Пояснительная записка к проекту профессионального стандарта



страница1/6
Дата15.02.2017
Размер0.69 Mb.
Просмотров545
Скачиваний0
ТипПояснительная записка
  1   2   3   4   5   6

Пояснительная записка к проекту профессионального стандарта

  • Общая характеристика вида профессиональной деятельности, обобщенных трудовых функций

Обеспечение информационной безопасности является многогранным и сложным видом профессиональной деятельности, требующим реализации скоординированных мероприятий по следующим направлениям:

  1. Аналитическая деятельность в области систем безопасности

  2. Противодействие техническим разведкам

  3. Компьютерная безопасность

  4. Техническая защита информации

  5. Аудит и аттестация объектов информатизации

  6. Безопасность связи

  7. Информационно-аналитическая техническая экспертиза

  8. Техническая экспертиза компьютерных систем

  9. Безопасность информационных ресурсов и информационных систем

  10. Безопасность компьютерных систем, сетей и баз данных

  11. Экспертиза и анализ защищенности компьютерных систем

  12. Безопасность распределенных компьютерных систем

  13. Безопасность высокопроизводительных вычислительных систем

  14. Консультирование по компьютерной безопасности

  15. Программное обеспечение систем защиты информации

  16. Администрирование безопасности информации

  17. Безопасность автоматизированных систем

  18. Управление информационной безопасностью

  19. Организация защиты информации

  20. Консультирование по информационной безопасности

  21. Проектирование систем защиты информации

  22. Конструирование систем защиты информации

  23. Маркетинговая деятельность в области услуг и средств защиты информации

Из этого перечисления можно сделать вывод, что для такого вида профессиональной деятельности как обеспечение информационной безопасности необходимо разрабатывать не один, а несколько профессиональных стандартов. Данный профессиональный стандарт, имея наименование «Специалист по информационной безопасности» (в соответствии с госконтрактом) раскрывает одно из перечисленных направлений вида профессиональной деятельности, а именно компьютерную безопасность.

Разработчики проекта стандарта выделили три обобщенные трудовые функции, характерные в практической деятельности обеспечения компьютерной безопасности, когда главное внимание уделяется защищенности компьютерных систем от вредоносных технических воздействий:
Эксплуатация защищенных КС и применение методов и средств обеспечения их безопасности (пятый уровень квалификации);

Администрирование и эксплуатация аппаратно-программных средств защиты информации в компьютерных системах (шестой уровень квалификации);

Разработка и применение методов оценивания уровня безопасности компьютерных систем, сертификация программного обеспечения, аттестация объектов информатизации (седьмой и восьмой уровни квалификации).


  • Основные этапы разработки проекта профессионального стандарта

К основным этапам разработки проекта профессионального стандарта в соответствии с техническим заданием можно отнести

1. Подготовка проекта профессионального стандарта, которая включала:



- формирование экспертной группы, в состав которой вошли руководители и специалисты-эксперты по теме лота, специалисты в области управления, обучения и развития персонала, нормирования и охраны труда, другие специалисты (21 чел.)

№п/п

ФИО

Организация

Должность



Алешников С.И.

БГУ им. И. Канта

Зав. кафедрой КБ



Анищенко Д.

филиал ВАС (г. Краснодар)

Начальник УМО



Белов Е.Б.

УМО ИБ

Заместитель председателя совета



Бражников А. Е.




НП «СЗИ»

Председатель



Войналович В.Ю.

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Начальник управления



Григорьев В.Р.

ЗАО «РНТ»

Главный научный консультант



Девянин П.Н.

УМО ИБ

Член УМС



Емельянов Г.В.

МОО «АЗИ»

Президент



Журавлев С.И.

МГУПИ

Директор Центра специального назначения МГУПИ (по защите информации)



Зубков А.Н.

ЗАО «Авангард Центр»

Генеральный директор



Конявский В.А.

ФГУП ВНИИПВТИ

научный руководитель ФГУП ВНИИПВТИ



Лось В.П.

ФГУП «НПП»Гамма»

Заместитель генерального директора по науке



Малинин Ю.В.

МОО «АЗИ»

Руководитель комитета



Марченко А.В.

ФСТЭК России

Советник отдела управления ФСТЭК России



Набока Ю.И.

ФГУП «НПП»Гамма»

Заместитель начальника департамента информационных технологий



Пискунов А.М.

ФГУП «НПП»Гамма»

Начальник департамента АХР, специалист по нормированию и охране труда,



Проскурин В.Г.

УМО ИБ

Член УМС



Соколов А.В.

АП КИТ

Руководитель комитета по вопросам информационной безопасности



Толстой А.И.

НИЯУ МИФИ

доцент кафедры «Информационная безопасность банковских систем»



Черемушкин А.В.

УМО ИБ

Руководитель учебно-методической секции (УМС) по компьютерной безопасности



Суворов А.В.

ФГУП «НПП»Гамма»

Главный инженер, специалист по нормированию и охране труда


- проведение анализа состояния и перспектив развития вида профессиональной деятельности с учетом отечественных и международных тенденций (см. п. 3 отчета):

  1. Результаты анализа состояния и перспектив развития видов профессиональной деятельности с учетом отечественных и международных тенденций

Первоначально проблема обеспечения безопасности данных возникла при расширении круга пользователей ЭВМ и вычислительных систем. Увеличение количества ЭВМ и областей их применения объективно создало предпосылки для модификации, хищения и уничтожения данных. Появление автоматизированных информационных систем еще более усугубило проблему обеспечения безопасности данных. В рамках данного исследования можно выделить следующие этапы развития концепции обеспечения компьютерной безопасности.

Центральной идеей начального этапа являлось намерение обеспечить безопасность данных механизмами, функционирующими по строго формальным алгоритмам. Для создания таких механизмов использовались технические и, в основном, программные средства. Программные средства защиты включались в состав операционных систем (ОС) или систем управления базами данных (СУБД). Слабым звеном разработанных механизмов защиты оказался механизм защиты доступа пользователя к данным. Поэтому следующим шагом к повышению эффективности защиты стала организация дифференцированного доступа к данным. Однако, всесторонние испытания таких систем, как MULTICS и ADEPT-50 показали, что указанные системы, с точки зрения обеспечения безопасности данных, имеют множество недостатков.

В 1960-х и 70-х годах основное внимание было сосредоточено на разработке методов защиты данных, обрабатываемых на компьютере, и повышении отказоустойчивых решений в области обработки информации в автоматизированных системах, построенных в основном на основе централизованных систем и терминального доступа. Поэтому тогда говорили о защите данных (data security) в компьютерных системах.

В 1980-х годах с появлением персональных компьютеров возникла необходимость в разработке средств защиты от копирования и несанкционированного использования программ, появились первые криптографические стандарты защиты данных, а также были разработаны критерии оценки безопасности операционных систем компьютерных систем, определяющие различные системы разграничения доступа. Появился термин компьютерная безопасность (computer security). Получила распространение триединая модель confidentiality, integrity, availability (CIA) для определения задач компьютерной безопасности.

В 1990-х годах с интенсивным развитием сетевых компьютерных технологий и появлением распределенных компьютерных систем основные усилия специалистов были направлены на решение следующих задач: обеспечение безопасности сетевого и межсетевого взаимодействия;, разграничение доступа к распределенным ресурсам; комплексное обеспечение безопасности информации в распределенной автоматизированной системе. Большое развитие получили клиент-серверные технологии доступа. Средства защиты стали встроенными в большинство создаваемых промышленных продуктов. В это же время был накоплен опыт расследования и пресечения компьютерных преступлений. Несмотря на развитие теории и реализацию в практических системах технологий обеспечения компьютерной безопасности, объем ущерба, наносимого в результате компьютерных инцидентов, возрастал. Появилось осознание того, что информационные ресурсы организации или государства являются важным объектом экономической инфраструктуры. Стало понятно, что обеспечение безопасности объектов информатизации, обладающих определенной ценностью, требует привлечения различных ресурсов (людских, организационных, программно-технических) и построения системы мер и методов защиты. Поэтому в научной литературе, а затем и в средствах массовой информации стали использовать термин информационная безопасность (information security).

Кроме того, в государственных структурах, а потом и в криминальных сообществах появилось много средств скрытого информационного воздействия на работу автоматизированных систем. В военную доктрину многих стран было включено понятие информационной войны и информационного оружия. Появилось понятие критических информационных систем.

Уточнено понятие CIA-модели для представления основных составных свойств и возможностей, гарантирующих безопасность: доступность (Availability); целостность (Integrity); аутентификация (Authentication); конфиденциальность (Confidentiality); Невозможность отказа от ранее совершенных действий (Nonrepudiation); восстановление (Restoration).

Накопленный опыт в области обеспечения безопасности данных, а также усиление тенденции к стандартизации и унификации средств автоматизации информационных процессов позволили перейти к разработке методов, моделей и алгоритмов управления защитой данных в автоматизированных системах. Начало XXI века характеризуется наличием большого числа многофункциональных систем высокой степени интеграции, вобравших в себя последние достижения в развитии технологий обработки, хранения и передачи информации. В конце XX века формируются основы теории обеспечения информационной безопасности как направления научных исследований. Теория приобретает определенную структуру, организуются специализированные институты и международные сообщества исследователей, проводятся тематические научные конференции.

К основным особенностям современного этапа развития теории компьютерной безопасности, влияющим на перспективы развития видов профессиональной деятельности с учетом отечественных и международных тенденций относятся:

1. Высокая интеграция информационных систем. Это привело к необходимости поиска комплексных решений в области разработки методов обеспечения информационной безопасности, учитывающих особенности работы операционных систем, сетевого многоуровневого взаимодействия и прикладных программ и сервисных приложений, ориентированных на решение различных информационных задач.

2. Усложнение информационных технологий передачи, обработки и хранения информации в сочетании с их широкой доступностью. Простота доступа и широкая аудитория являются принципиальным требованием для некоторых категорий систем: платежные системы, электронные магазины, сайты государственных структур и т.п.

3. Широкий спектр аппаратных платформ, от карманных до Hi-End компьютеров.

4. Развитие сетевых технологий и телекоммуникаций с различной архитектурой и коммуникационными протоколами, большим набором сетевых служб и сервисов, широкое использование сервис-ориентированной архитектуры. Эта особенность, с одной стороны, расширяет возможности организации скрытого взаимодействия и обеспечения анонимности, а, с другой стороны, повышает требования к безопасности работы в недоверенном и зачастую агрессивном окружении. Появление новых видов сетевого взаимодействия, включая интенсивное развитие аппаратных средств и протоколов беспроводной и мобильной связи, приводит к необходимости расширения и совершенствования методов защиты, учитывающих особенности новых технологий организации доступа и обработки информации.

5. Наличие большого числа международных организаций, координирующих разработки и осуществляющих стандартизацию в областях:


  • разработки оборудования и программного обеспечения (IEEE/ACM);

  • требований в области КБ (протоколов взаимодействия (IETF), механизмов защиты (ISO), оценки уровня защищенности);

  • образования в этих областях (IEEE/ACM).

6. Появление детальных и высокоразвитых стандартов в области:

  • средств безопасности межсетевого взаимодействия (несколько тысяч документов *.rfc организации IETF);

  • оценки защищенности (ISO 15408);

  • организационных требований к технологиям обеспечения информационной безопасности и аудиту уровня обеспечения информационной безопасности (ISO 17799, BS 7799, part 2, CoBIT);

  • образования в области компьютерных наук (Computing Curricula 2001, Curriculum Guidelines 2004).

7. Постоянное обновление имеющегося и появление большого числа разнообразного несертифицированного программного обеспечения иностранных производителей, широко используемого в нашей стране, в том числе и в критически важных областях экономики и сферы государственного управления.

8. Недостаточно высокая надежность доступного на потребительском рынке оборудования. Это требует принятия мер повышения надежности и, в том числе, разработки методов обеспечения бесперебойной работы автоматизированных систем, методов и технологий быстрого восстановления систем передачи и обработки информации.

9. Расширение спектра свойств, характеризующих безопасность (только для протоколов – 20 свойств в документах IETF).

10. Появление и широкое использование развитых программных систем со встроенными средствами защиты (операционные системы, промышленные СУБД, электронные платежные системы).

11. Появление сложных организационных, технологических, криптографических и правовых проблем в связи с широким внедрением в государственных структурах и субъектах экономической деятельности систем электронного документооборота. Проблема создания юридически значимого электронного документооборота особенно усложнена отсутствием отечественных разработок в области текстовых процессоров и других современных средств обработки, сопровождения и архивирования документов, занимающих сколько-нибудь заметное место на рынке. Для защиты электронного документооборота в РФ был принят Федеральный закон «Об электронной цифровой подписи» и разработан проект закона об электронном документе. Происходило активное внедрение нового государственного стандарта электронной цифровой подписи на основе эллиптических кривых и разработка возможных вариантов реализации удостоверяющего центра. Вместе с тем, пока остается много нерешенных технических проблем с обеспечением безопасности удостоверяющих центров.

12. Широкое распространение систем сокрытия информации, включая стеганографические системы и близкие области: цифровые водные знаки, цифровые метки. Это привело к появлению нового научного направления, связанного с одной стороны с разработкой новых алгоритмов, обладающих стойкостью к обнаружению и извлечению вложенной информации, а с другой стороны, с разработкой методов обнаружения такой информации.

13. Значительно увеличилось число и усложнился характер возможных угроз утечки секретной и конфиденциальной информации за счет расширения возможностей доступа к средствам хранения, обработки и передачи информации и большого многообразия средств возможного воздействия с целью изменения ее содержания.

14. Дальнейшее повышение технологического уровня и совершенствование тактики компьютерных атак. При общем уменьшении числа различных атак сами атаки значительно усложняются и становятся более изощренными. Появляются новые классы атак с широкими функциональными возможностями, обладающие небольшим программным кодом, способные самостоятельно маскировать свое присутствие в системе, и предоставляющие разработчику практически неограниченные возможности в плане воздействия на систему. Несмотря на отсутствие значительных вирусных эпидемий, наблюдалось появление возрастающего числа новых компьютерных вирусов и других вредоносных программных агентов.

15. Осуществлялось дальнейшее наращивание арсенала сертифицированных средств защиты информации в информационно-телекоммуникационных и банковских системах передачи данных, а также в системах, использующих интеллектуальные пластиковые карты. Однако рынок средств защиты отечественного производства занимает очень малую долю на фоне многочисленных зарубежных продуктов, которые при меньшей цене обладают большей совместимостью с распространенными системами и большим набором предоставляемых сервисов, проигрывая только в вопросах надежности защиты.

16. Новым перспективным направлением, связанным с аутентификацией и проверкой целостности, является разработка средств и методов, в том числе с применения криптографии, для защиты нового поколения документов, в которых для повышения надежности идентификации владельца используются биометрические параметры. Основной задачей здесь является обеспечение практической невозможности подделки или дублирования документов, удостоверяющих личность. Значение этого для борьбы с преступностью и терроризмом не нуждается в дополнительных объяснениях. Сюда же относится и проблема создания на территории РФ национальной идентификационной системы, элементы которой уже внедрены в различных регионах, включая социальные карты, электронные паспорта, и т.п.

17. Еще одна серьезная проблема, которая возникла в последние годы и может заметно изменить положение дел с уровнем обеспечения информационной безопасности в автоматизированных системах государственных и негосударственных структур, связана с вхождением России в состав ВТО. По требованию этой организации в России принят Федеральный Закон № 184 от 27.12.2002 г. «О техническом регулировании», согласно которому с 30.06.2010 г. прекращается действие всех действующих государственные стандартов и осуществляется переход к специальным техническим регламентам (СТР), которые должны были к этому времени разработаны. При этом утвержден новый подход к порядку лицензирования и сертификации продуктов. По этому закону государственному контролю, и, в том числе лицензированию и сертификации, подлежат только те сферы, которые могут потенциально нанести вред жизни и здоровью потребителей. Поскольку информационные технологии подпадают под его действие, то в сфере информационной безопасности также должны быть разработаны и утверждены новые документы взамен существующих стандартов. Понятно, что здесь возникнет масса проблем с регулированием разработки и применения средств защиты информации, и прежде всего, основанной на применении криптографических методов.

18. Можно констатировать устойчивый интерес рынка к выпускникам высших учебных заведений по специальности «Компьютерная безопасность». Официальный прогноз потребности государственных структур на период до 2015 года (в целом по специалистам в области информационной безопасности): от 4000 до 5000 специалистов в год. В то же время значительная часть выпускников реально идет работать в частный сектор экономики России. Уровень подготовки специалистов в различных вузах России заметно различается. Представленная научная и учебная литература по тематике компьютерной безопасности также сильно отличается качеством. С одной стороны, на рынке представлено несколько десятков учебных пособий (и единицы учебников) для специальности «Компьютерная безопасность», имеющих грифы Минобрнауки или профильного УМО. С другой стороны, уровень некоторых научных публикаций и учебной литературы, особенно в области дисциплин криптографического цикла и смежных областей знания, весьма низкий.

19. В России сформировался рынок организаций, представляющих собственные решения в области компьютерной безопасности, и фирм-интеграторов, предлагающих комплексные решения по обеспечению информационной безопасности организаций и предприятий. Знакомство студентов с продуктами отечественных производителей при проведении практических занятий находится на зачаточном уровне, хотя со стороны промышленности проявляется готовность поиска специальных условий поставки продуктов для учебных заведений.

20. В последнее время получило определенное развитие направление, связанное с анализом и управлением информационными рисками. Расширяются исследования в области автоматизации контроля и аудита информационной безопасности автоматизированных систем различного назначения. В совокупности можно говорить о развитии направления экономики информационной безопасности.





Поделитесь с Вашими друзьями:
  1   2   3   4   5   6


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал