Методология формирования знаний об информационной и компьютерной безопасности учреждений УИС.
Рассмотрим особенности методологии формирования знаний, профессиональной осведомленности информационной и компьютерной безопасности учреждений УИС с позиций непрерывного педагогического процесса. Описываются наиболее эффективные методы в данной сфере, установленные авторами в результате проведенного комплексного изучения проблемы. Обосновывается необходимость широкомасштабного информирования и обучения сотрудников УИС, формирования у них культуры информационной и компьютерной безопасности.
Обеспечение безопасности учреждений УИС является одной из приоритетных задач функционирования системы на современном этапе, на которой акцентирует внимание утвержденная распоряжением Правительства РФ от 29 апреля 2021 г. Концепция развития уголовно-исполнительной системы Российской Федерации на период до 2030 года.
Одним из важнейших и одновременно относительно молодых направлений безопасности является информационное и компьютерное. Они динамично развиваются в последние годы в связи с современными потребностями пенитенциарной практики, цифровой трансформацией деятельности отечественной пенитенциарной системы.
Данные проводимого нами комплексного исследования проблемы показали, что для учреждений УИС своеобразной угрозой информационной и компьютерной безопасности выступает не противозаконная деятельность так называемых хакеров, находящихся от них на значительных расстояниях, а отсутствие у сотрудников специальных знаний, культуры работы со служебной информацией, в том числе в киберпространстве.
Часто нарушения безопасности в рассматриваемом контексте не являются умышленными и совершаются персоналом в результате технических и организационных ошибок, халатного отношения к исполнению должностных обязанностей. Поэтому деятельность администраций учреждений должна направляться на профилактику, пресечение и купирование последствий указанных угроз информационной и компьютерной безопасности.
Стратегическая задача обучения грамотности и развитие культуры сотрудников в данной сфере заключается в воздействии на поведение пользователей, имеющих доступ к корпоративным информационным ресурсам путем непрерывного обучения. При этом целесообразно, на наш взгляд, чаще использовать метод поощрения сотрудников, применяющих современные технологии обеспечения безопасности.
В этих целях рассмотрим особенности эволюции педагогических методов обеспечения информационной и компьютерной безопасности при обучении персонала по соответствующим обучающим программам. Ученые, изучавшие указанные программы, справедливо полагали, что они должны обладать следующими характеристиками:
- иметь значительный охват пользователей в организации;
- быть современными, мотивационно ориентированными и привлекательными для пользователей;
- отражать интересы и компетенции персонала в сфере информационной и компьютерной безопасности;
- органически интегрироваться в деятельность организации в части реализации стратегии и тактики ее безопасности;
- иметь обоснованную экономическую эффективность, предполагающую дальнейшее развитие программы обучения информационной и компьютерной безопасности.
Проведенный нами ретроспективный анализ рассматриваемой проблемы показал, что первичное осознание необходимости получения системных знаний в сфере информационной и компьютерной безопасности началось с менеджеров и руководства, и лишь значительно позже оно затронуло и рядовых сотрудников. Начали организовываться образовательные занятия и тренинги не только для руководства, но и для сотрудников организации. Они назывались "дни безопасности", "месячник безопасности". Существенные усилия также направлялись на планирование каждого такого мероприятия, чтобы убедиться в том, что как можно больше сотрудников посещают занятия. Несмотря на то что расходы были сосредоточены в относительно коротком периоде, они неизбежно были довольно высокими.
На формирование знаний в информационной и компьютерной сферах влияют степень вовлеченности сотрудников и эффективность образовательного мероприятия. Было установлено, что полученные знания начинают забываться, поэтому требуют повторения. Актуальные мероприятия по информированию или обучению могут оказать ощутимое влияние на сотрудников в течение нескольких недель или месяцев, тогда как утомительные, скучные или, казалось бы, неуместные занятия могут быть забыты почти сразу. Понимание такой зависимости часто побуждает руководителей прилагать больше усилий на повышение привлекательности мероприятия.
Проведению обучающего мероприятия предшествует сбор информации об уровне интереса к нему руководителей и сотрудников организации. Вводное или ознакомительное обучение нового сотрудника, как правило, проводится в виде отдельного мероприятия, часто в виде презентации в классе или семинара, продолжительностью от 10 до 90 минут. Организации, рекрутирующие новых сотрудников, проводят такие сессии ежедневно, еженедельно и ежемесячно. Более частые занятия могут проводиться как часть интенсивного комплекса мероприятий по повышению квалификации. Кроме того, вновь принятые на работу сотрудники демонстрируют снижение уровня компетенции, поэтому в течение короткого периода времени большинство из них забывают содержание ознакомительных занятий. Подобная организация обучения приводит, как правило, к расширению кругозора сотрудника в вопросах информационной и компьютерной безопасности.
Изменение отношения к рассматриваемым направлениям и формирование устойчивой культуры безопасного обращения с информационными и киберресурсами могут быть достигнуты лишь комплексным, системным подходом в их организации.
Исследование авторов с применением метода включенного наблюдения, проведения учебных занятий показало, что наиболее распространенной является непрерывная форма обучения основам информационной и компьютерной безопасности, при котором каждое информационное мероприятие фокусируется на разных темах курса, сочетая в себе принцип преемственности рассматриваемого материала, движения от простого к сложному по темам: "Польза правильного пароля", "Сам себе администратор".
Последующее ознакомление с администрированием может включать изучение основ противодействия вредоносным программам и называться "Вирус СТОП" или "Программа иммунизации ПК". При этом целесообразно использовать скоординированные проблемно-ориентированные мероприятия в мини-группах, сформированных по уровню компетенций, рассмотреть противодействие угрозам вредоносного программного обеспечения, называемого вирусами. По теме "Основы сетевой безопасности" рассматриваются аутентификация пользователей и процесс входа в систему и т.д.
Поэтапное формирование знаний в сфере информационной и компьютерной безопасности распространяется на большее количество сотрудников организации, а также позволяет более углубленно изучать рассматриваемые темы. При этом необходим творческий и креативный подход к изложению материала, рассмотрение актуальных вопросов киберугроз и информационной безопасности. Также нужно уделять значительное внимание практическим аспектам безопасности, привлекать к их проведению высококвалифицированных специалистов с богатым практическим опытом работы.
В рассматриваемом контексте следует отметить положительно зарекомендовавший себя метод "Учись, обучая", реализуя который обучаемые выступают в роли педагога, рассматривают и оценивают содержание, качество учебного материала, манеру его изложения с позиций обучающего, выявляя и устраняя различные содержательные, методические и дидактические недостатки и неточности.
Осуществляя образовательную деятельность в рассматриваемом направлении, целесообразно обращать пристальное внимание на подготовку наглядных пособий и дидактического материала, их дизайн, способствующий лучшему восприятию учебного материала.
Педагогический опыт показывает, что преподаватель, располагая необходимыми образовательными ресурсами (экспертной базой, специалистами в юриспруденции, социальной инженерии, программировании, в области IT-угроз, физической, информационной и компьютерной безопасности), может разрабатывать информационные материалы в более динамичном и гибком режиме, учитывая появление новых вызовов и угроз на рассматриваемом направлении. Например, одна из сложных сфер информационной безопасности - метрики - при подобном подходе будет реализовываться более эффективно.
Таким образом, в современных условиях информационная и компьютерная безопасность занимают важное место в системе общей безопасности УИС и защиты ее объектов от несанкционированного доступа к базам данных. Они должны занять адекватную позицию в учебном процессе и научной деятельности образовательных и научных организаций, подведомственных ФСИН России, в виде специальных учебных дисциплин, тематики выпускных квалификационных работ, тем комплексных диссертационных исследований.
Поскольку данные проведенного исследования показали, что обеспечение безопасности учреждений и органов УИС является объемным и многогранным комплексным феноменом, объединяющим различные направления и отрасли пенитенциарной науки и практики, представляется целесообразным увеличить объем часов, отводимых на эту учебную дисциплину в ученых планах образовательных организаций ФСИН России для курсантов и слушателей очного и заочного обучения. Также возможно внедрение специальных дополнительных образовательных программ - программ повышения квалификации - в системе служебной и первоначальной подготовки сотрудников. Здесь могут быть полезны методологические и методические подходы, изученные нами и рассмотренные в настоящей статье.