Доверие к безопасности информационных технологий как объект изучения будущими специалистами по защите информации

Актуальность изучения в вузе доверия к безопасности информационных технологий обусловлена усиливающимися угрозами и ростом инцидентов информационной безопасности во всем мире. При этом подготовка будущих специалистов по защите информации в вузах осуществляется на основе международного стандарта ISO/IEC 15408-3:2008 «Information technology – Security techniques – Evaluation criteria for IT security – Part 3. Security assurance components», который не отражает современных гуманитарных аспектов проблемы. Они обусловлены динамикой научного знания о целях информационной безопасности, концепции защищенного развития, о трансформации технических систем в социотехнические, о кадровой безопасности и др. Этим обусловлена актуальность проблемы статьи.

1. Объекты изучения доверия к информационной безопасности в университете

Недостаточный учет человеческого фактора в международном стандарте [1] требует от высшего профессионального образования расширения границ объектов изучения в вузе будущими специалистами по защите информации. В их число преподаватель вуза, наряду с названными в стандарте, должен включать:

– развитие организации и ее сотрудников как цель достижения безопасности информационной системы, доверие к которой оценивается;

• –    субъект доверия к безопасности информационной системы, его компетенции, влияющие на результат оценки доверия;

• –    социотехнический характер информационной системы, предполагающий оценку не только ее технических компонентов, но и доверия к пользователям как к неотъемлемой части этой системы;

• –    не только технические, но и гуманитарные методы решения проблемы доверия к информационной безопасности;

  – не только процессы деятельности по обеспечению доверия к безопасности информационной системы, но и все остальные системные компоненты этой деятельности, в том числе ее результаты.

Рассмотрим эти объекты изучения подробнее.

Развитие организации и ее сотрудников как цель достижения безопасности информационной системы, доверие к которой оценивается. Сущность современной концепции защищенного развития объекта заключается в следующем. Для обеспечения информационной безопасности объекта недостаточно только защищенности от всех возможных угроз. Гиперболизация внимания на угрозах и защите от них может привести к неоправданной изоляции объекта от внешней среды, к блокированию информационного взаимообмена с ней. Это опасно тем, что возникают негативные, застойные явления в существовании объекта. Для предотвращения этих явлений следует стимулировать еще один процесс – развитие.

Развитие объекта всегда сопровождается активным информационным взаимодействием с другими объектами. В результате происходит информационное взаимообогащение объектов. Обнаружена интересная тенденция: превышение объемов исходящего информационного потока над входящим свидетельствует о лидерстве этого объекта, о его доминировании не только в информационном, но и геополитическом, экономическом пространстве, а значит – о его более высоком уровне развития. Так, например, сильные, высокоразвитые государства, являющиеся влиятельными распорядителями информационного пространства, обладают гораздо более высоким уровнем информационной безопасности [2]. Поэтому мы можем утверждать, что целью информационной безопасности организации является не только защита информации в этой организации, но и ее устойчивое информационное развитие. Это касается и сотрудников организации.

Субъект доверия к безопасности информационной системы, его компетенции, влияющие на результат оценки доверия. Общеизвестно, что результат доверия в значительной степени зависит от субъекта этого процесса. В сфере информационной безопасности этим субъектом выступает специалист по защите информации. Однако, к сожалению, в стандарте ISO/IEC 15408-3:2008 «Information technology – Security techniques – Evaluation criteria for IT security – Part 3. Security assurance components» его оценка не предусмотрена.

Качество аудита определяется компетентностью аудитора, в которую входят личностные качества. Этот вопрос отражен в ГОСТ Р ИСО/МЭК 27007-2014 – Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности [3]. Названный стандарт определяет методику определения компетентности аудиторов системы менеджмента информационной безопасности.

Исходя из содержания п. 7.2.2 стандарта, аудиторы должны проявлять определенные личные качества во время проведения аудита. Они включают в себя: этичность, открытость и непредубежденность, дипломатичность, наблюдательность, восприимчивость, упорство, решительность, самостоятельность, принципиальность, высокую культуру поведения, умение сотрудничать и работать с людьми и др. Наличие этих личных качеств можно использовать для оценки доверия к специалисту по защите информации как субъекту доверия к безопасности информационной системы.

Социотехнический характер информационной системы, предполагающий оценку не только ее технических компонентов, но и доверия к пользователям как к неотъемлемой части этой системы. К особенностям современной инженерной практики относится ее эволюция от классической инженерной к системотехнической деятельности и далее – к социотехническому, гуманитарному проектированию. Это относится и к проектированию информационных систем.

Социотехническое гуманитарное проектирование, по сравнению с классической инженерной деятельностью, предполагает определенную гуманитарную диагностику и экспертизу информационной системы. Его задача – не просто создать информационную систему, а обеспечить ее нормальное функционирование в организации. Здесь главное внимание уделяется не компьютерам, а человеку и его деятельности, её социальным и психологическим аспектам, новым технологиям. Поэтому социотехническое проектирование выходит за пределы традиционной схемы «наука-инженерия-производство». Оно замыкается на самые разнообразные виды социальной практики, в том числе на обучение персонала, где классическая инженерная установка перестает действовать. Все это ведет к тому, что информационная система становится самостоятельной сферой современной культуры. Этого нельзя не учитывать в процессе обеспечения информационной безопасности организации. Пользователи – органическая часть информационной системы. Поэтому в процессе оценки доверия к безопасности информационных технологий следует оценивать и доверие к пользователям информационной системы организации.

Технические и гуманитарные методы решения проблемы доверия к информационной безопасности. Традиционно используются методы автоматизированного мониторинга доверия к безопасности информационных технологий. Включение сотрудников организации в число объектов изучения требует и расширения изучаемых методов решения этой проблемы. В этом случае необходимы гуманитарные методы обеспечения кадровой безопасности. Анализ существующих подходов к оценке человеческого фактора для снижения рисков информационной безопасности организации выявил междисциплинарный характер проблемы и слабую формали-зумость оценок человеческого фактора, что усложняет поиск ее решения. При этом определенный опыт изучения данной проблематики уже накоплен в отечественной науке. Так, в одной из моих публикаций обоснован метод оценки кадровых рисков на основе оценки индекса доверия как отношении культурных капиталов информационной безопасности индивида и организации [4]. Важнейшим показателем доверия к сотруднику является степень конвертации его культурного капитала в культурный капитал организации. Эти и другие методы должны осваивать студенты в процессе обучения в вузе для развития их профессиональных компетенций.

Процессы деятельности по обеспечению доверия к безопасности информационной системы и все остальные системные компоненты этой деятельности, в том числе результаты. В стандарте ISO/IEC 15408-3:2008 «Information technology – Security techniques – Evaluation criteria for IT security – Part 3. Security assurance components» акцент сделан на процессах оценки доверия к безопасности информационных технологий. Оценочные уровни доверия выделены также на основе оценки процессов. Однако необходимо, чтобы студенты вуза изучали результаты количественной и качественной оценки доверия ко всем системно-деятельностным элементам: объекту (информационной системе и ее пользователям), субъекту (специалисту по защите информации), процессам (согласно оценочным уровням доверия) и методам (технические и гуманитарные) оценки доверия, комплексному результату оценки доверия.

• 2 . Педагогические условия освоения студентами деятельности по оценке доверия к информационной безопасности

Названные объекты требуют специфических педагогических условий организации образовательного процесса. К ним относятся: проблемная ориентация учебно-методического обеспечения дисциплины «Управление информационной безопасностью»; углубление междисциплинарных связей этой дисциплины с философией, социологией, экономикой, психологией, педагогикой; развитие инновационной культуры студентов для моделирования нового стандарта по критериям оценки доверия и его внедрению в практику, для разработки программных продуктов, способных реализовать разработанные гуманитарнооценочные процедуры.

Проблемная ориентация учебно-методического обеспечения дисциплины «Управление информационной безопасностью» предполагает: создание онтологии проблемы оценки доверия к безопасности информационных технологий; проблемные формулировки тем лекций, семинаров и научных докладов на научно-практических конференциях; работу студентов под руководством преподавателя над решением этих проблем.

Углубление междисциплинарных связей этой дисциплины с философией, социологией, экономикой, психологией, педагогикой предполагает: включение в дисциплину «Управление информационной безопасностью» повторения философии техники, экономики защиты информации, теории человеческого и культурного капитала, теории информационнопсихологической безопасности, педагогических технологий повышения осведомленности сотрудников в области информационной безопасности и др.

Развитие инновационной культуры студентов предполагает развитие их потребностей в совершенствовании теории и практики оценки доверия безопасности информационных технологий; задания по моделированию нового стандарта по критериям оценки доверия и его внедрению в практику; задания по разработке программных продуктов, способных реализовать разработанные гуманитарнооценочные процедуры.

В ходе реализации педагогических условий каждый студент подготовил инновационный проект по кадровым рискам для его внедрения в практику, опубликовал результаты своей работе в научном журнале. Проекты были посвящены разработке классификации групп кадровых рисков для информационной системы, инновационных критериев их оценки. Например, в рамках дисциплины «Кадровая безопасность» студенческий научный коллектив разработал программное приложение для оценки культурного капитала пользователей информационной системы для обеспечения ее безопасности. В настоящее время оно внедряется в практике защиты информации.

Эксперимент показал, что реализация обоснованных педагогических условий позволяет развить у будущих специалистов по защите информации управленческую компетенцию в данной области. Управленческая компетенция будущего специалиста по защите информации в области доверия к безопасности информационных технологий – это интегральное качество его личности, обеспечивающее способность оказывать влияние на уровень доверия к безопасности информационных систем, включая их пользователей, с применением технических и гуманитарных методов.

Заключение

Научная новизна статьи состоит в обосновании расширения границ и углубления содержания объектов изучения системы деятельности по обеспечению доверия: целей, субъектов, объектов, методов, процессов и их результатов. Теоретическая значимость исследования заключается в обогащении теории профессионального образования: в определении понятия управленческой компетенции будущего специалиста по защите информации в области доверия к безопасности информационных технологий; в обосновании специфических педагогических условий их внедрения. Результаты исследования имеют практическую значимость, поскольку обоснованные рекомендации по подготовке специалистов по защите информации в вузах внедрены автором в практику в Южно-Уральском государственном университете (Россия). Это способствовало повышению качества инженерного образования, развитию управленческой компетенции будущих инженеров, а также гуманитаризации их подготовки.