Как написать свой профстандарт специалиста по ИБ, а заодно и должностную инструкцию для него?

Как написать свой профстандарт специалиста по ИБ, а заодно и должностную инструкцию для него?

В последнее время в России активно взялись за образование по ИБ и стали... нет, не готовить больше специалистов и лучше. Стали больше формализовать их навыки и знания в профстандартах, которым этим специалисты должны соответствовать, чтобы смело называть себя специалистами и претендовать на работу по этой востребованной (если отбросить риски не поехать за границу, присесть за сотрудничество с иностранными компаниями, получить допуск к гостайне и т.п.) специальности. Но при подготовке таких профстандартов слишком много внимания уделяется бюрократии и оформлению стандарта, чем его наполнению. Также нередко профстандарты пишутся людьми, далекими от практической работы, что приводит к тому что, львиную долю требуемых навыков и знаний составляет нормативная, а не практическая составляющая.

Мне подумалось, что надо помочь писателям профстандартов и подсказать им прекрасный ресурс, с которого можно копипастить все, что необходимо для качественного профстандарта специалиста по ИБ. Самим же авторам стандартов останется заниматься только оформлением переведенного текста. Да, это не русскоязычный ресурс, но от этого он не стал хуже, скорее наоборот. Речь идет об постоянно обновляемом фреймворке NICE ( National Initiative for Cybersecurity Education ).

В рамках этого фреймворка выделяется 7 категорий (высокоуровневых функций, связанных с ИБ), 33  специализации по ИБ и 52 роли, для которых описываются необходимые знания, навыки и обязанности, которыми должен обладать специалист по ИБ, претендующий на конкретную роль.


К семи категориям и 33 специализациям внутри них относятся:

  • анализ
    • анализ всех источников
    • анализ уязвимостей
    • лингвистический анализ
    • географический/политический анализ
    • анализ угроз и нарушителей  
  • сбор данных и операции
    • операции по сбору данных
    • планирование киберопераций
    • сбор доказательств
  • расследование
    • расследование инцидентов
    • сбор и анализ доказательств (форензика)
  • операции и поддержка
    • поддержка пользователей
    • управление данными
    • управление знаниями
    • сетевые сервисы
    • системное администрирование
    • системный анализ
  • управление
    • управление ИБ
    • лидер по ИБ (для топ-менеджеров)
    • юридическая поддержка ИБ
    • управление программами и проектами
    • стратегическое планирование
    • организация обучения и повышения осведомленности 
  • защита
    • анализ событий ИБ
    • тестирование, внедрение, администрирование инфраструктуры ИБ
    • реагирование на инциденты
    • управление и оценка уязвимостей 
  • архитектура и разработка
    • управление рисками
    • разработка ПО
    • системная архитектура
    • разработка систем
    • планирование требований к системам
    • технологические исследования и разработка
    • тестирование и оценка.

В зависимости от специализации выделяются 52 роли или, можно сказать, должности по ИБ. Например, аналитик по киберпреступлениям, архитектор, администратор баз данных, аналитик SOC, специалист по расследованиям, аудитор, разработчик ПО, инструктор и т.п. Но NICE полезен не тем, что он классифицировал ИБ-роли, а тем, что для каждой из них прописаны рекомендуемые обязанности, знания и навыки. Например, возьмем специалиста по реагированию на инциденты. Он должен разбираться в 30-ти областях знаний, среди которых:

  • знание угроз и уязвимостей
  • знание законодательства (без уточнения какого)
  • знание сетевых сервисов и протоколов
  • знание категорий инцидентов
  • знание методов обнаружения атак на уровне сети, хостов и облаков
  • знание основных сетевых концепций, включая топологии, протоколы, компоненты
  • знание концепций и методологий анализа вредоносного ПО
  • знание рисков безопасности приложений, например, OWASP Top10
  • и т.п.
Навыков от специалиста по реагированию требуется "всего" восемь:
  • навыки идентификации, получения, локализации и репортинга по вредоносному ПО
  • навыки обеспечения целостности цифровых доказательств на разных платформах и в соответствие с требованиями локального законодательства
  • навыки защиты сетевых коммуникаций
  • навыки распознавания и категоризации типов уязвимостей и связанных с ними атак
  • навыки защиты сети от вредоносного ПО
  • навыки оценки ущерба
  • навыки использования средств корреляции событий ИБ
  • навыки реализации реагирования на инциденты для облаков (этот пункт, видимо, добавился совсем недавно).

Наконец, в NICE для каждой роли описаны еще и служебные обязанности, среди которых, например:

  • классификация и приоритизация инцидентов
  • документирование инцидента
  • оценка тенденций
  • анализ логов от разных источников
  • корреляция данных по разным инцидентам и подготовка рекомендаций по их нейтрализации
  • сбор артефактов по инцидентам
  • написание отчетов по инцидентам
  • взаимодействие с правоохранительными или иными специальными органами, проводящими расследование инцидента
  • мониторинг внешних источников данных
  • координация функций по реагированию на инциденты
  • и т.п.

В заключение, для каждой роли прописаны дополнительные требования, привязанные к трем уровням "крутости" специалиста (начальный, средний, продвинутый). У нас бы их назвали как-нибудь типа инженер по защите информации I-III категории, ведущий или старший инженер по защите информации. Для каждого из 3-х уровней NICE рекомендует:

  • наличие сертификации (с указанием покрываемых сертификатом тем и направлений)
  • необходимость ежегодного повышения квалификации (с указанием его длительности)
  • необходимый уровень образования - среднее, высшее (бакалавр/магистр) и, даже, аспирантура
  • необходимость практического обучения
  • необходимые тренинги.  
В США, где, собственно, и родилась инициатива NICE, сейчас все требования к специалистам по ИБ, особенно для госорганов, базируются на NICE, что позволяет использовать этот фреймворк как единую точку отсчета для оценки специалистов по ИБ. Работодатели знают, что требовать от кандидатов при приеме на работу, а также что включать в должностные инструкции. ВУЗы знают, какие навыки будут востребованы работодателями и готовят свои учебные планы, отталкиваясь от нужных навыков и знаний. Кандидаты понимают, что им надо знать/уметь, когда они отзываются на ту или иную вакансию. Учебные центры могут готовить нужных специалистов в соответствие с классификацией NICE.

Вообще, NICE - классная инициатива, поддерживаемая государством. Если бы у нас ФСТЭК не дистанцировалась от всего, что связано с образованием, и перешла от согласования разрозненных и неимеющих единого знаменателя обучающих программ, то это был бы большой шаг вперед. А пока у нас за все отвечает УМО, которое малость оторвано от жизни и реальных чаяний работодателей, которые вынуждены переучивать с нуля выпускников, а также ВУЗов, которые не могут готовить востребованных специалистов. В итоге мы имеем то, что имеем.

Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.