< Попер   ЗМІСТ   Наст >

Аналіз підготовки фахівців з інформаційної безпеки у Сполучених Штатах Америки

Важливою особливістю розвитку системи підготовки фахівців ІБ у США є гармонійне поєднання зусиль федеральних органів, регіональних, відомчих та громадських структур. Для цього, починаючи щез 1991 року, створені:

агентство з захисту інформаційних систем (.Defense Information Systems Agency – DISA)•

національний центр захисту інфраструктури (NIPC), який об'єднує представників влади, військових і приватного сектора;

міжнародна асоціація фахівців комп'ютерних досліджень (IACIS); національний союз кібербезпеки, створений спільно урядом і промисловцями США.

Суттєвий розвиток системи підготовки фахівців ІБ у Сполучених Штатах Америки з початку 21 сторіччя був визначений наступними нормативними документами:

"Національною стратегією безпеки у кіберпросторі" ("National Strategy to Secure Cyberspace", 2003), яка визначила п'ять пріоритетів із забезпечення інформаційної безпеки і основні завдання в рамках цих пріоритетів на середньо і довгострокову перспективу. Серед пріоритетів – забезпечення підготовки фахівців у сфері комп'ютерної безпеки та забезпечення відповідального відношення усього населення країни до питань захисту інформації (4 завдання: реалізація комплексної загальнонаціональної програми з інформування і розвитку відповідального відношення населення країни до забезпечення безпеки інформаційних систем; заохочення створення новітніх програм підготовки фахівців ІБ; підвищення ефективності існуючих програм підготовки фахівців ІБ; підтримання зусиль приватних компаній по створенню, розповсюдженню і забезпеченню загального визнання сертифікованого програмного забезпечення).

"Національною воєнною стратегією операцій у кіберпросторі" (2006), в якій серед п'яти основних напрямів було визначено необхідність організаційних заходів з підготовки військових фахівців ІБ;

"Комплексною національною ініціативою (Програмою), забезпечення кібербезпеки" ("The Comprehensive National Cybersecurity Initiative", 2008), до реалізації якої залучені більшість федеральних відомств США, спеціальні органи уряду, урядів штатів та органів державного управління (ОДУ) місцевого рівня, комерційних структур, відповідальні за кібербезпеку. Восьмим напрямом Програми є: "...Розгортання спеціальної і загальної кіберосвіти. Це повинно стати Національною стратегію кіберосвіти (за прикладом Національної стратегії математичної освіти в 50-х – 60-х роках для протидії СРСР у космічній галузі)"...

В останній час військове відомство США вважає корисним публікацію окремих нетаємних складових офіційних нормативних документів для підвищення інформованості суспільства про потенційні загрози національній (інформаційній) безпеці. Як наслідок, американське суспільство починає отримувати позитивні результати "інформаційної революції" у вигляді єдиних універсальних стандартів інформаційної безпеки, які застосовуються як у воєнному, так і у цивільному (приватному) секторах.

Аналітики ""Gardner Group" (США) вважають, що ринок праці у сфері інформаційних технологій налічує не менш ніж 1,6 млн робочих місць щороку, причому більше половини вакансій до кінця року так і залишаються вільними. Значну частину серед них становлять фахівці ІБ.

Підготовка фахівців ІБ (як переважно технічного, так і гуманітарного напряму) проводиться в розвиненій мережі вищих навчальних закладів (за даними АНБ у 2012 році програми з ІБ були впроваджені у 190 ВНЗ). Найбільш розповсюдженими і затребуваними програмами підготовки фахівців освітньо-кваліфікаційного рівня бакалавра є ті, що пов'язані з розслідуванням комп'ютерних інцидентів, далі – інформаційна безпека, комп'ютерна безпека, безпека комп'ютерних мереж. За цими ж напрямами студенти мають можливість отримати ступінь магістра.

Але й за таких масштабів, відповідно до аналізу Г. Ю. Маклакова, станом на 2005 рік дефіцит кадрів ІБ у США складав майже 50 тис. осіб, причому найбільші проблеми відмічались з підготовкою юристів з розслідування комп'ютерної злочинності та менеджерів великих інформаційних проектів (неукомплектованість до 65 %). Станом на 2006 рік 50 % фахівців досягли пенсійного віку.

За результатами досліджень Асоціації комп'ютерних технологій США у 2012 році 22% респондентів відмічають, що їх співробітники не проходили спеціальної підготовки з боротьби з несанкціонованими вторгненнями у комп'ютерні мережі, а 96% опитаних компаній стверджують, що підготовка спеціалістів ІБ критично необхідна, так як більше 63% ідентифікованих порушень в корпораціях пов'язані з фактором людини.

За поглядами фахівців ІБ США першочергова роль у системі забезпечення ІБ повинна належати питанням навчання персоналу. Алан Сміт (Allan R. Smith), президент компанії RISK Management стверджує: "Механічний міжмережний екран сам по собі – не вирішення проблеми. Інформаційна безпека – це позиція. Якщо організація не віддана ідеї просвіти своїх співробітників, то вона може опинитись на місці злочину в якості жертви. Інформаційна безпека починається з навчання і існує тільки завдячуючи жорстко зайнятій позиції".

Для забезпечення національних потреб у фахівцях ІБ США також активно використовують міграційні механізми, за якими періодично отримують запрошення десятки тисяч фахівців, у тому числі з країн СНД.

Основним координатором з питань інформаційної безпеки, зокрема з підготовки фахівців ІБ, є Агентство національної безпеки (АНБ, NSA), яке тісно співпрацює з Міністерством оборони (МО), його структурним підрозділом DISA, а також ЦРУ, ФБР, НАСА, Міністерством фінансів, Мінюстом, Міненерго. Високому рівню організації взаємодії між різними федеральними відомствами, особливо між АНБ, ФБР та МО, сприяє спільна підготовка фахівців 1Б, обмін кадрами, в тому числі одночасне призначення високопосадовців, наприклад АНБ чи ФБР на посади заступників відповідних структур з ІБ в міністерстві оборони тощо.

Агентство національної безпеки ще в 1999 році сформувало ряд центрів післявузівської освіти, а з 2000 року додало до них 14 провідних університетів США. Практика безпосередньої співпраці АНБ з провідними університетами країни продовжується і на даний час. Тільки у 2012 році на базі Державного університету Дакоти, Вищої морської школи, Північно- Східного університету і Університету Талси були створені Центри підготовки фахівців в галузі кібербезпеки.

Державний департамент США організував навчання урядових чиновників (10 тис. осіб на рік) за федеральною програмою забезпечення безпеки інформаційних технологій (125 млн дол. на рік).

Професійна підготовка персоналу відповідно до нових вимог у галузі ІБ стала ключовим напрямом реалізації програми DIAP, в рамках якої на навчання тільки з 2001 по 2004 рік було виділено більше 80 млн дол. для відкриття спеціалізованих курсів дистанційного навчання (більше 20) у ""віртуальному університеті інформаційної безпеки" на базі Інтернет-сайтів. Навчання основам ""стратегії глибокого ешелонованого захисту інформаційних ресурсів" за цей час пройшли адміністратори (2 тижні) і решта фахівців (3-5 днів) майже з усіх федеральних відомств, зокрема ЦРУ, ФБР, НАСА, Мінфіну, Мінюсту, Міненерго та ін., усього не менше 100 тис. дипломованих фахівців ІБ, ""готових до будь-яких несподіванок у кіберпросторі".

На початку 2008 року президент США Джордж Буш підписав розпорядження, що розширює повноваження АНБ щодо боротьби з кіберзагрозами. На утворену в підпорядкуванні директора агентства спеціальну комісію було покладено завдання з управління діяльністю федеральних міністерств і відомств у сфері виявлення і знищення джерел кібератак проти урядових мереж. Відповідно до розпорядження всі ці мережі повинні відповідати таким нормативам: виявлення кіберзагрози, управління системою безпеки, спеціалізоване навчання персоналу, електронна охорона периметра найважливіших об'єктів, фізичний захист ключових електронних вузлів системи, екстрене оповіщення про аварійні ситуації, планування відновлення працездатності мережі.

Проблеми кадрового забезпечення ще більше загострилися після створення у США у 2009 році національної системи кібербезпеки (СКБ), яка включає федеральний та регіональні органи управління, сили та засоби МО США, АНБ, Міністерства внутрішньої безпеки (МВБ), інших відомств, регіональних та комерційних структур (рис. 2).

Національна система кібербезпеки США.

Рис. 2. Національна система кібербезпеки США.

В США дійшли висновку про доцільність введення до навчальних планів підготовки технічних фахівців питань нормативно-правового забезпечення ІБ та профілактики комп'ютерної злочинності, а в навчальні плани підготовки фахівців з інформаційного права – питання методики розслідування комп'ютерних злочинів та деякі технічні дисципліни.

Система стандартів вищої освіти та сертифікації якості підготовки фахівців з більшості галузей знань у США є децентралізованою і забезпечується комісіями штатів (регіональними комісіями з акредитації). Водночас стандартизацією і сертифікацією підготовки фахівців ІБ у США займається федеральний орган – Рада з акредитації програм у галузі техніки і технологій (Accreditation Board for Engineering and Technology – ABET). Це, в першу чергу, напрями: комп'ютерні науки, комп'ютерна і системна інженерія (Computer Science, Computer Engineering, Systems Engineering).

Крім цього, одним з напрямів удосконалення системи підготовки фахівців ІБ є створення за ініціативою США міжнародних консорціумів. Світовим лідером з сертифікації фахівців ІБ є міжнародний консорціум з сертифікації в галузі безпеки інформаційних систем: International Information Systems Security Certification Consortium, Inc. – (ISC)2, який базується у Фремінгемі (Масачусетс) і Відні, а також має офіси у Лондоні й Гонконгу. (ISC)2 є головною некомерційною організацією із забезпечення діагностування підготовки фахівців ІБ за стандартом професійної сертифікації, заснованому на ""загальноприйнятому обсязі знань" (Common Body of Knowledge, ""CBK") (ISC)2.

З часу заснування у 1989 році (ISC)2 вже сертифікував десятки тисяч фахівців ІБ з більш як 100 країн. З 2003 року (ISC)2 розпочав співробітництво з московським навчальним центром Мікроінформ з метою спільної організації навчання та сертифікаційних екзаменів фахівців ІБ Російської Федерації, СНД та країн Балтії.

СВК складається з десяти сфер (доменів):

методи управління інформаційною безпекою;

архітектура та моделі безпеки;

методологія і системи управління доступом;

безпека розробки додатків і систем;

безпека операцій;

фізична безпека;

криптографія;

безпека телекомунікацій, мережі Інтернет;

планування безперервності бізнесу та планування відновлення після збоїв;

законодавство, розслідування і етика.

Тобто для можливості міжнародної сертифікації фахівців, національні стандарти в галузі знань ІБ повинні мати відповідні змістовні складові.

Найбільш потужна система підготовки фахівців ІБ створена в США для кадрового забезпечення Об'єднаного кіберкомандування, деяких інших компонентів ЗС США, а також АНБ. Аналіз переліку ВНЗ (ВВНЗ), з якими АНБ уклало угоди на підготовку фахівців КБ, свідчить саме про єдину систему підготовки фахівців КБ. У той же час, гостра невідповідність між можливостями системи підготовки фахівців та потребами кадрового забезпечення примушує залучати до перепідготовки та тимчасової роботи за контрактом цивільних фахівців, використовувати механізми залучення фахівців через Національну гвардію тощо. Аналіз кадрового забезпечення СКБ США визначає такі основні форми:

отримання фахової підготовки у видових академіях за спеціалізаціями СКБ на тактичному рівні (ТР);

підготовка у цивільних ВНЗ за напрямами СКБ за програмами ROTC;

відбір студентів у ВНЗ та проведення їх спеціалізації в навчальних центрах і ВВНЗ за контрактом з АНБ, МО, МВБ;

навчання військовослужбовців ЗС США за контрактом (які не мають офіцерських звань) у профільних військових школах та навчальних центрах;

перепідготовка фахівців ІБ на базі ВНЗ (ВВНЗ), навчальних центрів та різноманітних курсів;

отримання вищої військової освіти у видових командно-штабних коледжах і Національному університеті оборони за напрямом ІБ на оперативно-тактичному/стратегічному рівні (ОТР/ОСР);

тимчасовий призов цивільних фахівців ІБ через підрозділи національної гвардії;

залучення до роботи в СКБ за контрактом фахівців різних галузей, хакерів тощо.

Аналіз системи підготовки фахівців у США показує її гнучкість та оперативність. Практика проведення спільних навчань з кіберзахисту дозволяє забезпечити порівняльність рівня навчання кадетів видових академій і слухачів коледжів, активізацію їх навчання через змагальність, поширення досвіду між ВВНЗ та впровадження уніфікованих навчальних модулів.

Важливу роль, як відомчу, так і в національному масштабі, відіграє Міністерство оборони, в якому для удосконалення методів навчання створений спеціальний підрозділ – "Управління програм з інформаційної безпеки" (Information Assurance Program Office). Одним з його здобутків є те, що сформовані й реалізуються програми всебічного навчання, тренування й інформування (Education, Training and Awareness) військовослужбовців, цивільного персоналу і службовців за контрактом. Для усіх користувачів інформаційних систем встановлений необхідний мінімум базових знань у галузі інформаційної безпеки, без якого вони не можуть бути допущені до роботи, причому увесь персонал повинен проходити щорічну перепідготовку. Навчально-методичні матеріали, які створені фахівцями управління, активно впроваджуються для навчання і тестування персоналу інших відомств.

Підготовка військових фахівців ІБ (зокрема для відповідних федеральних відомств) проводиться у більшості базових ВВНЗ МО США, провідними серед них є:

університет інформаційних технологій (Форт Гордон);

технологічний університет Військово-Повітряних сил (ВПС, Райт- Патерсон);

факультети електронної інженерії і комп'ютерних наук трьох видових військових академій МО США;

коледж інформаційного менеджменту університету національної оборони (Форт Макнейр), який ще називають школою інформаційної війни і стратегії;

центр і школу спеціальних методів війни імені Дж. Ф. Кеннеді (Форт- Брег) та ін.

Навчальні підрозділи цих ВВНЗ інтегровані з науково-дослідними, що забезпечує достатній науковий рівень і сучасну практичну підготовку фахівців. Наприклад, у військовій академії Вест-Пойнт це факультет електронної інженерії і комп'ютерних наук та академічний навчальний і науково-дослідний центр інформаційних технологій і операцій, у складі якого є "Лабораторія досліджень і аналізу інформаційної війни". Необхідно зазначити, що за останні роки саме кадети Вест-Пойнту ставали переможцями навчань – змагань з кібернетичного захисту "Cyber Defense Exercise" між шістьма провідними академіями США за участю АНБ.

Спеціальні навчальні курси з інформаційної безпеки передбачені і в інших ВВНЗ, які надають військову освіту на різних рівнях.

Також практична підготовка (спеціалізація) фахівців проводиться в інших військових навчальних підрозділах, центрах ІБ, навчання в яких є складовою основної освітньо-професійної програми чи післявузівської підготовки. До таких центрів можна віднести центри інформаційної боротьби

видів збройних сил, навчальні курси (Net Warfare Training) Об'єднаного кіберкомандування на базі ВПС у Барксдейлі та ін.

Практика організації навчального процесу у ВВНЗ, особливо стратегічного рівня, передбачає змішане комплектування навчальних груп слухачами різних видів збройних сил, представниками інших силових міністерств, органів державного і корпоративного управління, іноземними, у т.ч. військовими слухачами за програмами міжнародного співробітництва. Характерним прикладом в цьому контексті є навчання у коледжі інформаційного менеджменту університету національної оборони, з шести основних навчальних програм якого найбільший інтерес представляють: Cyber Leadership (Cyber-L) Program та Cyber Securiti (Cyber-S) Program.

Обов'язковими вимогами до організації підготовки фахівців ІБ є:

забезпечення обміну слухачами і досвідом між ВНЗ, відомствами, змагальність наукових і практичних шкіл різних ВНЗ;

залучення до навчального процесу і діагностування фахівців відповідних федеральних структур;

практична направленість (об'єктно-орієнтоване навчання), навчання "від зворотнього", коли фахівців інформаційної безпеки навчають питанням інформаційної боротьби.

Важливою складовою підготовки фахівців ІБ у США є розвинена система курсової підготовки, в першу чергу комерційних курсів та навчальних центрів фірм-виробників IT-продукції. Комерційні компанії проводять масове навчання в галузі інформаційної безпеки: "Cisco Systems", "Check Point Software Technologies", "Internet Security Systems", "Microsoft", "Sun Microsystems", "Dell Computer", "Allied Telesyn", "Oracle Corp", "APC", "Symantec" та ін.

Висококваліфіковані фахівці ІБ, які пройшли навчання в навчальних центрах виробників і отримали відповідні сертифікати зазначених компаній, затребувані на ринках праці більше, ніж ті, які тільки закінчили ВНЗ.

Останнім часом на ринку інформаційних технологій поширеним явищем стала підготовка власних професійно навчених кадрів, чому також сприяють технології дистанційного навчання на основі ІКТ.

Важливим моментом є те, що швидкість змін, які відбуваються у сфері IT, не має аналогів у минулому, а класична освітня середа використовує ці технології в режимі запізнення. У той же час для курсової підготовки властива висока мобільність навчальних програм (у мережевій академії "Cisco" навчальний матеріал оновлюється кожні 90 днів. Таким чином, курсова підготовка фахівців ІБ (на основі базової вищої освіти) забезпечує необхідні адекватність, гнучкість і безперервність освіти.

Програми перепідготовки і підвищення кваліфікації для осіб середнього і старшого віку, які отримали базову освіту в минулому, є наступним важливим елементом системи підготовки з питань ІБ.

Відповідно до п. 6 Програми ("Розробка і реалізація на державному рівні плану кібернетичної контррозвідки") та Національної стратегії контррозвідки США (2007) передбачено розвиток програм навчання усіх категорій посадовців органів державного та корпоративного управління і населення ("інформаційної обізнаності"), виховні і консолідуючі заходи з усвідомлення спільних кіберзагроз нації. Важливою умовою цього є виховання інформаційної культури і "інформаційної настороги" у фахівців ІБ, особового складу МО, АНБ, ФБР та інших відомств, усього населення країни, відповідна морально-психологічна підготовка, яка у США є пріоритетною державною справою.

В цьому контексті, у США, з використанням досвіду молодіжної політики у СРСР, з 2009 року (відповідно до п. 8 Комплексної національної ініціативи забезпечення кібербезпеки, 2008) розгорнута програма "Кіберпатріот" (CyberPatriot – The National High School Cyber Defense Competition), яка передбачає проведення навчання – змагання протягом року максимально широкого кола учнів старших шкіл, ліцеїв, кадетських корпусів (у сезоні 04.2013 – 03.2014 – 3000 команд США і Канади) для актуалізації проблеми кібербезпеки країни та пошуку і відбору талановитої мотивованої молоді до роботи (служби) у відповідних структурах національної системи кібербезпеки.

Починаючи з 2004 року жовтень місяць оголошено місяцем національної кібербезпеки США (National Cyber Security Awareness Month), який проводиться під патронатом МВБ (DHS) при співробітництві з некомерційною організацією NCSA (National Cyber Security Alliance). Планом 10-го ювілейного місячника передбачалось 5 тижневих модулів:

  • 1 тиждень. Кібербезпека – це наша спільна відповідальність;
  • 2 тиждень. Мобільність. Онлайн – безпека;
  • 3 тиждень. Освіта. Підготовка кіберперсоналу нового покоління;
  • 4 тиждень. Попередження кіберзлочинності;
  • 5 тиждень. Критично важлива інфраструктура, кібербезпека і приватний сектор.

Особливістю місячника є те, що його заходи передбачають інформування і вплив на різні цільові аудиторії до домогосподарок включно.

США реалізують численні програми міжнародного співробітництва з питань підготовки фахівців з ІБ, у першу чергу з союзними країнами. Це стосується як підготовки фахівців з вищою освітою, так і з метою виявлення, залучення до співпраці та навчання активістів-блогерів для створення "заряджених блог-мереж" та їх подальшого використання в інтересах інформаційно-психологічного протиборства у блогосфері Інтернету. Так у Центрі Беркмана Гарвардського університету відкрито курси для блогер і в з різних країн світу. Для зв'язку між блогерами створено сайт Global Voices Online. Цей ресурс дозволяє отримувати повідомлення від блогерів, розповсюджувати в ГМ відібраний матеріал, використовуючи адреси блогерів, з метою оперативного ініціювання інформаційних хвиль визначеної спрямованості.

У цьому контексті може бути цікавою діяльність Агентства США з міжнародного розвитку (USAID) в різних країнах світу, зокрема відповідні медійні проекти, що передбачають організаційно-методичну і грантову

підтримку неурядових організацій у сфері медіа-сектора. З 2011 року акценти перенесено на розвиток медійних можливостей у блогосфері ("Нові медіа в дії"). Проекти передбачають проведення двомісячних курсів зі студентами та молодими журналістами у визначених країнах з метою навчання методиці проведення інформаційних PR-акцій, консолідації учасників, побудови горизонтальних зв'язків між ними, формування бази контактів у соціальних сервісах Інтернету (ССІ). Для занять залучаються тренери з Європейського центру журналістики, який брав активну участь в інформаційно- пропагандистському забезпеченні "Арабської весни".

В цілому комплексна система підготовки фахівців з інформаційної безпеки у США найбільш повно відповідає наведеній вище класичній моделі такої системи і на даний час ще дозволяє забезпечувати окремі складові монопольного використання ІКТ для досягнення інформаційного домінування.

 
< Попер   ЗМІСТ   Наст >