По сюжету «Кобаяси Мару» является космическим гражданским кораблем, который находясь в нейтральной космической зоне расы клингонов, оказался поврежден. У клингонов с людьми идет длительное конфликт и поэтому вмешательство тестируемого курсанта может негативно сказаться на развитии событий. Если попытаться спасти пассажиров «Кобаяси Мару», нарушив нейтралитет с клингонами, то это спровоцирует их на агрессию и возможно военный конфликт. Если выбрать невмешательство, то это значит дать гражданскому судну погибнуть. Это классическая дилемма с двумя безвыходными и негативными сценариями развития событий и надо выбрать из них только один. При этом в фильме компьютер, который и моделирует данную игру с курсантами, запрограммирован на проигрыш курсанта.
Вот мне и пришла в голову мысль, почему бы не использовать эту идею при приеме на работу специалистов по кибербезопасности. Вместо проверки знаний числа уровней модели OSI, нормативных документов ФСТЭК, рынка кибербезопасности и тому подобной чепухи, мало нужной в реальной работе безопасника, стоит задавать сценарии и проверять, по какому пути пойдет кандидат. Например, такой сценарий: «Осень. Вы планируете бюджет отдела ИБ на следующий год и среди прочего перед вами встает вопрос — заложить ли деньги на выполнение закона «О персональных данных» в размере 7 миллионов рублей, которые будут потрачены на аудит текущей ситуации приглашенным лицензиатом ФСТЭК, разработку проекта защиты ПДн и приобретение средств защиты информации?
Вопрос достаточно простой на первый взгляд и он рано или поздно встает почти перед каждым безопасником (разница только в сумме). Вы можете пойти по традиционному пути и заложить эти деньги по принципу «так положено». А можете пойти по принципу «а вдруг» и договориться, что деньги будут выделены, если организация попадет в перечень плановых проверок РКН (но тогда причем тут лицензиат ФСТЭК и защита ПДн?). А можно пойти по бизнес-сценарию и принять как данность, что даже в худшем сценарии развития событий сумма штрафа составит на порядок меньшие деньги заложенных в бюджет и можно принять риск несоответствия, потратив деньги на более реальные бизнесу нужды. Причем тут нет правильного ответа (все как в тесте «Кобаяси Мару»). В любом случае вы что-то теряете — деньги бюджета на бесполезное приведение себя в соответствие или репутацию в случае прихода регулятора и сумму штрафа? Что выберет кандидат? На выбор будет влиять его бизнес- или compliance-ориентированность, которая и может стать предметом анализа в рамках данного теста.
Чем не идея? Среди других тестов «Кобаяси Мару» в ИБ может быть проверка дилемм «отечественное или зарубежное средство защиты», «open source vs коммерческое ПО», «своя система защиты vs аутсорсинг»…
ЗЫ. В фильме Джеймс Кирк проходит этот тест (единственный курсант в оригинальной вселенной «Звездного пути») просто «взломав» компьютер и изменив программу. Это позволяет проверить если не характер, то оригинальность мышления кандидата, что тоже может быть одной из задач теста.
2012 год, в западных вызах как минимум обсуждали возможность использования подобных тестов для студентов https://siliconangle.com/blog/2012/06/15/learning-the-lesson-of-the-kobayashi-maru-cybersecurity-thinking-like-the-enemy-and-big-data/
Идея не плохая. давно используем в том или ином виде..
Отлично
Здравая мысль. 🙂
Тестирование это отлично…про 7 миллионов тест конечно смешной….
Тест "Прозорова-Емельянникова": По какому ПП защищать бухгалтерию в госоргане-по 21 или 17? )))
Ищу кандидата на должность руководителя направления безопасности объектов КИИ. Тест для кандидата: как выгодно подтверждать соответствие средств защиты информации и подсистемы безопасности объекта КИИ: использовать сертифицированные СЗИ, проводить испытание, проводить приемку?
Поддерживаю полностью. Энциклопедические знания это хорошо, но гораздо интереснее как рассуждает кандидат на должность.
Причем это проходит не только на руководящие должности, но и на инженерные. Вопрос с сценариях.