В последнее время в России активно взялись за образование по ИБ и стали… нет, не готовить больше специалистов и лучше. Стали больше формализовать их навыки и знания в профстандартах, которым этим специалисты должны соответствовать, чтобы смело называть себя специалистами и претендовать на работу по этой востребованной (если отбросить риски не поехать за границу, присесть за сотрудничество с иностранными компаниями, получить допуск к гостайне и т.п.) специальности. Но при подготовке таких профстандартов слишком много внимания уделяется бюрократии и оформлению стандарта, чем его наполнению. Также нередко профстандарты пишутся людьми, далекими от практической работы, что приводит к тому что, львиную долю требуемых навыков и знаний составляет нормативная, а не практическая составляющая.
Мне подумалось, что надо помочь писателям профстандартов и подсказать им прекрасный ресурс, с которого можно копипастить все, что необходимо для качественного профстандарта специалиста по ИБ. Самим же авторам стандартов останется заниматься только оформлением переведенного текста. Да, это не русскоязычный ресурс, но от этого он не стал хуже, скорее наоборот. Речь идет об постоянно обновляемом фреймворке NICE (National Initiative for Cybersecurity Education).
В рамках этого фреймворка выделяется 7 категорий (высокоуровневых функций, связанных с ИБ), 33 специализации по ИБ и 52 роли, для которых описываются необходимые знания, навыки и обязанности, которыми должен обладать специалист по ИБ, претендующий на конкретную роль.
К семи категориям и 33 специализациям внутри них относятся:
- анализ
- анализ всех источников
- анализ уязвимостей
- лингвистический анализ
- географический/политический анализ
- анализ угроз и нарушителей
- сбор данных и операции
- операции по сбору данных
- планирование киберопераций
- сбор доказательств
- расследование
- расследование инцидентов
- сбор и анализ доказательств (форензика)
- операции и поддержка
- поддержка пользователей
- управление данными
- управление знаниями
- сетевые сервисы
- системное администрирование
- системный анализ
- управление
- управление ИБ
- лидер по ИБ (для топ-менеджеров)
- юридическая поддержка ИБ
- управление программами и проектами
- стратегическое планирование
- организация обучения и повышения осведомленности
- защита
- анализ событий ИБ
- тестирование, внедрение, администрирование инфраструктуры ИБ
- реагирование на инциденты
- управление и оценка уязвимостей
- архитектура и разработка
- управление рисками
- разработка ПО
- системная архитектура
- разработка систем
- планирование требований к системам
- технологические исследования и разработка
- тестирование и оценка.
В зависимости от специализации выделяются 52 роли или, можно сказать, должности по ИБ. Например, аналитик по киберпреступлениям, архитектор, администратор баз данных, аналитик SOC, специалист по расследованиям, аудитор, разработчик ПО, инструктор и т.п. Но NICE полезен не тем, что он классифицировал ИБ-роли, а тем, что для каждой из них прописаны рекомендуемые обязанности, знания и навыки. Например, возьмем специалиста по реагированию на инциденты. Он должен разбираться в 30-ти областях знаний, среди которых:
- знание угроз и уязвимостей
- знание законодательства (без уточнения какого)
- знание сетевых сервисов и протоколов
- знание категорий инцидентов
- знание методов обнаружения атак на уровне сети, хостов и облаков
- знание основных сетевых концепций, включая топологии, протоколы, компоненты
- знание концепций и методологий анализа вредоносного ПО
- знание рисков безопасности приложений, например, OWASP Top10
- и т.п.
- навыки идентификации, получения, локализации и репортинга по вредоносному ПО
- навыки обеспечения целостности цифровых доказательств на разных платформах и в соответствие с требованиями локального законодательства
- навыки защиты сетевых коммуникаций
- навыки распознавания и категоризации типов уязвимостей и связанных с ними атак
- навыки защиты сети от вредоносного ПО
- навыки оценки ущерба
- навыки использования средств корреляции событий ИБ
- навыки реализации реагирования на инциденты для облаков (этот пункт, видимо, добавился совсем недавно).
Наконец, в NICE для каждой роли описаны еще и служебные обязанности, среди которых, например:
- классификация и приоритизация инцидентов
- документирование инцидента
- оценка тенденций
- анализ логов от разных источников
- корреляция данных по разным инцидентам и подготовка рекомендаций по их нейтрализации
- сбор артефактов по инцидентам
- написание отчетов по инцидентам
- взаимодействие с правоохранительными или иными специальными органами, проводящими расследование инцидента
- мониторинг внешних источников данных
- координация функций по реагированию на инциденты
- и т.п.
В заключение, для каждой роли прописаны дополнительные требования, привязанные к трем уровням «крутости» специалиста (начальный, средний, продвинутый). У нас бы их назвали как-нибудь типа инженер по защите информации I-III категории, ведущий или старший инженер по защите информации. Для каждого из 3-х уровней NICE рекомендует:
- наличие сертификации (с указанием покрываемых сертификатом тем и направлений)
- необходимость ежегодного повышения квалификации (с указанием его длительности)
- необходимый уровень образования — среднее, высшее (бакалавр/магистр) и, даже, аспирантура
- необходимость практического обучения
- необходимые тренинги.
Алексей, я бы не был столь категоричен в последнем предложении. Вузы сейчас, хоть и не многие, но стараются выяснить потребность по конкретным навыкам у компаний и уже под это дело создать учебные программы.
У кого-то это быстрее получается, у кого-то медленнее. Но для меня, как представителя заказчика, важно, что процесс движется.
Ну исключения только подтверждают правило. Есть ВУЗы, которые вообще живут мимо ФГОСов, но таких мало.