документационного обеспечения управления), номенклатуру дел, табель и альбом унифицированных форм документов. Выбор наименований видов документов в данной области будет зависеть от общей политики организации. Если предприятие ориентировано на внедрение международных стандартов качества, то и видовой состав документов будет разработан с учетом методологии ИСО (стратегии, политики, миссии, стандарты, процедуры, руководства, регламенты, методологические инструкции и др.). Если организация пока не готова к сертификации по международным стандартам, можно ограничиться традиционными названиями документов (положения, инструкции, правила и т. д.).
4.6. Выбор метода моделирования процесса создания
комплексной системы защиты информации в организации
Стремительный рост рынка информационных технологий и развитие информационного общества выдвигают новые требования к информационной безопасности предприятий. Одно из них требует построения комплексных систем защиты информации (КСЗИ). Процесс создания КСЗИ нетривиален, и поэтому, как при создании любых других сложных систем, требует применения моделирования. Моделирование КСЗИ позволяет планировать процесс проектирования, рационально распределять ресурсы при создании КСЗИ, точнее считать риски и экономическую целесообразность [37].
Сегодня, после первого этапа построения КСЗИ – принятия решения о создании КСЗИ – руководитель или ответственное лицо встаёт перед проблемой поиска структурировано изложенной информации, плана действий или готового руководящего документа по разработке КСЗИ. Вместо этого он буквально «тонет» в разнородных рекомендациях, подходах, версиях и различных субъективных мнениях.
На этапе эксплуатации КСЗИ возникают новые проблемы – система остро нуждается в постоянном управлении и возможности быстрой модернизации, быстрой смены параметров. Так, например, на предприятиях со сложной КСЗИ чрезвычайно трудно оценить, как скажется на всей системе увольнение одного из администраторов. Ведь нужно учесть за какие области информационной системы он отвечал, какая часть работы была им не доделана, какие ключи аутентификации, средства и методы доступа он унёс с собой, с какой информацией ограниченного доступа он имел дело. При этом может оказаться, что в должностной инструкции были прописаны далеко не все его обязанности, что создаёт серьёзные уязвимости для сложной и дорогой информационной системы. Наличие модели КСЗИ предприятия, которая способна наглядно отображать все процессы КСЗИ и осуществлять управление ими, может значительно снизить риски предприятия.
Моделирование КСЗИ является сложной задачей, потому что такие системы относятся к классу сложных организационно-технических систем, которым присущи следующие особенности:
― сложность формального представления процессов функционирования таких систем, главным образом, из-за сложности формализации действий человека;
― многообразие архитектур сложной системы, которое обуславливается многообразием структур ее подсистем и множественностью путей объединения подсистем в единую систему;
― большое число взаимосвязанных между собой элементов и подсистем;
― сложность функций, выполняемых системой;
― функционирование систем в условиях неполной определенности и случайности процессов, оказывающих воздействие на систему;
― наличие множества критериев оценки эффективности функционирования сложной системы;
― существование интегрированных признаков, присущих системе в целом, но не свойственных каждому элементу в отдельности (например, система с резервированием является надежной, при ненадежных элементах);
― наличие управления, часто имеющего сложную иерархическую структуру;
― разветвленность и высокая интенсивность информационных потоков.
Данные особенности значительно затрудняют построение модели, и требуют особого подхода.
Для преодоления этих сложностей применяются:
― макромоделирование [95];
― декомпозиция общей задачи на ряд частных задач;
― объектно-ориентированный подход;
― специальные методы неформального моделирования.
Из вышеперечисленных методов моделирования наиболее популярным является объектно-ориентированный подход. В работе [35] отмечается, что попытки создания больших информационных систем еще в 60-х годах прошлого столетия вскрыли многочисленные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем. Результатами исследований в области технологии программирования стали сначала структурированное программирование, затем объектно-ориентированный подход (ООП).
ООП является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.
Сложность эта имеет двоякую природу. Во-первых, сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как профили защиты на основе «Общих критериев», речь о которых впереди. Эта сложность менее очевидна, но ею также нельзя пренебрегать; необходимо изначально строить семейства документов по объектному принципу.
Любой разумный метод борьбы со сложностью опирается на принцип «devide et impera» – «разделяй и властвуй». В данном контексте этот принцип означает, что сложная система (КСЗИ) на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость здесь и далее понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на первом этапе компоненты, и так далее до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции.
Важнейший вопрос, возникающий при реализации принципа «разделяй и властвуй», – как, собственно говоря, разделять. Упоминавшийся выше структурный подход опирается на алгоритмическую декомпозицию, когда выделяются функциональные элементы системы. Основная проблема структурного подхода состоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло. Нужен подход "широкого спектра", не имеющий такого концептуального разрыва с анализируемыми системами и применимый на всех этапах разработки и реализации сложных систем. Опыт применения ООП к разработке сложных программных комплексов показал, что этот подход действительно обладает достаточной общностью для всех этапов жизненного цикла создаваемой системы.
Объектно-ориентированный подход использует объектную декомпозицию, то есть поведение системы описывается в терминах взаимодействия объектов.
Что же понимается под объектом и каковы другие основополагающие понятия данного подхода?
Прежде всего, введем понятие класса. Класс – это абстракция множества сущностей реального мира, объединенных общностью структуры и поведения. Применительно к КСЗИ классами могут быть, например:
― документ;
― пользователь;
― программное средство;
― аппаратное средство;
― инженерное средство;
― угроза;
― уязвимость.
Объект – это элемент класса, то есть абстракция определенной сущности.
Подчеркнем, что объекты активны, у них есть не только внутренняя структура, состоящая из ряда характерных параметров, но и поведение, которое описывается так называемыми методами объекта. Например, может быть определен класс «пользователь», характеризующий «пользователя вообще», то есть ассоциированные с пользователями данные и их поведение (методы). После этого может быть создан объект «пользователь Иванов» с соответствующей конкретизацией данных и, возможно, методов.
Следующую группу важнейших понятий объектного подхода составляют инкапсуляция, наследование и полиморфизм.
Основным инструментом борьбы со сложностью в объектно-ориентированном подходе является инкапсуляция – сокрытие реализации объектов (их внутренней структуры и деталей реализации методов) с предоставлением вовне только строго определенных интерфейсов.
Понятие «полиморфизм» может трактоваться, как способность объекта принадлежать более чем одному классу. Введение этого понятия отражает необходимость смотреть на объекты под разными углами зрения, выделять при построении абстракций разные аспекты сущностей моделируемой предметной области, не нарушая при этом целостности объекта.
Наследование означает построение новых классов на основе существующих с возможностью добавления или переопределения данных и методов. Наследование является важным инструментом борьбы с размножением сущностей без необходимости. Общая информация не дублируется, указывается только то, что меняется. При этом класс-потомок помнит о своих «корнях».
Очень важно и то, что наследование и полиморфизм в совокупности наделяют объектно-ориентированную систему способностью к относительно безболезненной эволюции. Средства информационной безопасности приходится постоянно модифицировать и обновлять, и если нельзя сделать так, чтобы это было экономически выгодно, ИБ из инструмента защиты превращается в обузу.
Применение ООП предполагает использование определенной методологии, наиболее популярной из которых является Rational Unified Process (RUP) – методология разработки программного обеспечения, созданная компанией Rational Software [29].
В основе RUP лежат следующие основные принципы:
― Ранняя идентификация и непрерывное (до окончания проекта) устранение основных рисков.
― Концентрация на выполнении требований заказчиков к исполняемой программе (анализ и построение модели прецедентов).
― Ожидание изменений в требованиях, проектных решениях и реализации в процессе разработки.
― Компонентная архитектура, реализуемая и тестируемая на ранних стадиях проекта.
― Постоянное обеспечение качества на всех этапах разработки проекта (продукта).
― Работа над проектом в сплочённой команде, ключевая роль в которой принадлежит архитекторам.
RUP использует итеративную модель разработки. В конце каждой итерации (в идеале продолжающейся от 2 до 6 недель) проектная команда должна достичь запланированных на данную итерацию целей, создать или доработать проектные артефакты и получить промежуточную, но функциональную версию конечного продукта. Итеративная разработка позволяет быстро реагировать на меняющиеся требования, обнаруживать и устранять риски на ранних стадиях проекта, а также эффективно контролировать качество создаваемого продукта.
Полный жизненный цикл разработки продукта состоит из четырех фаз, каждая из которых включает в себя одну или несколько итераций (рис. 5).
Рис. 5. Полный жизненный цикл в соответствии с RUP
На этапе «Начало»:
― Формируются видение и границы проекта.
― Создается экономическое обоснование (business case).
― Определяются основные требования, ограничения и ключевая функциональность продукта.
― Создается базовая версия модели прецедентов.
― Оцениваются риски.
При завершении начальной стадии оценивается достижение вехи целей жизненного цикла (англ. Lifecycle Objective Milestone), которое предполагает соглашение заинтересованных сторон о продолжении проекта.
На этапе «Уточнение» производится анализ предметной области и построение исполняемой архитектуры. Это включает в себя:
― Документирование требований (включая детальное описание для большинства прецедентов).
― Спроектированную, реализованную и оттестированную исполняемую архитектуру.
― Обновленное экономическое обоснование и более точные оценки сроков и стоимости.
― Сниженные основные риски.
― Успешное выполнение фазы проектирования означает достижение вехи архитектуры жизненного цикла.
На этапе «Конструирование» происходит реализация большей части функциональности продукта. Этап «Конструирование» завершается первым внешним релизом системы и вехой начальной функциональной готовности (Initial Operational Capability).
На этапе «Внедрение» создается финальная версия продукта и передается от разработчика к заказчику. Это включает в себя программу бета-тестирования, обучение пользователей, а также определение качества продукта. В случае, если качество не соответствует ожиданиям пользователей или критериям, установленным в фазе «Начало», фаза «Внедрение» повторяется снова. Выполнение всех целей означает достижение вехи готового продукта (Product Release) и завершение полного цикла разработки.
Так как в методологии RUP применяется итеративный подход, система строится циклично: по окончанию каждой итерации получается промежуточная, но функциональная версия конечного продукта. Итеративная разработка позволяет быстро реагировать на меняющиеся требования, обнаруживать и устранять риски на ранних стадиях проекта, а также эффективно контролировать качество создаваемого продукта. Наработки данной методологии необходимо применить при построении модели КСЗИ.
Таким образом, при разработке модели процесса проектирования КСЗИ необходимо использовать надежный и многократно проверенный ООП совместно с отлаженной методологией RUP, что позволит избежать многочисленных ошибок на первых этапах создания КСЗИ.
4.7. Модель безопасности веб-портала
распределенной вычислительной grid-сети
В статье рассматриваются основные механизмы системы безопасности веб-порталов для grid-сетей. Дается обзор основных угроз для подобных веб-порталов, а также предлагается модель построения защищенного портала для grid-сети.
Ключевые слова: grid, веб-портал, распределенные вычисления, параллельные вычисления.
Технологии создания и использования систем высокопроизводительных вычислений постоянно совершенствуются, но наиболее перспективными с точки зрения соотношения конечного результата и трудозатрат на создание и поддержку благодаря своей уникальной структуре являются grid-сети. Технология grid-вычислений представляет собой виртуализированную параллельную распределенную вычислительную среду. Целью создания подобной среды является получение возможности динамического изменения цикла программы, распределения и объединения (географически) разделенных автономных ресурсов, основываясь на их возможностях, параметрах доступности, производительности и стоимости, а также на основе специфичности задачи организации и/или экстренной необходимости в вычислительных ресурсах.
На сегодняшний день одним из самых перспективных направлений развития grid-сред является создание grid-порталов, которые позволят всем пользователям высокопроизводительных вычислительных ресурсов получать быстрый и удобный доступ к ним через тонкий интерфейс web-оболочки.
Grid-портал это стандартный подход к обеспечению пользователям интерфейса для различных grid-приложений. Используя стандартные веб-технологии портал является простейшей графической средой доступа к сервисам grid-сети. Портал работает на самом высоком уровне относительно всех остальных составляющих сети grid (рис. 6).
Существует множество способов для организации подобных порталов, и практически все порталы на сегодняшний день используют в качестве базовой инфраструктуры grid инструментарий Globus Toolkit.
Система безопасности grid-портала должна решать следующие высокоуровневые задачи:
· Единая точка для создания учетных записей пользователей в хранилище идентификационных данных сети grid. (Single Sine On).
· Аутентификация пользователей на портале, позволяющая им в дальнейшем работать с ресурсами сети.
· Система управления единым доступом (Single Sine On). Система управления идентификационными данными пользователя для их автоматической передачи всем основным службам сети grid.
· Авторизация. Система, позволяющая администратору изменять права доступа пользователей на пользование ресурсами в глобальном списке прав пользователей.
Следует отметить, что данный перечень функций представляет собой минимально допустимый набор служб для функционирования веб-портала распределенной вычислительной сети.
Рис. 6. Трехуровневая схема среды Grid
Архитектура простейшего grid-портала изображена на рисунке 7. То есть grid-портал является веб-оболочкой для доступа к базовым сервисам сети grid, которые включают в себя инфраструктуру безопасности grid (основанную в свою очередь на инфраструктуре PKI), службу постановки задач в общую очередь, службу GSI-FTP для доступа пользователя к своим данным, и службу диспетчера для ресурсов хранения данных. Инфраструктура Grid Security Infrastructure (GSI) обеспечивает базовые механизмы для функционирования распределенной вычислительной сети и решает вопросы PKI-аутентификации, защиты канала передачи данных внутри сети и создания временных идентификационных данных для пользователей.
Рис. 7. Архитектура Grid-портала
Главной проблемой существующих веб-порталов является то, что ни один из них не является полноценной и полностью интегрированной составляющей среды grid. И с точки зрения злоумышленника, не обладающего физическим доступом ни к одному узлу сети, он будет являться самым слабым звеном в защите сети, а его атака – самым простым способом получения контроля над ее ресурсами.
Основными типами уязвимостей, характерных для grid-портала (как частного случая веб-приложения) являются:
· Непроверенные на допустимость получаемые от пользователей данные. Система может начать работу в соответствии с введенными пользователем в web-форму данными, не проверив их на допустимость, что может привести к непредсказуемым результатам.
· Ошибки в системе контроля доступа. Критично для интерфейсов администрирования
· Ошибки в подсистеме аутентификации и управления сессиями.
· Инъекции вредоносного кода.
· Неправильная обработка ошибок.
· Небезопасное хранилище идентификационных данных.
· Ошибки класса «Отказ в обслуживании»
· Переполнение буфера.
· Небезопасные механизм изменения конфигурации.
Основная особенность веб-портала, с которой связанны его дополнительные уязвимости. Это то, что grid-портал сам управляет идентификационными данными grid от имени своих пользователей. Вследствие чего в общем случае злоумышленник получив управление порталом, не имеет прямого доступа к ресурсам всей вычислительной сети, но он может получить полный доступ к идентификационным данным пользователей, что в свою очередь является критической угрозой безопасности всей распределенной вычислительной сети.
Для полноценной защиты необходим механизм связи подсистем безопасности веб-портала и основного программного инструментария среды grid. То есть включение непосредственно в портал модуля безопасности для обмена данными со службой GSI, чтобы она в свою очередь могла определять состояние портала с точки зрения безопасности. То есть осуществлять мониторинг сессий, журналирование событий и проверку целостности основных модулей.
Для реализации данной модели был создан веб-портал, в качестве технической базы которого был выбран инструментарий GridSphere 3.1. Для создания базовой инфраструктуры grid-сети использовано программное обеспечение Globus Toolkit 4.2.1. Таким образом, реализация модели представляет собой модуль PortalSecurityIntegration для инструментария GridSphere на программном языке Java. Данный модуль реализует механизм дополнительного взаимодействия системы безопасности портала со службой GSI. Модуль решает следующие задачи
· Мониторинг сессий всех пользователей на портале. Отслеживание действий пользователей с целью выявить попытки захвата контроля на порталом или увеличения своих полномочий в сети grid.
· Журналирование событий происходящих на портале в глобальном журнале событий GSI.
· Проверку целостности основных модулей сайта. Проверка целостности программного кода портала и выявление возможного использования злоумышленниками своего вредоносного кода.
· Проверка правомочности действий пользователей. Используется алгоритм для анализа всех совершаемых операции через портал с точки зрения текущей системы управления доверием, права на доступ на определенный ресурс, квоты, очередности поставленных на выполнение задач. Сам анализ осуществляется с помощью информации от подсистемы безопасности GSI о допустимости данных действий.
Глава 5. подготовка кадров для сферы информационной безопасности региона
К числу важнейших структурных преобразований в процессе формирования и развития любой отрасли относится профессионализация. Признаками профессионализации являются:
· формирование профессионального сообщества;
· системы профессиональных коммуникаций кадров;
· определение основных каналов миграции специалистов из смежных отраслей;
· выработка основных квалификационных требований к профессии, создание собственных технологий профессионального образования;
· формирование ценностных ориентаций в профессиональном сообществе;
· экспонирование образцов эффективной деятельности;
· стандартизация профессиональной деятельности и др.
Одной из ключевых тенденций развития любой отрасли и в том числе – отрасли информационной безопасности является инновационное развитие. Курс России на инновационное развитие, провозглашенный в конце ХХ – начале ХХI веков, повлек за собой формирование новой сферы производства – производства нововведений и превращение ее в ведущий хозяйственно-экономический и социокультурный уклад современного развития субъектов Российской Федерации. В настоящее время происходит масштабный переход от экономики производства товаров и услуг массового спроса к экономике производства и расширенного воспроизводства нововведений.
К сожалению, сегодня в обществе сформировался устойчивый стереотип, согласно которому инновации понимаются в технико-технологической традиции. Подробно этот вопрос изложен нами в публикации [23]. Этот стереотип, основанный на узком подходе к инновациям, тормозит инновационное развитие регионов России.
Дело в том, что инновации существовали на всех этапах развития человечества. Возникновение не только технических и технологических, но и социокультурных новаций всегда подготавливало, а затем обеспечивало переход общества на качественно новый уровень развития. , приводя в качестве примеров интеллектуальных открытий двухпольную систему в сельском хозяйстве, порох и мушкет, классно-урочную систему, двигатель внутреннего сгорания, компьютер, обращает внимание на то, что все они изменяли принятые способы думать и делать и, как следствие, – меняли сознание и самоопределение больших масс людей [187].
Между тем, общеизвестно, что изменение сознания – это весьма длительный процесс. Если технико-технологическая часть инновационного процесса занимает 12–25 лет, то изменения в сознании, перестройка систем обучения и подготовки кадров, социальных систем, политических институтов, культурных норм могут растягиваться на 30–50, а иногда и 100 лет. Поэтому мы солидарны с в том, что управление инновационным развитием предполагает наличие комплекса гуманитарных технологий, без которых само по себе научное открытие или техническое (инженерное) изобретение не обеспечивает ни создания, ни внедрения нововведения. Это технологии, включающие в себя специфические, гуманитарные методы и средства управленческой и проектной деятельности. Поэтому требуется длительная, интенсивная работа по разрушению устаревших, укоренившихся в общественном сознании стереотипов как по поводу уходящих в прошлое технологий деятельности в различных отраслях экономики, так и по поводу технико-технологического характера самого инновационного развития.
Главную роль в этом процессе играет профессиональное сообщество. Профессиональное сообщество – это добровольное объединение представителей отраслевого управления, науки, производства, рынка, образования в определённой отрасли деятельности для обмена опытом, совместного решения проблем этой отрасли и ее дальнейшего развития. Профессиональное сообщество является высшим проявлением зрелости профессионализации отрасли.
Как правило, консолидирует профессиональное сообщество образование, которое является промежуточным звеном в отраслевой системе «управление – наука – образование – практика». С одной стороны, профессиональное образование в большой мере зависит от требований заказчиков – работодателей, поскольку должно удовлетворять последних. С другой стороны, – содержание профессионального образования должно постоянно обновляться за счет результатов отраслевой науки, а также принимаемых решений органов отраслевого управления. Поэтому образовательные учреждения высшего профессионального образования для реализации своей миссии в отрасли вынуждены налаживать взаимодействие и с производственными предприятиями, и с органами управления, и с академической наукой. Что касается науки, то сами вузы являются субъектами научной деятельности, представляя собой вузовскую науку.
Большую роль в развитии профессионализации отрасли информационной безопасности и ее инновационном становлении в Челябинской области сыграла кафедра «Информационная безопасность», которая была создана в Южно-Уральском государственном университете в 1999 году.
В настоящее время кафедра «Информационная безопасность» – единственная в России ведет подготовку сразу по четырем направлениям информационной безопасности: защите информации (специальность 090103 «Организация и технология защиты информации»), управлению информацией и документацией и конфиденциальному делопроизводству (специальность 032001 «Документоведение и документационное обеспечение управления»), информационно-аналитическому обеспечению государственной политики, управления и внешнеэкономической деятельности (специальность 032101 «Регионоведение») и по социальной безопасности, информационно-психологической безопасности (специальность 040101 «Социальная работа»). Все направления возведены в «Доктрине информационной безопасности Российской Федерации» в статус национальных интересов России.
В сентябре 2003 года на кафедре был создан Центр дополнительного профессионального образования. Благодаря усилиям кафедры, решением Межведомственной комиссии по защите государственной тайны Российской Федерации (Решение № 95 от 01.01.2001) Южно-Уральский государственный университет был внесен в «Перечень учебных заведений, осуществляющих подготовку специалистов по вопросам защиты информации, составляющей государственную тайну, свидетельство об окончании которых дает руководителям предприятий, учреждений и организаций право на освобождение от государственной аттестации». Успешно началась и продолжается работа курсов повышения квалификации кадров по защите государственной тайны. В 2006 году на базе ЦДПО кафедры был создан Центр защиты информации ЮУрГУ.
В процессе обучения студенты и слушатели получают всестороннюю подготовку в области информационной безопасности. Отличительной чертой выпускников кафедры является их свободное владение системным подходом при решении профессиональных задач. На практике выпускники кафедры гармонично дополняют друг друга. Регионоведы обеспечивают информационную безопасность с точки зрения региональных внешнеполитических интересов. Документоведы создают системы документации и электронный документооборот и обеспечивают их защиту на предприятии, проектируют системы конфиденциального делопроизводства, системы защиты персональных данных в кадровых службах. Специалисты по защите информации создают и поддерживают комплексные системы информационной безопасности на предприятиях, в организациях, учреждениях, разрабатывают технологии аудита и средств автоматизации при подготовке к аттестационным испытаниям, создают и совершенствуют системы кадровой безопасности на предприятиях. Специалисты по социальной работе обеспечивают социальную безопасность сотрудников предприятия, в том числе с помощью средств и механизмов защиты от негативных информационных воздействий. Высокий уровень теоретической и практической подготовки выпускников кафедры дает им широкие возможности карьерного роста по специальности. В настоящее время выпускники кафедры работают в органах государственной власти (в органах ФСБ, ФНС, МВД, Министерствах, отделениях Пенсионного фонда, других государственных ведомствах), на предприятиях оборонно-промышленного комплекса, в банках, а также в крупных бизнес-структурах.
Кафедра прилагает много усилий, чтобы сделать обучение максимально практико-ориентированным, чутко реагирует на изменения потребностей рынка, работодателей, с которыми она поддерживает тесные контакты. Так, практику студенты кафедры проходят в силовых структурах (ФСБ, МВД), Администрации Челябинской области и города Челябинска, в Представительстве Министерства иностранных дел России в Уральском Федеральном округе, на Южно-Уральской железной дороге, в Южно-Уральской Торгово-промышленной палате, в банках, на нефтегазовых и энергетических предприятиях и др. С 2007 года кафедрой организуется практика студентов в Министерстве иностранных дел в Москве. Для адаптации к изменяющимся потребностям рынка труда кафедра разрабатывает новые специализации, способные эти потребности не только удовлетворить в настоящее время, но и предугадать в будущем. По инициативе и усилиями кафедры в 2001–2006 годы впервые в России открыты специализации: «Проектирование информационно-документационных систем управления», «Офис-менеджмент», «Информационно-документационное обеспечение управления на иностранном языке», «Конфиденциальное делопроизводство», «Документирование систем менеджмента качества» (специальность 032001 «Документоведение и документационное обеспечение управления»), «Безопасность принятия управленческих решений» (специальность 090103 «Организация и технология защиты информации»).
За время существования кафедрой созданы специализированные учебные лаборатории: «Моделирование процессов защиты информации в сложных системах», «Конфиденциальное делопроизводство», «Информационно-аналитическое обеспечение регионального управления», «Система управления информационной безопасностью защищаемого помещения», лаборатория инженерно-технической защиты информации и др. Лаборатории оснащены стендами для изучения технических средств защиты информации, основных технологических циклов защиты информации, современными компьютерами и специальным программным обеспечением, современным оборудованием, позволяющим имитировать любые виды атак на компьютерные сети и организацию их отражения, создавать реальные корпоративные компьютерные сети любой конфигурации и сложности, организовывать их взаимодействие и защиту от несанкционированного доступа к информации в них, проводить тестирование уязвимости программного обеспечения и средств защиты информации, установленных в корпоративной сети и др. Это дает возможность на практике осваивать полный цикл проектирования систем защиты информации, защищенных систем документационного обеспечения управления, систем информационно-аналитического обеспечения управления.
Программное обеспечение поставляется по программе MSDNAA, в рамках сотрудничества кафедры c фирмой Microsoft, что позволяет устанавливать и изучать самые последние лицензионные программные продукты в области информационных технологий по защите информации. Лицензионные программно-аппаратные комплексы защиты информации VipNet и SecretNet, сертифицированные ФСТЭК России, позволяют студентам приобрести навыки в установке, настройке и администрировании средств защиты информации, применяемых в государственных и коммерческих организациях; интегрированный комплекс «Орион» – научиться организовать защиту от несанкционированного проникновения на охраняемые объекты; интегрированная система безопасности «Инспектор+» совместно с установленными камерами видеонаблюдения – освоить технологии организации комплексной защиты охраняемых объектов от несанкционированного доступа и др.
Научно-технической базой обучения студентов являются также инновационные площадки кафедры – лидеры рынка защиты информации в Челябинской области, лицензиаты ФСБ и ФСТЭК безопасности» и консалтинговый центр «Аста-информ». Предприятия оказывают техническую и кадровую поддержку учебному процессу. Совместно со специалистами этих и других предприятий по защите информации профессорско-преподавательский состав и студенты кафедры изучают специфику систем защиты информации в государственных учреждениях и коммерческих структурах, в том числе – в рамках совместных хоздоговорных исследований.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
