17.06.2024 04:00
andrettv 0 2100 Источник

Завершая небольшую серию материалов о моделях компетенций в ИБ, нельзя не рассказать о самой молодой и компактной из них — ECSF, впервые представленной на 1-й конференции ENISA по кибернавыкам в сентябре 2022 года. ECSF обобщает роли, связанные с кибербезопасностью, в 12 профилей, которые с учётом обязанностей, взаимодействия и взаимозависимостей обеспечивают единое понимание задач, навыков и знаний, и способствуют разработке программ обучения.

12 ролевых профилей ECSF
12 ролевых профилей ECSF

Целями создания системы заявлены следующие:

  • обеспечить единую терминологию и одинаковое понимание спроса (вакансии, подбор персонала) и предложения (повышение квалификации, обучение) по навыкам кибербезопасности в ЕС.

  • помочь работодателям определять критичный набор навыков, необходимый специалистам, а учебным заведениям — обеспечивать их развитие.

  • определить основные профессиональные роли в области кибербезопасности и необходимые для них навыки, включая поведенческие. Помочь HR узнать о требованиях к планированию ресурсов, набору персонала и планированию карьеры в сфере ИБ.

  • способствовать гармонизации образования, обучения и развития персонала в области кибербезопасности.

  • способствовать усилению защиты от кибератак и обеспечению безопасности ИТ-систем и предоставить рекомендации по наращиванию потенциала специалистов по кибербезопасности.

Вся модель изложена в двух документах:
Ролевые профили — перечень из 12 типичных ролей специалистов по кибербезопасности с указанием их названий, миссий, задач, навыков и знаний.
Руководство пользователя содержит практические примеры того, как использовать модель и извлекать из нее пользу в качестве работодателя, учебного заведения или обучающегося.
Здесь я хочу представить вашему вниманию перевод ECSF на русский.

Краткое описание DPO — одного из 12 ролевых профилей в ECSF
Краткое описание DPO — одного из 12 ролевых профилей в ECSF

В качестве шкалы квалификации выбрана 5-уровневая европейская система ИТ-компетенций e-CF.

Шкала квалификации в ECSF
Шкала квалификации в ECSF
Сопоставление ролевых профилей с уровнями квалификации
Сопоставление ролевых профилей с уровнями квалификации

e-CF в данном случае служит связующим звеном между работодателями и учебными заведениями, которые сопоставляют с её 40 компетенциями свои учебные программы (см.проект CyberHEAD). Поскольку регламентирующий e-CF документ (EN16234-1:2019), распространяется на платной основе, на помощь снова приходит SFIA, которая представлена в открытом доступе:

Сопоставление ролевых профилей ECSF с навыками и уровнями ответственности в SFIA
Сопоставление ролевых профилей ECSF с навыками и уровнями ответственности в SFIA

Ведущие организации по сертификации (CompTIA, ISC2, ISACA, SANS) поддержали ECSF, сопоставляя свои сертификаты с ролевыми профилями. Специалистам это позволит использовать знания, указанные в соответствующих сертификатах, для улучшения своих карьерных перспектив и профессионального роста. А организациям это поможет при составлении траекторий повышения квалификации и переподготовки сотрудников, увязывая компетенции и навыки с конкретными ролями.

Таким образом, к преимуществам ECSF относятся:

  • Гармонизация: ECSF способствует гармонизации образования, обучения и развития специалистов в области кибербезопасности в Европе.

  • Ориентир для ЕС: ECSF служит справочником для стран ЕС при определении и оценке соответствующих навыков, что имеет решающее значение для преодоления дефицита кадров в области кибербезопасности в ЕС.

  • Профили ролей: ECSF предоставляет подробные профили ролей, помогая оценить обязанности, навыки, синергию и взаимозаменяемость профессионалов в области кибербезопасности.

О достоинствах поговорили, перейдем к их продолжению, т.е. недостаткам. ECSF охватывает не все роли и задачи, описанные в других моделях, таких как NICE или SFIA, и может не подходить тем, кто работает за пределами ЕС. Принятие ECSF в странах ЕС не обходится без трудностей:

  • Гармонизация: Выравнивание с ECSF различных систем образования и подготовки в области кибербезопасности в странах-членах ЕС бывает сложным.

  • Осведомленность и приверженность: Возможно, заинтересованные стороны недостаточно осведомлены о ECSF, что может препятствовать её принятию.

  • Выделение ресурсов: Внедрение ECSF требует ресурсов, включая финансирование и персонал, которые могут быть доступны не во всех странах.

  • Культурные различия: В разных странах могут быть разные подходы к кибербезопасности, на что влияют культурные, и нормативно-правовые различия.

  • Языковые барьеры: Для эффективного внедрения в ЕС ECSF должна быть доступна на европейских языках.

  • Быстро меняющийся ландшафт киберугроз: ECSF должна постоянно развиваться, чтобы идти в ногу с меняющимся характером киберугроз.

Эти вопросы требуют скоординированных усилий стран ЕС, образовательных учреждений, работодателей и политиков.

Если вы не нашли подходящий профиль роли среди двенадцати типовых, представленных в ECSF, ее авторы предлагают следующие действия:

  • Адаптация: Рассмотрите возможность изменения имеющегося профиля роли, чтобы он лучше соответствовал конкретным потребностям вашей организации или роли, которую вы хотите определить.

  • Консультации: Проконсультируйтесь с экспертами кибербезопасности или заинтересованными сторонами, чтобы определить уникальные аспекты роли, которые могли быть не учтены в существующих профилях.

  • Анализ пробелов: Проведите анализ несоответствия, чтобы выяснить, какие навыки, знания и компетенции требуются для данной роли, но не учтены в профилях ECSF.

  • Изменение: Авторы открыты для обратной связи, и готовы рассмотреть возможности обновления или добавления новых профилей, отражающих новые роли.

ECSF задумывалась как гибкий инструмент, способный адаптироваться к меняющемуся ландшафту ролей в сфере кибербезопасности. Организациям предлагается использовать её в качестве отправной точки и изменять модель по мере необходимости, чтобы она соответствовала их конкретным требованиям.

Практическое применение ECSF зависит от многих факторов, таких как перспективы рынка, цели, размер и отрасль организации и т.д. Для быстрого погружения ENISA предлагает руководствоваться следующими пятью шагами:

  1. Проанализируйте ситуацию. Узнайте о состоянии с кибербезопасностью в целевой среде (например, организации) для определения базового уровня. Определите участвующие стороны и цели.

  2. Определите конкретные задачи. Изучите состояние целевой среды и определите требования кибербезопасности, и/или цели организации. В зависимости от ситуации можно использовать ECSF в качестве таксономии для определения целей.

  3. Выберите компоненты ECSF (задачи, навыки, знания). Выберите профили, которые имеют отношение к конкретной ситуации, а затем компоненты, которые помогут удовлетворить требования и достичь поставленных целей.

  4. Адаптируйте выбранные компоненты в соответствии с требованиями. Внесите при необходимости изменения в компоненты, чтобы они лучше соответствовали конкретной ситуации. Профили ролей и/или их компоненты можно объединять, разделять или включать в контекст конкретной отрасли в соответствии с ситуацией.

  5. Примените компоненты в целевой среде. Используйте адаптированных компоненты для решения задач, связанных с ИБ, необходимых для улучшения ситуации.

Варианты применения ECSF, предлагаемые ENISA
Варианты применения ECSF, предлагаемые ENISA

Мое личное мнение — ECSF лучше других моделей подходит для целей профориентации, и даёт возможность познакомиться с основными профессиями в ИБ.

Ролевые профили ECSF в цикле управления компанией
Ролевые профили ECSF в цикле управления компанией

Это позволит узнать, кто чем занимается и более осознанно выбрать карьерный путь, а также оценить, какие знания и умения для этого потребуются.

Комментарии (0)