Безопасность информационных технологий

УДК 004.056.53, 004.052.2, 34.07

https://dx.doi.org/10.26583/bit.2026.1.15

https://elibrary.ru/xzthtx

Аннотация. Данная статья затрагивает правовые аспекты деятельности специалистов информационной безопасности по проведению тестов на проникновение. Для предотвращения смешивания законопослушных пентестеров (которых называют «белыми хакерами») и преступников, нацеленных на незаконное проникновение в информационные системы и нанесение им ущерба («черных хакеров») предлагается сформировать профессиональный стандарт и внести его в соответствующий Реестр Минтруда России. Это позволит разделить законопослушных специалистов информационной безопасности по проведению тестов на проникновение, которые соответствуют стандарту этой профессии, и правонарушителей, которые этому профессиональному стандарту из Реестра Минтруда России не соответствуют. Представляется, что дополнительный вклад в это разделение внесет сформированный на основе профессионального стандарта Федеральный государственный образовательный стандарт высшего образования для подготовки специалистов информационной безопасности по проведению тестов на проникновение. В настоящее время такую подготовку частично заменяют игры CTF. Такое разделение этих двух противоборствующих категорий («черных» и «белых хакеров») позволит отказаться от написания специализированного федерального закона для регулирования их деятельности и усиления уголовной ответственности для специалистов данной категории.

Ключевые слова: тест на проникновение, хакер, стандарт профессии, образовательный стандарт, игры, геймификация.

Введение

В настоящее время Минцифры России, другие государственные и заинтересованные структуры готовят изменения в нормативные правовые акты, ужесточающие наказания за неправомерную деятельность «белых хакеров»^{[1], [2]} [1, 2, 3].

Так называемые «белые хакеры» (или «этичные хакеры»), выявляют уязвимости в информационных системах, которые могут быть проэксплуатированы «черными хакерами» для совершения киберпреступлений. По технике осуществления тестирование на проникновение в информационные системы (пентестирование) совпадает с методами работы «черных хакеров», но цели у них противоборствующих группировок разные. «Черные» пытаются проникнуть в информационные системы и нанести им ущерб. «Белые» выявляют и удаляют лазейки для преступников! [3]

1. Высшие учебные заведения готовят специалистов «очень широкого профиля»

Да, действительно «белые хакеры» делают работу «черных хакеров», но при достижении результата, они не совершают кражу информации или денег, а сообщают об этом владельцу информационной системы и показывают, как лучше исправить ситуацию. Выходит, что разница между «белыми» и «черными хакерами» только в их морально-этическом облике и жизненных установках^[3] [3, 4, 5, 6].

Значит прав М.Жванецкий и «может, что-то в консерватории поправить», раз выходят из системы высшего образования профессионалы, склонные к совершению преступных деяний? Однако выясняется, что Федеральные государственные образовательные стандарты высшего образования (ФГОС ВО) для специальностей в сфере информационной безопасности (ИБ) не охватывают такие узкие направления деятельности, как «специалисты ИБ, проводящие тесты на проникновение», «специалисты ИБ, проводящие реверс-инжиниринг» и т.п. Например, положения Федерального государственного образовательного стандарта высшего образования (ФГОС ВО) «Бакалавриат по направлению подготовки 10.03.01 – Информационная безопасность»^[4] нацелены на подготовку специалистов ИБ только «широкого профиля».

Та часть специалистов ИБ, которая проводит, например, тесты на проникновение, должна обладать специфическими навыками и знаниями, и эта особая группа, как правило, держится особняком от всех остальных специалистов ИБ. Именно за этими специалистами закрепилось название «белый хакер». Но ни «белых», ни «черных хакеров» в высшей школе не готовят. Эти высокоинтеллектуальные «самородки», самостоятельно достигают высокого профессионализма в деле выявления уязвимостей в информационных системах. Может быть, именно, потому что ВУЗы не готовят этих специалистов, не формируют их морально-этический облик и жизненные установки, профессионализм таких «самородков» находит самовыражение в криминальной деятельности [7, 8].

2. Потребность в «узких» специалистах закрывается неравнодушными профессионалами

10 лет назад неудовлетворенную потребность рынка в таких специалистах заметили в Ассоциации руководителей служб информационной безопасности (АРСИБ) и восполнили этот пробел многоуровневыми и масштабными играми CTF^[5], [6] между командами школьников и студентов, состязающимися в выявлении уязвимостей информационных систем и в противодействии атакам на информационные системы. В ходе практико-ориентированных игр CTF выявляются и обучаются талантливые ребята, которых члены АРСИБ поддерживают в их профессиональном росте и помогают им трудоустроиться в крупные компании и госорганы. Именно эти крупные компании помогают играм CTF финансово выживать.

Таким образом, вне государственной системы образования сложилась и эффективно функционирует система подготовки специалистов по проведению тестов на проникновение – обучающие, практико-ориентированные игры CTF. Государственным структурам необходимо теперь выступать в роли «догоняющего» и, восприняв позитивный опыт игр CTF, разработать специализированный ФГОС ВО для подготовки «специалистов ИБ, по проведению тестов на проникновение»^[7] [9, 10].

3. Специалистов ИБ по проведению тестов на проникновение не готовят
потому что нет такого профессионального стандарта

Почему до сих пор никто не разработал ФГОС ВО для такой востребованной профессии? Ответ прост – в настоящее время в Реестре профессиональных стандартов Минтруда России^[8] профессии такой нет! Получается, что сначала нужно раскрыть суть деятельности «специалиста ИБ, по проведению тестов на проникновение» в виде соответствующего профессионального стандарта и внести ее в Реестр Минтруда России. На основе перечня функций, осуществляемых этими специалистами, форм и методов их работы, достигаемых ими целей, можно будет решить две важные задачи.

Во-первых, можно будет разработать ФГОС ВО для подготовки «Специалиста ИБ, по проведению тестов на проникновение». Учитывая опыт проведения игр CTF во ФГОС ВО необходимо сделать акцент на методах обучения, формирующих навыки самостоятельной работы – меньше разговоров, больше практики. Например, снизить количество лекций, заменив их самостоятельным поиском и освоением знаний (с использованием сети Интернет и ИИ). Увеличить объем практических занятий для формирования необходимых навыков и проверки качества усвоения самостоятельно добытых знаний.

Главным практическим занятием для будущего «специалиста ИБ, по проведению тестов на проникновение» должны стать практико-ориентированные игры, нацеленные на выявление и ликвидацию уязвимостей информационных систем, отработку методов противоборства со злоумышленниками, которые пытаются проникнут через эти уязвимости и нанести ущерб информационной системе. Придумывать такую обучающую игру для подготовки «Специалиста ИБ, по проведению тестов на проникновение» нет необходимости. Игры CTF уже показали свою состоятельность и результативность⁶. Только теперь в рамках высших учебных заведений, в рамках учебной программы должна проводиться подготовка к участию в таких играх. Возможно, в формате внутренней игры CTF для формирования команд для участия во всероссийских играх CTF. Результаты участия в таких играх должны существенным образом влиять на итоговую оценку обучающихся. Применимы и иные методики геймификации [9].

Во-вторых, если в Реестре Минтруда России будет профессиональный стандарт «специалиста ИБ, по проведению тестов на проникновение» («белого» или «этичного хакера»), то все, кто осуществляют деятельность, в соответствии данным стандартом, должны быть отнесены к законопослушным профессионалам. Лица, отступающие в своей деятельности от положений этого профессионального стандарта или иным способом нарушающие требования действующего законодательства, являются злоумышленниками [1, 3, 4].

Заключение

Таким образом если нормативно урегулировать вопрос определения профессии «специалиста ИБ, по проведению тестов на проникновение», то снизится острота желания ввести для представителей этой профессии отдельное, более жесткое наказание. Когда в профессиональном стандарте будет написано, что и как эти специалисты имеют право делать, а во ФГОС ВО – как этих специалистов готовят, то они станут понятнее для законодателя и обывателя. Исчезнет страх и трепет перед сакральным словом «хакер».

Далее по «проторенной дорожке» необходимо «легализовать» профессию «специалиста ИБ, по проведению реверс-инжиниринга» и иных узконаправленных специалистов в области информационной безопасности и защиты информации.

СПИСОК ЛИТЕРАТУРЫ:

1.   Грэм Д. Этичный хакинг. Практическое руководство по взлому. Санкт-Петербург: Издательство «Санкт-Петербург:», 2025. – 384 с. – ISBN 978-5-4461-1952-3.

2.   Шнайдер Б. Взломать все. Как сильные мира сего используют уязвимости систем в своих интересах. Москва: Издательство «Альпина», 2025. – 353 с. – ISBN 978-5-9614-8310-9.

3.   Сланова А.В. Белый хакер и чёрный хакер // Аллея науки. 2019. Т. 1. № 1 (28). С. 949-954.

4.   Галиева Л.Д., Аюпова А.Р. Что такое "pentest" и для чего он нужен? // Достижения и приложения современной информатики, математики и физики. Материалы VII Всероссийской научно-практической заочной конференции. 2018. С. 562-567.

5.   Голубов Н. А., Косов Н. А. Внутренние угрозы: Разнообразие и профилактика инсайдеров в организациях. – 2023.

6.   Косов Н. А., Голубов Н. А. Способы защиты от инсайдерских атак // Инновационные решения социальных, экономических и технологических проблем современного общества. – 2021. – С. 149-151.

7.   Костенко, В.В., Козачок В.И.NEET-молодежь и ее участие в протестной деятельности как фактор возможных "цветных революций". Социальная политика и социальное партнерство. 2020, № 6, c. 40–49. DOI: https://doi.org/10.33920/pol-01-2006-05.

8.   Минаев, В.А.; Дворянкин, С.В. Обоснование и описание модели динамики информационно-психологических воздействий деструктивного характера в социальных сетях. Безопасность информационных технологий. [S.l.], т. 23, № 3, с. 35–48, 2016. ISSN 2074-7136. URL: https://bit.spels.ru/index.php/bit/article/view/16 (дата обращения: 30.09.2025).

9.   Волкова Т. Г., Таланова И. О. Геймификация в образовании: проблемы и тенденции // Ярославский педагогический вестник. 2022. № 5 (128). С. 26-33. http://dx.doi.org/10.20323/1813-145X-2022-5 128-26-33. https://elibrary.ru/hggytn

10. Сизых Д.С., Сизых Н.В. Формирование однородных групп обучающихся методом кластерного анализа с целью повышения эффективности процесса обучения. Чувашский республиканский институт образования Минобразования Чувашии: издательский дом «Среда» 2022, c. 49–77.DOI: 10.31483/r-103748.

REFERENCES:

[1] Graham D. Ethical Hacking. A Practical Guide to Hacking. St. Petersburg: St. Petersburg Publishing House, 2025. – 384 p. – ISBN 978-5-4461-1952-3.

[2] Schneider B. Hack Everything. How the Powerful Use System Vulnerabilities to Their Advantage. Moscow: Alpina Publishing House, 2025. – 353 p. – ISBN 978-5-9614-8310-9.

[3] Slanova A.V. White hacker and black hacker // Alley of Science. 2019. Vol. 1. No. 1 (28). Pp. 949-954.

[4] Galieva L.D., Ayupova A.R. What is "pentest" and what is it for? // Achievements and Applications of Modern Computer Science, Mathematics, and Physics. Materials of the VII All-Russian Scientific and Practical Correspondence Conference. 2018. Pp. 562-567.

[5] Golubov N. A., Kosov N. A. Internal Threats: Diversity and Prevention of Insiders in Organizations. – 2023.

[6] Kosov N. A., Golubov N. A. Methods of Protection Against Insider Attacks // Innovative Solutions to the Social, Economic, and Technological Challenges of Modern Society. – 2021. – Pp. 149-151.

[7] Kostenko, V.V., Kozachok V.I. NEET Youth and Their Participation in Protest Activities as a Factor in Possible Color Revolutions. Social Policy and Social Partnership. 2020, No. 6, pp. 40–49. DOI: https://doi.org/10.33920/pol-01-2006-05.

[8] Minaev, V.A.; Dvoryankin, S.V. Justification and Description of the Model of the Dynamics of Destructive Information and Psychological Influences in Social Networks. Information Technology Security. [S.l.], vol. 23, no. 3, pp. 35–48, 2016. ISSN 2074-7136. URL: https://bit.spels.ru/index.php/bit/article/view/16 (accessed: 30.09.2025).

[9] Volkova T. G., Talanova I. O. Gamification in Education: Problems and Trends // Yaroslavl Pedagogical Bulletin. 2022. No. 5 (128). Pp. 26-33. http://dx.doi.org/10.20323/1813-145X-2022-5 128-26-33. https://elibrary.ru/hggytn

[10]        Sizykh D.S., Sizykh N.V. Formation of homogeneous groups of students using cluster analysis in order to improve the efficiency of the learning process. Chuvash Republic Institute of Education of the Ministry of Education of Chuvashia: Sreda Publishing House, 2022, pp. 49–77. DOI: 10.31483/r-103748.

Песчанских Георгий Владимирович, независимый исследователь

доктор экономических наук, кандидат физико-математических наук,

профессор математики и информационных технологий,

доцент по кафедре специальных дисциплин,

e-mail:peschanskikh_gv@mail.ru, https://orcid.org/0009-0006-4503-0176