Учебно-методические требования к лабораторному практикуму
реклама
Учебно-методические требования к лабораторному практикуму… В.С. ГОРБАТОВ, А.П. ДУРАКОВСКИЙ, Ю.Н. ЛАВРУХИН, В.А. ПЕТРОВ Национальный исследовательский ядерный университет «МИФИ» УЧЕБНО-МЕТОДИЧЕСКИЕ ТРЕБОВАНИЯ К ЛАБОРАТОРНОМУ ПРАКТИКУМУ В ОБРАЗОВАТЕЛЬНЫХ СТАНДАРТАХ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НОВОГО (ТРЕТЬЕГО) ПОКОЛЕНИЯ Представлены результаты анализа проектов образовательных стандартов третьего поколения по направлению «Информационная безопасность» с точки зрения приобретения учащимися компетенций (умений, навыков) по практическому применению полученных теоретических знаний. В настоящее время высшая школа находится в состоянии ожидания перехода на многоуровневую подготовку выпускников в системе профессионального образования: среднее специальное образование (СПО): бакалавриат – специалитет – магистратура. Для нашего направления «Информационная безопасность» такой переход будет, несомненно, положительным фактором, так как на данный момент для него пока предусматривается сохранение всех указанных выше уровней. Таким образом, расширяется возможность более творческого подхода к организации подготовки широкого спектра выпускников с учетом современных требований науки, техники и промышленности. Однако эффективное решение указанной задачи во многом будет зависеть от качества интенсивно разрабатываемых в настоящее время образовательных стандартов нового (третьего) поколения. В связи с этим авторами проанализированы проекты разрабатываемых федеральных государственных образовательных стандартов (ФГОС) высшего профессионального образования нового (третьего) поколения с одной, но с нашей точки зрения очень важной позиции: определения требований к уровню знаний, умений и практических компетенций специалистов (бакалавров, магистров) по защите информации в области аттестации объектов информатизации по требованиям безопасности информации. Именно эти требования должны лечь в основу учебнометодического обеспечения такого важного компонента организации учебного процесса как лабораторные практикумы, а также послужить основой технико-экономического обоснования их дорогостоящей материальной базы. Подобная работа была проделана ранее с ныне действующими ГОС по пяти специальностям: ГОС 090102–ГОС 090106. Из сводной таблицы полученных аналитических данных следует, что ряд аналогичных дисциплин, входящих в различные специальности, могут быть поддержаны одними и теми же лабораторными практикумами, в которых требования к знаниям, умениям и практическим компетенциям выпускников, связанные с аттестацией ОИ по требованиям безопасности информации, затронуты лишь косвенно. Это дало возможность разработки типового перечня, структур и описаний (аннотаций) типовых лабораторных практикумов (ТЛП), предназначенных для профессиональной подготовки работников подразделений служб безопасности и технической защиты информации. Последняя совокупность ФГОС третьего поколения по направлению «Информационная безопасность» представлена проектами по специальностям: 090301 – компьютерная безопасность; 090303 – информационная безопасность телекоммуникационных систем; 090305 – информационная безопасность автоматизированных систем; 090307 – информационно-аналитические системы безопасности. Анализируя состав и объем общепрофессиональных дисциплин и дисциплин специализаций, сведенных в одну таблицу, по предъявляемым требованиям к знаниям и практическим умениям выпускников можно сделать вывод о потенциальной готовности к проведению аттестации объектов информатизации по требованиям безопасности информации лишь выпускников по так называемой пятой специальности – информационная безопасность автоматизированных систем. Однако в проектах образовательных стандартов определены компетенции, которые непосредственно связаны с проведением работ по аттестации объектов информатизации по требованиям безопасности информации, получением знаний и практических навыков работы с соответствующим специализированным оборудованием. Решить данную задачу можно только на основе лабораторных практикумов. На основании анализа решаемых задач при аттестации объектов инISBN 978-5-7262-1280-7. НАУЧНАЯ СЕССИЯ НИЯУ МИФИ-2010. Том VI 187 Учебно-методические требования к лабораторному практикуму… форматизации по требованиям безопасности информации был определен следующий перечень ТЛП: 1. Организация аттестации ВП по требованиям безопасности информации. 2. Проведение специальных исследований ОТСС, обрабатывающих цифровую информацию, представленную в виде электрических сигналов. 3. Проведение инструментального контроля защищенности ОТСС, обрабатывающих цифровую информацию, представленную в виде электрических сигналов. 4. Оценка эффективности активных средств защиты цифровой информации, представленной в виде электрических сигналов, обрабатываемой ОТСС. 5. Проведение инструментальной оценки эффективности средств защиты информации (фильтров). 6. Проведение специальных исследований ОТСС, обрабатывающих речевую информацию. 7. Проведение специальных исследований ВТСС. 8. Проведение инструментального контроля защищенности речевой информации в выделенных помещениях. 9. Проведение инструментальной оценки эффективности средств виброакустической защиты речевой информации. 10. Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. 11. Проведение инвентаризации актуального состава технических и программных средств ОИ. 12. Сверка результатов инвентаризации с представленными исходными данными по составу технических и программных средств. 13. Контроль механизмов идентификации и аутентификации пользователей. 14. Контроль прав доступа субъектов к объектам. 15. Контроль подсистем систем аудита (регистрации и учета). 16. Контроль подсистемы обеспечения целостности. Связь компетенций с необходимыми лабораторными практикумами показана в табл.1. Таблица 1 Связь получаемых компетенций и типовых лабораторных практикумов № 1 Специальность 090301 Компьютерная безопасность. Квалификация (степень) «Специалист» [1] Компетенции, связанные с аттестацией объектов информатизации по требованиям безопасности информации Способен проводить анализ безопасности компьютерных систем с использованием отечественных и зарубежных стандартов в области компьютерной безопасности (ПК-18). Способен участвовать в проведении экспериментальноисследовательских работ при аттестации системы защиты информации с учетом требований к обеспечению информационной безопасности (ПК-27). Способен оценивать эффективность систем защиты информации в компьютерных системах (ПК-30). Способен проводить анализ защищенности и находить потенциальные уязвимости компьютерной системы (ПСК-1.4). Способен использовать современные критерии и стандарты для анализа безопасности распределенных компьютерных систем (ПСК-1.5). Способен проводить контрольные проверки работоспособности и эффективности применяемых программных средств защиты информации в распределенных компьютерных системах (ПСК-3.5). Способен проводить анализ программного кода с целью поиска потенциальных уязвимостей и недокументированных возможностей (ПСК-4.2). Способен использовать средства анализа информационной безопасности (ПСК-5.10). ISBN 978-5-7262-1280-7. НАУЧНАЯ СЕССИЯ НИЯУ МИФИ-2010. Том VI ТЛП № 10– 16 188 Учебно-методические требования к лабораторному практикуму… № Специальность 2 090303 Информационная безопасность телекоммуникационных систем. Квалификация (степень) «Специалист» [2] 3 090305 Информационная безопасность автоматизированных систем. Квалификация (степень) «Специалист» [3] 4 090307 Информационно-аналитические системы безопасности. Квалификация (степень) «Специалист» [4] 090100 Информационная безопасность. Квалифика- 5 Компетенции, связанные с аттестацией объектов информатизации по требованиям безопасности информации Способен принимать участие в исследованиях и анализе систем безопасности мобильных устройств и устройств беспроводной связи (ПСК-6.8) Способен проводить научно-исследовательские работы при аттестации системы защиты информации с учетом требований к обеспечению информационной безопасности (ПК-23). Способен оценивать эффективность систем защиты информации в телеком-муникационных системах (ПК-24). Способен осуществлять аудит уровня защищенности и аттестацию телекоммуникационных систем в соответствии с существующими нормами (ПК-25). Способен проводить мониторинг, техническую диагностику средств защиты, оценку эффективности информационной безопасности защищенных телекоммуникационных систем (ПК-34). Способен участвовать в процессах подтверждения соответствия защищенных телекоммуникационных систем и объектов информатизации требованиям безопасности информации (ПСК-5.7). Способен осуществлять аудит уровня защищенности и аттестацию БСС в соответствии с существующими нормами, оценивать риски (ПСК-6.6). Способен оценивать возможности средств технических разведок в отношении к системам связи и управления (ПСК-11.3). Способен применять наиболее эффективные методы и средства для закрытия возможных каналов перехвата акустической речевой информации (ПСК-11.4.). Способен осуществлять аудит уровня защищенности и аттестацию телекоммуникационных систем в соответствии с ведомственными и отраслевыми нормами (ПСК-12.3). Способен осуществлять аудит уровня защищенности и аттестацию телекоммуникационных систем и корпоративных сетей железнодорожного транспорта в соответствии с существующими нормами (ПСК-13.4) Верификация безопасности информационных систем (ПСК 8.1- 8.4). Способен проводить анализ защищенности автоматизированных систем (ПК-12). Способен участвовать в проведении экспериментальноисследовательских работ при аттестации АС с учетом требований к обеспечению информационной безопасности (ПК-25). Способен проводить оценку эффективности средств защиты информации (СЗИ), использующиеся на критически важных объектах (КВО) и в АС КВО (ПСК-4.l). Способен проводить инструментальный мониторинг защищенности ОИС (ПСК-6.6). Способен проводить инструментальный мониторинг защищенности АБС (ПСК-7.8). Способен производить инструментальный мониторинг защищенности АИС, контролировать информационные риски (ПСК -10.4). Способен проводить анализ безопасности информационных технологий, реализуемых в автоматизированных системах (ПСК -12.2). Способен производить проверку функционирования информационно-аналитических систем безопасности (ПК-З2) Способность участвовать в проведении аттестации объектов, помещений, сертификации технических средств на соответствие требованиям защиты информации (СЭД-4). ISBN 978-5-7262-1280-7. НАУЧНАЯ СЕССИЯ НИЯУ МИФИ-2010. Том VI ТЛП № 1–5, № 7, № 10– 16 № 1–16 № 10– 16 № 1–16 189 Учебно-методические требования к лабораторному практикуму… № Специальность ция (степень) «Бакалавр» [5] 6 090100 Информационная безопасность. Квалификация (степень) «Магистр» [6] Компетенции, связанные с аттестацией объектов информатизации по требованиям безопасности информации Способность участвовать в оценке программ и алгоритмов на соответствие требованиям защиты информации (СЭД-5). Способность оценивать степень надежности выбранных механизмов обеспечения безопасности для решения поставленной задачи (ПТД-3). Способность принимать участие в проведении экспериментальноисследователь-ских работ при аттестации системы защиты информации с учетом требований по обеспечению информационной безопасности (ЭИД-5). Способность применять современные методы исследования защищенности объектов и систем с использованием вычислительной техники (ЭИД-6) Способность участвовать в проведении аттестации объектов, помещений, технических средств на предмет соответствия требованиям защиты информации (СЭД-4). Способность участвовать в оценке программ и алгоритмов на предмет соответствия требованиям защиты информации (СЭД-5). Способность оценивать степень надежности выбранных механизмов обеспечения безопасности для решения поставленной задачи (ПТД-3). Способность применять современные методы исследования защищенности объектов и систем с использованием вычислительной техники (ЭИД-6). Способность принимать участие в проведении контрольных проверок работоспособности и эффективности применяемых программно-аппаратных, криптографических и технических средств защиты информации (ОУД-5) ТЛП № 1–16 При этом только в проекте ФГОС этой специальности предполагается включение в курсы профессионального цикла (в базовую и вариативную части) лабораторных практикумов, связанных с аттестацией объектов информатизации по требованиям безопасности информации. Еще печальнее картина с данным вопросом в проекте ФГОС ВПО выпускников с квалификацией «бакалавр». Так как в подготовленных проектах стандартов отсутствует какая-либо ориентация на первичные должности выпускников, то основное внимание уделяется дисциплинам общеобразовательного характера, в том числе гуманитарного цикла, обеспечивающим фундаментальную подготовку. Задача получения практических навыков, особенно работы с применением сложных инструментальных средств, решается очень слабо, в недопустимо малом объеме учебной нагрузки. Все это означает, что представленные на суд научно-педагогической общественности проекты ФГОС ВПО третьего поколения пока не закрепляют достоинств действующих стандартов, по крайней мере, в части повышения уровня навыков практической работы. Совет Безопасности Российской Федерации 7 марта 2008 г. утвердил перечень приоритетных проблем научных исследований в области обеспечения информационной безопасности Российской Федерации [5], в котором в » п. 3.3.2.2 раздела «Проблемы кадрового обеспечения информационной безопасности Российской Федерациипоставлена задача разработки типовых вариантов специализированных лабораторных комплексов, их учебно-методического обеспечения для специальностей высшего и среднего профессионального образования, отнесенных к группе «Информационная безопасность». Создание типовых специализированных лабораторных комплексов позволит перевести на новый более высокий уровень практическую подготовку специалистов по защите информации в области аттестации объектов информатизации по требованиям безопасности информации. А учитывая высокую стоимость сертифицированных программно-аппаратных средств, применяемых при аттестации, тиражирование таких комплексов позволит в некоторой степени снизить их стоимость. Кроме того, получаемые практические навыки и умения на ISBN 978-5-7262-1280-7. НАУЧНАЯ СЕССИЯ НИЯУ МИФИ-2010. Том VI 190 Учебно-методические требования к лабораторному практикуму… реальном современном оборудовании будут отвечать ожиданиям потенциальных работодателей. СПИСОК ЛИТЕРАТУРЫ 1. Федеральный государственный образовательный стандарт высшего профессионального образования по специальности 090301 КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ. Квалификация (степень) Специалист. Проект. М., 2009. 2. Федеральный государственный образовательный стандарт высшего профессионального образования по специальности 090303 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ. Квалификация (степень) Специалист. Проект. М., 2009. 3. Федеральный государственный образовательный стандарт высшего профессионального образования по специальности 090305 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ. Квалификация (степень) Специалист. Проект. М., 2009. 4. Федеральный государственный образовательный стандарт высшего профессионального образования по специальности 090307 ИНФОРМАЦИОННО-АНАЛИТИЧЕСКИЕ СИСТЕМЫ БЕЗОПАСНОСТИ. Квалификация (степень) Специалист. Проект. М., 2009. 5. Федеральный государственный образовательный стандарт высшего профессионального образования по направлению подготовки 090100 – Информационная безопасность. Квалификация (степень) Бакалавр. Проект. М., 2008. 6. Федеральный государственный образовательный стандарт высшего профессионального образования по направлению подготовки 090100 - Информационная безопасность. Квалификация (степень) Магистр. Проект. М., 2008 7. Приоритетные проблемы научных исследований в области обеспечения информационной безопасности Российской Федерации. (утвержден Исполняющим обязанности Секретаря Совета Безопасности Российской Федерации, председателя научного совета при Совете Безопасности Российской Федерации 7 марта 2008 г.). ISBN 978-5-7262-1280-7. НАУЧНАЯ СЕССИЯ НИЯУ МИФИ-2010. Том VI 191
