Терминология NICE Framework. Что важно знать?

В отличие от профстандартов NICE Framework удалось гибко связать сферы обучения и работы. Разработчики учли, что кибербез-специалист учится на протяжении всей жизни 🤓

📎 Работа в NICE Framework описывается через выполняемые задачи, каждая из которых включает набор навыков и знаний (рисунок 1).

📎 Группа задач может объединяться в области компетенций (термин взяли из сферы образования), на основе которых удобно разрабатывать программы обучения (рисунок 2).

📎 Рабочая роль - набор решаемых рабочих задач. Должность может включать множество рабочих ролей (рисунок 3).

Через формирование областей компетенций можно обучать новым ИБ-направлениям, которые еще не сложились, как рабочая роль или должность 🤔

Посмотрим на примере, как работать с NICE Framework: рабочая роль Системный администратор, а должность может звучать, как Специалист службы технической поддержки.

Задачи, которые решает роль:
T0054: Разработать групповые политики и списки управления доступом.
T0514: Выполнить диагностику неисправного системного/серверного оборудования.

Знания, которые необходимы для решения задач:
K0004: Знание принципов кибербезопасности и конфиденциальности.
K0289: Знание инструментов диагностики системы/сервера и методов выявления неисправностей.

Навыки, которые необходимы для решения задач:
S0043: Навыки поддержки служб каталогов (например, Microsoft Active Directory, LDAP и т. д.).
S0144: Навыки устранения физических и технических проблем, влияющих на производительность системы/сервера.

Для разработки программы повышения квалификации 👨‍🏫 для системных администраторов со знанием СЗИ сформируем область компетенций, включающую задачи T0054, T0514 и дополнительно T0335: Сборка, установка, настройка и тестирование специального оборудования для киберзащиты, где оценим знания с помощью тестов, а навыки на демо-стенде.

Подробнее про NICE Framework см. тут, тут и тут 👀 Обратите внимание на предложения по новым областям компетенций 🤔

#nice_framework #модель_компетенций

Европейская система навыков кибербезопасности (ECSF)

ЕС серьезно озадачился дефицитом кадров в области ИБ 🤔

Для решения этой проблемы была создана Академия навыков кибербеза и собственный фреймворк ECSF (European Cybersecurity Skills Framework), который описывает задачи, компетенции, навыки и знания, связанные с 12 типичными ролями специалистов по кибербезу (рисунок 1).

📎 Представленные роли можно связать с управленческим циклом (рисунок 2).

📎 Навыки и знания очевидно трансформируются в учебные программы (рисунок 3).

Перечислим роли, которые описывает ECSF.
1. Руководитель отдела информационной безопасности
2. Инженер по реагированию на инциденты
3. Консультант по киберправу
4. Аналитик киберразведки
5. Архитектор безопасности данных
6. Аудитор по рискам и соблюдению требований информационной безопасности
7. Тренер по кибербезопасности
8. Разработчик кибербезопасности (DevSecOps)
9. Инженер-исследователь кибербезопасности
10. Аналитик рисков информационной безопасности
11. Консультант по компьютерной криминалистике
12. Пентестер

Детальное описание самого ECSF тут, презентация и все роли 👀

#модель_компетенций #ECSF

SPARTA Cybersecurity Skills Framework

Еще один фреймворк с описанием навыков в области кибербеза от ЕС, построенный на основе NICE (NIST SP 800-181), но с фокусом на образование 👨‍🏫

В документах SPARTA подчеркивается, что разработчики учли особенности законодательства и образовательные стандарты ЕС 🤔

Для обучения кибербез-знаниям и навыкам SPARTA определяет набор компетенций, которые связываются с темами (topics) (рисунок 1, 2, 3) 🤔

Например (рисунок 3), в теме Probability and Statistics из раздела Математика, осваивается компетенция Modeling and Simulation and Data Analysis. Знания и навыки для компетенции берутся из NICE Framework. Правда, зачем изобретать велосипед? 🤔

Дополнительно SPARTA разработали интерактивный конструктор учебных программ по кибербезу 🔥

Детально познакомиться с методикой SPARTA можно по ссылкам:
📎 Структура навыков кибербезопасности.
📎 Описание учебных программ.

#модель_компетенций #SPARTA

От набора навыков к сервису на основе данных

Для визуализации рынка труда в области кибербеза американские компании NICE, CompTIA и Lightcast разработали карту вакансий CyberSeek (сам сервис заблокирован для жителей РФ).

За 2022 год работодатели зарегистрировали на сайте 769 736 вакансий, требующих кибербез навыков 🤯

На рисунке показано, как сервис позволяет построить маршрут развития карьеры (начальный уровень, средний и продвинутый), конечно, он не такой детальный как отечественная схема, но замысел близкий 🤔

В основе CyberSeek лежит NICE Framework, информация об экспертной ИБ-сертификации, анализ рынка вакансий и требования к образованию с указаниям, где пройти обучение 👀

#nice_framework #модель_компетенций

Как формируются новые профессии в кибербезе?

Схема развития карьеры в кибербезе показывает, как вместе с внедрением новых типов СЗИ формируются новые профессии: инженер MP SIEM, специалист по поддержке PT AF, специалист по DLP системам, администратор антивирусных средств защиты итд. 🤔

Следуя этой логике в ближайшее время на рынке появится спрос на инженеров PT NGFW и MP Carbon 👨‍💻

#путь_в_ИБ

Канадская система навыков в области кибербезопасности

Канадская система навыков в области кибербезопасности (ITSM.00.039) выпущена под руководством Канадского центра кибербезопасности (Кибер-центра).

В основе лежит американский NICE Framework, адаптированный к канадскому рынку труда. Система включает четыре категории (вместо семи в NICE), которые представляют собой большинство ролей в области кибербезопасности в канадских предприятиях и организациях (на рисунке) 🤔

#nice_framework #модель_компетенций

Модель обновления рабочих ролей в NICE Framework

В октябре рабочая группа NICE предложила добавить к существующим рабочим ролям "Анализ внутренних угроз": роль отвечает за выявление инсайдерских угроз кибербезопасности; делает выводы, которые помогают инициализировать и поддерживать правоохранительную и контрразведывательную деятельность 👨‍💻

Детальное описание рабочей роли в таблице по ссылке: на вкладке "Proposed Aligned TKS Statements" обратите внимание на подробное соответствие задач (IT-T00xx), которые решает роль "Анализ внутренних угроз", знаниям и навыкам (IT-K00xx, S00xx) 🤔

Таким образом, добавление новой роли в NICE Framework влечет за собой 1️⃣ формирование новых программ обучения, 2️⃣ появление экспертной сертификации и явно говорит, что 3️⃣ на рынке сформировался запрос на таких специалистов 👀

#nice_framework #модель_компетенций

Проблема передачи знаний

NICE Framework определяет знания, как извлекаемый набор понятий в памяти. Такой набор далее будем называть тезаурусом 👨‍🏫

Если психофизиологические характеристики ученика и учителя отчасти закладываются от рождения и в течение жизни изменяются незначительно, то тезаурус варьируется и подвержен ежедневным изменениям. Это позволяет нам учиться 👩‍🎓

Ученик пропускает мимо ушей любое сообщение, содержащее ключевые понятия, которых нет в его тезаурусе 🗣

Схема на рисунке 1 демонстрирует, что процесс передачи знаний от учителя к ученику сталкивается со множеством препятствий, т.к. каждый из уровней "стека" может существенно отличаться у источника и приемника знаний.

Если обобщить схему на группу учащихся, то знания передать очень сложно (практически невозможно), поэтому остается их формировать и каким-то образом "выращивать" в голове ученика 🧐

Подробнее, кому интересно, в моей монографии Кибернетический подход к управлению процессом обучения на основе семантических сетей знаний 🧑‍🔬

#наука

Специалист по управлению уязвимостями

Ранее я уже писал про разрыв между профстандартами и реальным рынком кибербеза. Повторяться не хочется. Остается главный вопрос: что с этим делать? 🤔

1️⃣ У меня получилось сопоставить NICE Framework со схемой развития кибербез-специалиста (на рисунке).

2️⃣ В терминах NICE на основе отечественных вакансий с HH подготовил черновик описания рабочей роли Специалист по управлению уязвимостями. Оно получилось более детальное, чем у NICE 😎

На основе предложенного описания рабочей роли теперь можно:
📎 создавать актуальные учебные курсы (элективы в вузе, ДПО)
📎 сравнивать учебные курсы между собой (по знаниям и умениям, которые приобретает ученик)
📎 подбирать кадры на смежные должности
📎 повышать квалификацию сотрудников компании итд итп

Данный кейс показывает, что идею NICE Framework можно адаптировать к реалиям отечественного рынка 👍

#nice_framework #модель_компетенций

Сингапурская модель развития карьеры в области промышленного кибербеза

Карьерный путь, карта навыков и описание компетенций для каждой из ролей по ссылке 🤔

#модель_компетенций #OTCCF

Области компетенций в NICE Framework

Обучение и работа — это разные типы деятельности 👨‍🏫

На работе мы ежедневно выполняем рабочие задачи, а во время обучения приобретем новые знания и навыки, чтобы по окончании решать более сложные и интересные рабочие задачи 👨‍💻

Ранее уже писал, что NICE Framework позволяет разграничить работу (рабочие роли) и области компетенций (на рисунке 1).

В новой редакции NICE предлагает добавить следующие области компетенций (== учебные дисциплины).

1. Управление доступом
2. ИИ в кибербезе 🔥
3. Управление активами
4. Облачная безопасность
5. Сетевая безопасность
6. Криптография
7. Основы кибербеза
8. Лидерство в кибербезе
9. Защита данных
10. DevSecOps
11. Киберустойчивость/надежность
12. Безопасность и администрирование ОС
13. Промышленная безопасность
14. Безопасная разработка
15. Безопасность цепочки поставок

Чувствую, что пора уже готовить отдельную лекцию про адаптацию NICE Framework к отечественному рынку кибербеза 🤔

Поставьте 👍 если интересно послушать такую лекцию.

#nice_framework #модель_компетенций

Cвод знаний по кибербезу CyBOK

Американцы разрабатывают фреймворки, а британцы — энциклопедии

Какую проблему решает CyBOK? 🤔

Представим ситуацию: в каждом вузе страны читается дисциплина по основам ИБ и каждый преподаватель с нуля 😱 готовит подобный курс, на это тратятся силы и время, а в итоге "первый блин — комом"...

Идея проекта CyBOK простая и понятная — консолидировать усилия сообщества, собрать экспертов, которые создадут путеводитель (карту) по миру кибербеза, сделают базовые презентации, запишут подкасты. Все материалы в открытом доступе. Остается только развивать и улучшать. Например, создавая книги для малышей по кибербезу 👼

Национальный центр кибербезопасности Великобритании (NCSC) использует CyBOK в качестве основы для сертификации программ бакалавриата и магистратуры 👨‍🏫

CyBOK разделен на 21 область верхнего уровня, сгруппированную в пять категорий, как показано на рисунке 1. Материалы по всем категориям доступны для свободного скачивания 👍

#cybok

Карта карьеры в кибербезе на основе CyBOK

В Великобритании разработкой и продвижением системы карьерного роста в области кибербеза занимается Совет по кибербезопасности (UK Cyber Security Council): он пишет профстандарты (дорожная карта), этическую декларацию и продвигает карьерные пути 🤔

Рассмотрим некоторые карьерные инструменты UK Cyber Security Council:
📎 карьерное картирование в кибербезе, какая специализация лучше всего подойдет (анкета);
📎 карта киберкарьеры, 16 специализаций в области кибербеза, основанные на CyBOK. Например, специалист по управлению уязвимостями;
📎 список курсов и сертификаций.

#CyBOK

Человеко-ориентированная кибербезопасность (Human-Centered Cybersecurity)

Как учил нас Кевин Митник: "самое слабое звено в безопасности - человеческое звено" 👨‍🏫

Национальный институт стандартов и технологий (NIST), следуя этой логике, запустил программу междисциплинарных исследований Человеко-ориентированная кибербезопасность (ранее "Usable Cybersecurity"), чтобы лучше понять и улучшить взаимодействие людей с системами, продуктами и услугами кибербезопасности 🤔

Области исследований программы: осведомленность и обучение кибербезопасности, Интернет вещей, фишинг, восприятие и поведение пользователей, голосование, понимание молодежью конфиденциальности и безопасности, аутентификация, криптография 🤔

#человеко_ориентированная_кибербезопасность #психология

Схематическое представление проблем на рынке труда в области кибербезопасности

Эту схему увидел в отчете Организации американских государств о развитии кадров в области кибербезопасности 👩‍💻🧑‍💻

На схеме показаны все участники процесса подготовки ИБ-кадров 🔥

Мой фокус внимания сейчас на 1️⃣ схеме развития карьеры в ИБ и описании рабочих ролей, затем 2️⃣ их соотнесении с образовательными компетенциями 👨‍🏫

#схема #модель_компетенций

Что должен знать преподаватель по кибербезу?

Перенесем структуру знаний учителя информатики (Framework for Teacher Knowledge) на область кибербеза 👨‍🏫

Структура знаний учителя описывается тремя пересекающимися областями знаний, которые нужны преподавателю: технологические знания, педагогические знания и знание содержания. Получается диаграмма Венна со множеством пересечений 📊

1️⃣ Знание содержания. Очевидно, что преподаватель по кибербезу должен знать и понимать предмет, который он преподает, включая знание основных фактов, концепций и теории.

2️⃣ Технологические знания: знание операционных систем и компьютерного оборудования, а также способность использовать стандартные наборы программных инструментов. Поскольку технологии постоянно меняются, природа технологических знаний также должна меняться со временем.

3️⃣ Педагогические знания: знания о техниках или методах, которые будут использоваться в аудитории. Преподаватель понимает, как формируются знания у учащихся, приобретаются навыки и развиваются способности.

4️⃣ Знание технологического содержания: знания о том, как технологии и содержание связаны друг с другом. Новые технологии предоставляют разнообразные способы представления содержания (mind map, онтологии и пр.).

5️⃣ Знание педагогического содержания: знание педагогики применительно к преподаванию конкретного содержания (кибербеза) 🤔

6️⃣ Технологические педагогические знания: знание инструментов для ведения записей занятий, посещаемости и оценок, а также знание общих технологических идей (доски обсуждений, чаты и пр.).

7️⃣ Знание технологического педагогического содержания: синергия, полученная в результате знаний п. 1-6 👨‍🔬 👩‍🔬

#педагогика

Развитие кибербез карьеры в Сингапуре

SkillsFuture Singapore подготовили интерактивную схему в формате PDF, где перечислены все треки развития ИТ-специалиста. Отдельно на стр. 222 представлена схема по кибербезу 🥷

📎 Понравилось, что на схеме показана единая точка входа в ИБ-профессии (стр. 224), перечислены навыки и уровень их владения 🤔

📎 Единый документ с ИТ-навыками позволяет показать перекрестные связи кибербеза с разработкой ПО (стр. 82), SysOps (стр. 61) 🔥

📎 Отдельно представлены карты компетенций с техническими (стр.293) и "мягкими" (стр. 444) навыками 🔥

#модель_компетенций #Сингапур

Точки роста для отечественного кибербез образования на 2024 год

🔥 Завершил перевод схемы из отчета Организации американских государств 🌎 о развитии кадров в области кибербезопасности.

После адаптации к отечественным реалиям 🇷🇺 можно обозначить точки роста для кибербез образования в стране 🧐

1️⃣ Построение образовательного маршрута в вузах по примеру УрФУ.
2️⃣ Формирование структуры карьерного пути в ИБ. Начало положено в виде схемы и описания первой рабочей роли.
3️⃣ Построение отечественной структуры профессиональной сертификации по ИБ. Здесь прогресса еще нет 😔
4️⃣ Подготовка MOOC (массовых онлайн курсов) по примеру Белого хакера от CyberEd 👨‍💻
5️⃣ Исследование процесса перехода в кибербез из других областей. Формирование курсов, поддерживающих такие переходы 👀

Это, конечно, далеко не все точки роста 📈

#схема #модель_компетенций

Система кибернавыков австралийского управления связи

Перенесемся в теплую Австралию 🐨 🦘☀️

В системе кибернавыков австралийского управления связи определены девять рабочих ролей (рисунок 1), соответствующих структуре NICE Framework 🤔

Отличие от классического NICE только в хитромудрой градации (стр. 15) уровня мастерства владения навыками для каждой роли 🤯

Ранее я писал про американский сервис CyberSeek, заблокированный для жителей РФ 👀

AUCyberExplorer реализовали аналогичный сервис для рынка труда Австралии (рисунок 2): интерактивный карьерный путь, схему сертификации и показали спрос на кибербез специалистов у себя 🥷

#модель_компетенций #nice_framework

Высшее образование: непреодолимый институциональный разрыв с рынком труда

Приведу несколько ярких цитат из статьи С.А. Баркова (МГУ) и В.И. Зубкова (МАИ) 👨‍🏫

🤯 Миф о практиках, на которых студенты получат актуальные знания и навыки

Учебные планы вузов наполнились разного рода практиками, которые, по задумке реформаторов, должны были связать между собой то, чему учат, и то, что пригодится в будущей работе. А в выпускные экзаменационные комиссии стали включаться так называемые «работодатели», чтобы те могли оценить уровень знаний студентов и предъявить преподавателям свои претензии. Но оба этих начинания провалились.

Оказалось, что необходимого количества рабочих часов для разнообразных практик такого огромного количества студентов в экономике попросту нет. А если в компаниях и появляются какие-то дополнительные работы, их предпочитают поручать не практикантам, а собственным сотрудникам для повышения их дохода.

🤯 Миф об активном участии работодателей в жизни кафедры

... реально действующие менеджеры не могут настолько отрываться от своей работы, чтобы многие часы выслушивать защиты дипломников. Во-вторых, реформаторы совершенно упустили из виду материальную сторону вопроса. Вузы не в состоянии достойно заплатить представителям компаний за их работу в выпускных комиссиях, поскольку вузовские зарплаты жестко привязаны к ученым степеням, которых представители компаний, как правило, не имеют.

🤯 Миф о качестве обучения в вузе

... в вузах искусственно увеличивают число студентов на одного преподавателя, создают непрофильные, но популярные у абитуриентов факультеты, а слабых студентов не отчисляют, если они хотя бы просто появляются на экзаменах и зачетах. Видя это, перестают учиться и другие недостаточно мотивированные студенты, а у преподавателей в результате снижаются требовательность и объективность оценки их знаний. Зачем тратить время на бесполезные пересдачи, если зачет или тройку все рано придется поставить.

🤯 Миф о модных специализациях

... слишком узкая специализация – это вовсе не высшее образование. Например, в Дальневосточном федеральном университете есть специальность «юрист-менеджер по закупкам в нефтегазовом комплексе со знанием китайского языка». Но ведь нельзя же за четыре года обучения стать юристом, экономистом и менеджером в области нефтяной и газовой промышленности, да еще и переводчиком китайского языка. Конечно, работодателю дешевле и удобнее иметь одного универсального специалиста вместо четырех. Но, во-первых, в жизни так не бывает. Во-вторых, таких вакансий единицы. И потом, что будет делать этот специалист, если работодателю понадобится, чтобы он наладил торговлю с другой страной другим товаром?

Правильные акценты, актуальные примеры. Рекомендую полностью прочитать статью, обратите внимание на выводы 🧐

#высшее_образование

Модель компетенций для специалиста по управлению уязвимостями

Продолжаю планомерно двигаться по обозначенным точкам роста 📈 кибербез образования в стране 🫡

🔥 Завершил черновик модели компетенций для специалиста по управлению уязвимостями в терминологии NICE Framework.

По ссылке в гугл-таблице для рабочей роли VM на вкладках перечислены задачи, знания и навыки, составленные на основе анализа вакансий отечественного рынка труда 🇷🇺

Знания сгруппировал по областям компетенций. Навыки — в процессе. Идея тут простая🧐

✍️ Принимаются экспертные пожелания и предложения по структуре компетенций в виде комментариев к гугл-таблице 🤝

#модель_компетенций