Надо ли тестировать всех без исключения служащих на знание основ информационной безопасности?

Джон Дэвид: «Интерактивным тестам не следует особо доверять, ведь экзаменуемый может, к примеру, попросить помощи у товарища, поэтому сдача такого зачета еще не гарантирует необходимых знаний»

Служащие Агентства национальной безопасности (АНБ) — секретной службы при правительстве США обязаны пройти процедуру тестирования и продемонстрировать знание основ информационной безопасности. Неспособность выполнить тест может привести к потере сотрудником регистрации в системе электронной почты и к лишению прав доступа к ней.

«И это не пустая угроза, — подчеркнул заместитель директора информационной службы АНБ полковник ВВС Джон Уайтфорд. — Все служащие, начиная от директора агентства, должны пройти полный курс обучения информационной безопасности в Web, а по его окончании ответить на 25-30 контрольных вопросов. Правда, если зачет не сдан, назначается переэкзаменовка. Так что до сих пор никто еще прав доступа не потерял. Мы надеемся, что сотрудники АНБ отнесутся к этому вопросу серьезно и продемонстрируют достаточный уровень знаний в вопросах обеспечения информационной безопасности».

В АНБ приступили к реализации этого проекта около полутора лет назад в рамках общей программы повышения информационной безопасности.

Среди профессионалов, принимавших участие в финансируемой правительством США ежегодной Национальной конференции по безопасности информационных систем, трудно найти несогласных с такой политикой. Конечно, грамотность сотрудников в вопросах компьютерной безопасности повышать необходимо. Но вот с методами реализации данной стратегии и с тем, что нужно проводить тесты, доказывающие профпригодность, согласны далеко не все.

«Безусловно, это лучше, чем ничего, — заметил помощник вице-президента компании Lehman Brothers по вопросам безопасности Джон Дэвид, ознакомившись с планом тестирования АНБ. — Однако интерактивным тестам не следует особо доверять, ведь экзаменуемый может, к примеру, попросить помощи у товарища, поэтому сдача такого зачета еще не гарантирует необходимых знаний».

Директор образовательного и исследовательского центра информационной безопасности при университете Purdue University Юджин Спаффорд отметил, что любое тестирование имеет свои недостатки: «Непременное условие хорошего образования — практика и повторение материала. Тестирование плохо сочетается с большинством программ самообразования. Если не возвращаться назад и не повторять пройденное, то велика вероятность, что вы постепенно растеряете приобретенные навыки».

По словам Дэвида, в процессе организации обучения ему приходится решать двойную задачу: «Во-первых, для обучаемых должно стать правилом поддержание необходимой степени безопасности. Людям порой кажется, что безопасность можно купить. Но это не продукт, а процесс, которому необходимо уделять постоянное внимание. Во-вторых, я обязан ознакомить всех служащих с основами безопасности. Нужно хранить в тайне свои пароли и не оставлять компьютер включенным, если приходится куда-то отлучиться. Я, конечно, доверяю сотрудникам и полагаюсь на их профессионализм, но при этом у нас имеются соответствующие средства мониторинга и ведется системный журнал. Мы постоянно следим за возможным появлением брешей в системе безопасности».

И все же некоторые тесты доказали свою эффективность. В частности, министерство юстиции постоянно проводит проверки средств защиты от проникновения в систему. Это способствует повышению безопасности и выявлению уязвимых мест.

«Тестирование приводит к тому, что управленческий персонал начинает осознавать важность хорошей системы безопасности, — подчеркнула помощник генерального прокурора по информационным ресурсам Линда Берек. — Регулярные проверки надежности защиты от проникновения заставляют руководство проявлять осторожность. Поэтому данная процедура является одной из наиболее эффективных».