И призываем создавать свой «КИОСК»* (Каталог Информации для Образования в Сфере Кибербезопасности. *Временное название для привлечения внимания)
Привет, Хабр.
Нас, представителей рынка ИБ, легко обвинить в идеализме. Когда мы рассказываем про то, как важно для безопасности делать «так» и «эдак», в воздухе повисает вопрос: а где взять всех этих прекрасных людей, которые выстроят безопасный контур, пропатчат все дыры, закупят и настроят всё ПО, обучат сотрудников и приведут в порядок документы? Кто их учит? Как правильно составить вакансию, чтобы отыскать этих гениев? А если ты сам тот специалист, который должен всё это делать – как найти себе место в необъятном ИБ, понимать свою силу и ограничения?
Этим постом мы хотим начать серию публикаций перевода полезного фреймворка NICE, созданного Национальным институтом стандартов и технологий (NIST, подразделение Управления по технологиям США, одного из агентств Министерства торговли США).
Откуда идея переводить иностранный стандарт? На идею натолкнули коллеги. С одной стороны в России есть «свой путь» и свои стандарты(например Специалист по защите информации в телекоммуникационных системах и сетях, Специалист по автоматизации информационно-аналитической деятельности в сфере ИБ и так далее). Но, это разрозненные документы, написанные на языке, который неподготовленный человек не осилит. Поэтому есть ощущение, что необходимо подвести всё к общему знаменателю, «смапить» компетенции.
С другой стороны, не секрет, что в ВУЗе не даётся «образование под ключ». Дополнительные знания нужно брать самостоятельно. Но как понять студенту, в какую сторону копать? Поэтому при локализации фреймворка хотелось расширить его конкретными ссылками на курсы\тренажёры\площадки, где он сможет прокачивать выбранные навыки.
Как нам кажется, фреймворк хорош для решения обозначенных проблем. Им удобно пользоваться и работодателям, и сотрудникам, и преподавателям, чтобы сориентироваться куда вообще движется ИБ-знание. Особенно для студентов, потому что, сдаётся мне, учат их по российским стандартам, а спрашивать будут – по международным.
Что ж, посмотрим, что в нем. NICE предлагает разделить ИБ-специалистов на семь групп, в соответствии с их функциями:
аналитика;
сбор данных и операции;
расследование;
операции и поддержка;
управление;
защита и отражение атак;
архитектура и разработка инфраструктуры.
В них сотрудники делятся по специализациям, которых всего 33, а кроме того, каждый выполняет определенную роль (одну из 52 возможных). Для каждой роли указаны необходимые базовые навыки и умения (компетенции), задачи, а также расписаны «индикаторы возможностей», что можно, пожалуй, перевести как уровни «продвинутости» знаний (базовый, средний и передовой).
Для дополнительного удобства NICE подразделяет компетенции на технические, операционные, профессиональные и лидерские. Список компетенций регулярно обновляется в соответствии с потребностями работодателей. Так что стандарт NICE кажется хоть и не «серебряной пулей», но возможностью создать общую картину мира ИБ-профессий для преподавателей, работодателей и самих будущих профессионалов.
Документ необъятный, поэтому пока решили, что будем идти по алфавиту. Тем более, что на «А» милая душе «Аналитика». По каждому разделу решили пока углубляться до раздела «специализация». Зайдет вам – продолжим «бурение» до ролей и дальше.
Затягивать с делом не будем, первую «главу» выпустим уже скоро.
А пока будем рады комментариям с развивающей обратной связью и предложением помощи – тогда осилим перевод быстрее (пишите в личку или в комментарии). Тем более, что Habr уже знает примеры удачных проектов по крауд-переводам.
P.S. И что с названием, КИОСК? Предлагайте свои варианты в комментариях.
Комментарии (6)
sailordev
27.12.2021 17:39Не понял, чем будет подкреплен данный "стандарт".
NICE, созданного Национальным институтом стандартов и технологий (NIST, подразделение Управления по технологиям США, одного из агентств Министерства торговли США)
Этим он и стандарт, что распространяется авторитетным "источником" и внедряется на низком уровне (университеты)
labyrinth Автор
28.12.2021 09:39+2@Dzzzen, @sailordev, я вижу прямую аналогию с MITRE ATT&CK и БДУ ФСТЭК. Да, есть своё. Но есть потребность сопостовлять с мировым. Например, вот. Собственно, коллеги из Positive Technologies вчера выкатили пост, который подтверждает написанное здесь.
Так вот, мне видится, что и в случае с NICE имеет смысл проделать аналогичную работу.
Protos
28.12.2021 19:44Я бы лучше SLSA, DSOMM, OWASP переводил или что-то иное. Мне просто безопасная разработка сейчас актуальна.
Dzzzen
Так и не понял, зачем вам это надо. Преподаватели и студенты точно этим пользоваться не будут.