В последнее десятилетие мы стали свидетелями бурного развития информационных технологий (ИТ), их вхождения во все сферы жизни, и в первую очередь в область деловых отношений. Уже невозможно представить свою работу без использования ИТ. Все мы проводим немалую часть нашего времени за компьютером. И в наши дни ни для кого не секрет, что, доверяя информацию “умным машинам”, мы в той или иной степени берем на себя риск потери информации, цена которой порой неизмерима. И даже не о доверии здесь нужно говорить, а о знании правил и принципов, обеспечивающих сохранность дорогостоящей информации в компании.

    Вопросы обеспечения защиты информации с каждым днем приобретают все большую важность, сравнимую нередко со стоимостью самой информации. Не следует ли из этого, что если вы считаете информацию вашей компании не столь уж дорогостоящей, то и не нужно задумываться о вопросах защиты информации? Конечно, нет. Острая конкурентная борьба на рынке, где счет в игре идет на деньги, не позволяет нам снисходительно относиться к утечке оперативной (в том числе финансовой) и стратегической информации своей компании. Мы не просто вынуждены -- мы обязаны уделять особое внимание вопросам обеспечения информационной безопасности, если не хотим в один прекрасный момент оказаться лицом к лицу с неприятностями, связанными с утечкой информации.

    На основании данных, проведенного в ноябре 2001 г. исследования (www.informationweek.com) выяснилось, что 60% топ-менеджеров до сих пор рассматривают информационную безопасность корпораций как технологическую проблему, другие же 40% -- как решение “стратегической проблемы для бизнеса их корпорации”. Но при этом 90% и тех и других заявили, что в их корпорациях политика по вопросам информационной безопасности разрабатывается, и даже осуществляется обучение персонала.

     Что же нужно сделать, чтобы свести к минимуму возможность совершения компьютерных преступлений в отношении вашего бизнеса? Ответы руководителя компании и специалиста по обеспечению информационной безопасности отразят степень понимания или недопонимания вопроса каждым из них. Однако к полному пониманию важности вопроса часто, к сожалению, приходят только после возникновения ситуации, связанной с нарушением работы информационной системы.

     Пятилетний опыт ведения образовательной деятельности Академией информационных систем позволил ее руководству сформировать свои взгляды на подходы, методы подготовки и обеспечения того или иного предприятия квалифицированными специалистами в области информационной безопасности. Предлагаем их на ваше рассмотрение.

     Необходимость проведения комплексного обучения сотрудников вопросам информационной безопасности осознается руководителями с каждым годом все больше. Все они по-разному подходят к решению данного вопроса. На наш взгляд, более правильно будет начать с анализа уже существующей или только еще разрабатываемой политики безопасности в компании (так называемый проектный метод). Необходимо не просто взглянуть на цели, задачи и функции, выполняемые сотрудниками, определить возможные пути их профессионального роста и возможности выполнения ими новых функций, но сделать это под определенным углом: нужен ли вам специалист узкого профиля для решения определенных технологических задач (администратор безопасности сети), или же вы заинтересованы в том, чтобы соответствующий специалист выполнял широкий круг задач (начальник службы информационной безопасности). После того как вы некоторое время поразмыслите над этим, вы будете иметь более четкое представление о том, кого и чему нужно обучать. Останется только рассчитать и спланировать бюджет и определить время обучения сотрудников.

    Существующую на данный момент систему подготовки специалистов в области информационной безопасности условно можно разделить на два основных направления:

1. Обучение по программам высшего профессионального образования в сфере информационной безопасности.

2. Обучение по краткосрочным программам (повышение квалификации специалистов в области информационной безопасности).

    Направления эти весьма различны. Если первое из них в большей степени ориентировано на подготовку специалистов, не имеющих глубокого опыта работы в сфере информационной безопасности, или лиц, которым необходимо подтверждение наличия высшего образования в этой области (да простят меня коллеги), то второе адресовано лицам с узкой специализацией, уже имеющим опыт работы в области информационной безопасности.

     Было бы неправильно останавливаться на рассмотрении преимуществ и недостатков того или иного направления обучения, так как каждый руководитель и сотрудник выбирает самое необходимое для своей успешной работы. Сегодня мы более подробно остановимся на втором направлении, как наиболее актуальном и востребованном многими специалистами и их руководителями.

     Сегодня вопросами краткосрочного обучения специалистов и повышения их квалификации в области информационной безопасности занимаются более 20 учебных заведений и учебно-методических центров на всей территории России. По словам Председателя Государственной технической комиссии при Президенте Российской Федерации С. И. Григорова, в учебных заведениях, входящих в систему подготовки кадров в области защиты информации и противодействия технической разведке, за последние 10 лет прошли подготовку и переподготовку около 10 тыс. человек, из них более 3 тыс. -- только за последние два года.

Исаак Ньютон

      На каком же учебном заведении остановиться специалисту, желающему повысить свой профессиональный уровень?

      1. Выбирая учебное заведение ознакомьтесь не только с предлагаемыми им учебными программами, но и с реализуемыми формами обучения. Самой удобной из них и прекрасно зарекомендовавшей себя является тренинг. Небольшая группа, когда слушатель активно участвует в учебном процессе при обсуждении тех или иных вопросов, самый оптимальный вариант. В этом случае инструктор в гораздо более сжатые сроки способен более полно и глубоко донести до слушателя свои богатый опыт и знания. Живое обсуждение конкретных ситуаций, масса реальных примеров для анализа, наилучшим образом сказываются на результатах обучения.

     2. Выбор учебного заведения определяет и такой немаловажный фактор, как возможность обучения по модульному принципу. Это позволяет руководителю и обучающемуся сотруднику самим выбирать учебный курс в соответствии с уровнем своей подготовки и комбинировать разные учебные программы, добиваясь качественного результата при оптимальных вложениях времени и финансов.

    3. Если взглянуть на учебные заведения, предлагающие свои услуги по подготовке специалистов в области информационной безопасности более пристально, нельзя не заметить наличия в том или ином учебном заведении тенденции “привязывать” учебные программы к конкретным продуктам по защите информации, что, в общем-то, само по себе и неплохо. Однако можно согласиться с мнением части обучающихся, что такая постановка дела затрудняет объективную оценку других представленных на рынке аналогичных продуктов. Поэтому нужно искать независимое учебное заведение, в котором бы отсутствовало явное навязывание в учебном процессе мнения компаний, заинтересованных в продвижении своих средств защиты информации.

    4. Выездное обучение в регионах России практикуют не многие известные учебные заведения. Но все же стоит поинтересоваться у интересующего вас учебного заведения планирует ли оно выезжать с лекциями и семинарами по интересующему курсу в ваш или близлежащий регион. Плюсы регионального обучения очевидны с любой точки зрения. Это отсутствие затрат на командировку и проживание, а также сохранение специалистом контроля над технологическими процессами, за рабочее состояние которых он несет ответственность.

     При принятии решения о направлении сотрудника на обучение руководитель сталкивается с рядом проблем. Рассмотрим наиболее часто встречающиеся из них и попробуем разобраться с тем, как от них уйти.

     1. Ограничиваются средства, выделяемые на развитие (в том числе на обучение) отдела или подразделения, и как следствие, руководство желает сэкономить на обучении сотрудников в пользу приобретения необходимого для работы отдела оборудования. Такое решение, на наш взгляд, не очень разумно. Результат его обязательно даст о себе знать, возможно, в самый неподходящий момент, а ущерб от него на несколько порядков превысит “сэкономленные” деньги. Плачевных примеров подобной экономии предостаточно, только ведь не каждый руководитель согласится их огласить.

     Выводы: руководству предприятия необходимо уделять достаточное внимание вопросам планирования обучения и повышения квалификации своих сотрудников в сфере информационной безопасности; с его стороны должен быть четкий контроль за правильным использованием выделенных на обучение средств.

     2. После обучения по ряду направлений ценность специалиста, несомненно, возрастает. Естественно, его не будет удовлетворять прежнее материальное вознаграждение за выполняемую им работу. При этом велика вероятность увольнения специалиста или его ухода к конкурентам. Мне приходилось общаться с руководителями, которые не обучают своих сотрудников из страха потерять их. Такая позиция руководства, на наш взгляд в корне неверна. Проблемой здесь являются недостатки в стилях и методах руководства, а не недостаток денежных средств.

     Выводы: ответ на вопрос, “как удержать обученного специалиста”, кроется в тщательном анализе системы управления; руководителю предприятия, если его не пугает перспектива остаться в аутсайдерах, необходимо по-новому подойти к вопросу повышения квалификации своих сотрудников; возможно, имеет смысл пересмотреть существующую систему мотивации и при формировании команды специалистов чаще принимать во внимание то, что мы сейчас называем человеческим фактором.

    3. Руководитель не хочет отрывать специалиста от важной работы на долгий период. Такая позиция имеет свои обоснования, которые понятны каждому. При невозможности заменить специалиста, направляемого на обучение с отрывом от работы более чем на одну неделю, могут возникнуть те или иные проблемы.

    Выводы: заблаговременно спланировать обучение сотрудника и позаботиться о временном возложении его функций на кого-то другого; предоставить специалисту право удаленно контролировать и управлять технологическими процессами при наличии такой технической возможности; выбрать учебное заведение с оптимальными по времени вариантами обучения.

***

Осуществляемые Академией информационных систем исследования в области подготовки специалистов по защите информационных ресурсов и организованные в 2001 г. более 14 выездных курсов повышения квалификации в регионах России доказывают актуальность проведения комплекса мер по подготовке квалифицированных специалистов в области информационной безопасности как в государственных так и в коммерческих организациях. Мы готовы предоставить свои методические разработки, поделиться практическим опытом, чтобы помочь вам решать вопросы подготовки квалифицированных специалистов, владеющих приемами и технологиями минимизации рисков и предотвращения возможных сбоев в работе информационных систем вашей компании.

Юрий Малинин
Руководитель проектов
Академии информационных систем