Cвод знаний по кибербезу CyBOK

Американцы разрабатывают фреймворки, а британцы — энциклопедии

Какую проблему решает CyBOK? 🤔

Представим ситуацию: в каждом вузе страны читается дисциплина по основам ИБ и каждый преподаватель с нуля 😱 готовит подобный курс, на это тратятся силы и время, а в итоге "первый блин — комом"...

Идея проекта CyBOK простая и понятная — консолидировать усилия сообщества, собрать экспертов, которые создадут путеводитель (карту) по миру кибербеза, сделают базовые презентации, запишут подкасты. Все материалы в открытом доступе. Остается только развивать и улучшать. Например, создавая книги для малышей по кибербезу 👼

Национальный центр кибербезопасности Великобритании (NCSC) использует CyBOK в качестве основы для сертификации программ бакалавриата и магистратуры 👨‍🏫

CyBOK разделен на 21 область верхнего уровня, сгруппированную в пять категорий, как показано на рисунке 1. Материалы по всем категориям доступны для свободного скачивания 👍

#cybok

Карта карьеры в кибербезе на основе CyBOK

В Великобритании разработкой и продвижением системы карьерного роста в области кибербеза занимается Совет по кибербезопасности (UK Cyber Security Council): он пишет профстандарты (дорожная карта), этическую декларацию и продвигает карьерные пути 🤔

Рассмотрим некоторые карьерные инструменты UK Cyber Security Council:
📎 карьерное картирование в кибербезе, какая специализация лучше всего подойдет (анкета);
📎 карта киберкарьеры, 16 специализаций в области кибербеза, основанные на CyBOK. Например, специалист по управлению уязвимостями;
📎 список курсов и сертификаций.

#CyBOK

Человеко-ориентированная кибербезопасность (Human-Centered Cybersecurity)

Как учил нас Кевин Митник: "самое слабое звено в безопасности - человеческое звено" 👨‍🏫

Национальный институт стандартов и технологий (NIST), следуя этой логике, запустил программу междисциплинарных исследований Человеко-ориентированная кибербезопасность (ранее "Usable Cybersecurity"), чтобы лучше понять и улучшить взаимодействие людей с системами, продуктами и услугами кибербезопасности 🤔

Области исследований программы: осведомленность и обучение кибербезопасности, Интернет вещей, фишинг, восприятие и поведение пользователей, голосование, понимание молодежью конфиденциальности и безопасности, аутентификация, криптография 🤔

#человеко_ориентированная_кибербезопасность #психология

Схематическое представление проблем на рынке труда в области кибербезопасности

Эту схему увидел в отчете Организации американских государств о развитии кадров в области кибербезопасности 👩‍💻🧑‍💻

На схеме показаны все участники процесса подготовки ИБ-кадров 🔥

Мой фокус внимания сейчас на 1️⃣ схеме развития карьеры в ИБ и описании рабочих ролей, затем 2️⃣ их соотнесении с образовательными компетенциями 👨‍🏫

#схема #модель_компетенций

Что должен знать преподаватель по кибербезу?

Перенесем структуру знаний учителя информатики (Framework for Teacher Knowledge) на область кибербеза 👨‍🏫

Структура знаний учителя описывается тремя пересекающимися областями знаний, которые нужны преподавателю: технологические знания, педагогические знания и знание содержания. Получается диаграмма Венна со множеством пересечений 📊

1️⃣ Знание содержания. Очевидно, что преподаватель по кибербезу должен знать и понимать предмет, который он преподает, включая знание основных фактов, концепций и теории.

2️⃣ Технологические знания: знание операционных систем и компьютерного оборудования, а также способность использовать стандартные наборы программных инструментов. Поскольку технологии постоянно меняются, природа технологических знаний также должна меняться со временем.

3️⃣ Педагогические знания: знания о техниках или методах, которые будут использоваться в аудитории. Преподаватель понимает, как формируются знания у учащихся, приобретаются навыки и развиваются способности.

4️⃣ Знание технологического содержания: знания о том, как технологии и содержание связаны друг с другом. Новые технологии предоставляют разнообразные способы представления содержания (mind map, онтологии и пр.).

5️⃣ Знание педагогического содержания: знание педагогики применительно к преподаванию конкретного содержания (кибербеза) 🤔

6️⃣ Технологические педагогические знания: знание инструментов для ведения записей занятий, посещаемости и оценок, а также знание общих технологических идей (доски обсуждений, чаты и пр.).

7️⃣ Знание технологического педагогического содержания: синергия, полученная в результате знаний п. 1-6 👨‍🔬 👩‍🔬

#педагогика

Развитие кибербез карьеры в Сингапуре

SkillsFuture Singapore подготовили интерактивную схему в формате PDF, где перечислены все треки развития ИТ-специалиста. Отдельно на стр. 222 представлена схема по кибербезу 🥷

📎 Понравилось, что на схеме показана единая точка входа в ИБ-профессии (стр. 224), перечислены навыки и уровень их владения 🤔

📎 Единый документ с ИТ-навыками позволяет показать перекрестные связи кибербеза с разработкой ПО (стр. 82), SysOps (стр. 61) 🔥

📎 Отдельно представлены карты компетенций с техническими (стр.293) и "мягкими" (стр. 444) навыками 🔥

#модель_компетенций #Сингапур

Точки роста для отечественного кибербез образования на 2024 год

🔥 Завершил перевод схемы из отчета Организации американских государств 🌎 о развитии кадров в области кибербезопасности.

После адаптации к отечественным реалиям 🇷🇺 можно обозначить точки роста для кибербез образования в стране 🧐

1️⃣ Построение образовательного маршрута в вузах по примеру УрФУ.
2️⃣ Формирование структуры карьерного пути в ИБ. Начало положено в виде схемы и описания первой рабочей роли.
3️⃣ Построение отечественной структуры профессиональной сертификации по ИБ. Здесь прогресса еще нет 😔
4️⃣ Подготовка MOOC (массовых онлайн курсов) по примеру Белого хакера от CyberEd 👨‍💻
5️⃣ Исследование процесса перехода в кибербез из других областей. Формирование курсов, поддерживающих такие переходы 👀

Это, конечно, далеко не все точки роста 📈

#схема #модель_компетенций

Система кибернавыков австралийского управления связи

Перенесемся в теплую Австралию 🐨 🦘☀️

В системе кибернавыков австралийского управления связи определены девять рабочих ролей (рисунок 1), соответствующих структуре NICE Framework 🤔

Отличие от классического NICE только в хитромудрой градации (стр. 15) уровня мастерства владения навыками для каждой роли 🤯

Ранее я писал про американский сервис CyberSeek, заблокированный для жителей РФ 👀

AUCyberExplorer реализовали аналогичный сервис для рынка труда Австралии (рисунок 2): интерактивный карьерный путь, схему сертификации и показали спрос на кибербез специалистов у себя 🥷

#модель_компетенций #nice_framework

Высшее образование: непреодолимый институциональный разрыв с рынком труда

Приведу несколько ярких цитат из статьи С.А. Баркова (МГУ) и В.И. Зубкова (МАИ) 👨‍🏫

🤯 Миф о практиках, на которых студенты получат актуальные знания и навыки

Учебные планы вузов наполнились разного рода практиками, которые, по задумке реформаторов, должны были связать между собой то, чему учат, и то, что пригодится в будущей работе. А в выпускные экзаменационные комиссии стали включаться так называемые «работодатели», чтобы те могли оценить уровень знаний студентов и предъявить преподавателям свои претензии. Но оба этих начинания провалились.

Оказалось, что необходимого количества рабочих часов для разнообразных практик такого огромного количества студентов в экономике попросту нет. А если в компаниях и появляются какие-то дополнительные работы, их предпочитают поручать не практикантам, а собственным сотрудникам для повышения их дохода.

🤯 Миф об активном участии работодателей в жизни кафедры

... реально действующие менеджеры не могут настолько отрываться от своей работы, чтобы многие часы выслушивать защиты дипломников. Во-вторых, реформаторы совершенно упустили из виду материальную сторону вопроса. Вузы не в состоянии достойно заплатить представителям компаний за их работу в выпускных комиссиях, поскольку вузовские зарплаты жестко привязаны к ученым степеням, которых представители компаний, как правило, не имеют.

🤯 Миф о качестве обучения в вузе

... в вузах искусственно увеличивают число студентов на одного преподавателя, создают непрофильные, но популярные у абитуриентов факультеты, а слабых студентов не отчисляют, если они хотя бы просто появляются на экзаменах и зачетах. Видя это, перестают учиться и другие недостаточно мотивированные студенты, а у преподавателей в результате снижаются требовательность и объективность оценки их знаний. Зачем тратить время на бесполезные пересдачи, если зачет или тройку все рано придется поставить.

🤯 Миф о модных специализациях

... слишком узкая специализация – это вовсе не высшее образование. Например, в Дальневосточном федеральном университете есть специальность «юрист-менеджер по закупкам в нефтегазовом комплексе со знанием китайского языка». Но ведь нельзя же за четыре года обучения стать юристом, экономистом и менеджером в области нефтяной и газовой промышленности, да еще и переводчиком китайского языка. Конечно, работодателю дешевле и удобнее иметь одного универсального специалиста вместо четырех. Но, во-первых, в жизни так не бывает. Во-вторых, таких вакансий единицы. И потом, что будет делать этот специалист, если работодателю понадобится, чтобы он наладил торговлю с другой страной другим товаром?

Правильные акценты, актуальные примеры. Рекомендую полностью прочитать статью, обратите внимание на выводы 🧐

#высшее_образование

Модель компетенций для специалиста по управлению уязвимостями

Продолжаю планомерно двигаться по обозначенным точкам роста 📈 кибербез образования в стране 🫡

🔥 Завершил черновик модели компетенций для специалиста по управлению уязвимостями в терминологии NICE Framework.

По ссылке в гугл-таблице для рабочей роли VM на вкладках перечислены задачи, знания и навыки, составленные на основе анализа вакансий отечественного рынка труда 🇷🇺

Знания сгруппировал по областям компетенций. Навыки — в процессе. Идея тут простая🧐

✍️ Принимаются экспертные пожелания и предложения по структуре компетенций в виде комментариев к гугл-таблице 🤝

#модель_компетенций

Про образ будущего из рефлексивной позиции

Бессмыслица — искать решение, если оно и так есть. Речь идет о том, как поступить с задачей, которая решения не имеет (Братья Стругацкие)

Поговорим про образ будущего, к которому, как мне видится, мы идем (рисунок 1, путь 1) 🚀

Сегодня отечественный рынок труда и кибербез образования одновременно живут в двух мирах (системах): мире профстандартов и мире рабочих ролей (реальных вакансий на рынке труда) ‼️

Почему, спросите вы, так происходит? 🤔

Профстандарты меняются раз в шесть лет (раз-в-шесть-лет!) 🤯, рынок труда в кибербезе меняется чаще. В ближайшие год появятся новые профессии, которые не войдут в профстандарт, а значит мы не получим по ним необходимые кадры 😔

Структура рабочих ролей, о которой я пишу, более гибкий инструмент, т.к. представляет из себя конструктор профессий, а не утвержденный на всех инстанциях документ. К примеру, она позволяет гибко проектировать программы ДПО (об этом расскажу отдельно) 👨‍🏫

В определенный момент мы увидим столкновение💥 двух систем, скорее всего, когда придется выбирать, на основе чего формировать отечественную структуру сертификации по кибербезу 🇷🇺 В результате столкновения появится новая сущность (рисунок 2), возможно, профстандарты станут гибче и научатся замечать новые профессии (рисунок 1, путь 2).

Будущее уже наступило. Просто оно еще неравномерно распределено (Уильям Гибсон)

#методология #образ_будущего

Возможные навыки в кибербезе, представленные на диаграмме Венна

С интересом изучаю блог Яна Шауманна, архитектора по ИБ, преподавателя системного администрирования и программирования в Технологическом институте Стивенса (Нью-Джерси) 👨‍🏫

Ян много пишет о навыках кибербез специалистов через визуализацию на диаграмме Венна. Посмотрим на его схему, в оригинале (рисунок 1, 2).

Ян подчеркивает, что в зависимости от направления (Red Teamer, Blue Teamer) происходит специализация, но общее количество навыков на рисунке 2 все равно вызывает растерянность 😱

Получается, что модель компетенций обязательно должна учитывать уровень усвоения, т.к. изучать все темы для разных кибербез направлений на одном уровне не имеет смысла: администратор СЗИ должен помнить про типы ICMP-сообщений, а специалист по безопасной разработке владеть только основами TCP/IP 🤔

Интересно, что на рисунке 1 помимо технических, "мягких" навыков показан также опыт работы и "нечто другое", включающее хакерское мышление 🥷

#модель_компетенций

Карьерный путь в кибербезе в 2024 году

На просторах Интернета появился документ (Dr. Christine Izuakor) с описанием профессий в кибербезе на 2024 год 🤔

Очевидный тренд на инженерные специальности 🥷

#путь_в_ИБ

Видео про модель компетенций и схему развития карьеры в кибербезе

По многочисленным просьбам записал видео про модель компетенций и ее связь со схемой развития кибербез специалиста 👨‍🏫

Жду отзывы, комментарии и предложения 🤝

#модель_компетенций

Учебные киберполигоны в вузах

Правильный вектор наметился в высшем образовании, на который также хочется обратить внимание 🧐

📎 В НГТУ НЭТИ начал работу собственный киберполигон. Индустриальным партнером выступила компания «Системы информационной безопасности».

📎 КНИТУ по программам «Приоритет 2030» и «Передовые инженерные школы» развернул «Ampire».

📎 Университет «Иннополис» при поддержке программы «Передовые инженерные школы» создал собственный учебный тренажер «Иннокиберполигон».

📎 ГУАП открыл «Центр киберучений» в рамках «Приоритета 2030», развернул «Ampire» и также развивает собственный студенческий киберполигон на основе open source продуктов.

📎 Innostage развернула межвузовский SOC на базе четырех вузов (КНИТУ-КАИ, КФУ, КГЭУ и Университета «Иннополис») и провела на KDW студенческую кибербитву.

📎 ИТМО открыл международный центр по кибербезопасности на Национальном киберполигоне, созданном «Ростелекомом» в рамках программы «Цифровая экономика». Похожая новость была про СПбГУТ. О судьбе этого грандиозного проекта, к сожалению, мало писали в 2023 году.

📎 В ИТМО также есть собственная LMS 2.0, которая позиционируется, как киберполигон.

📎 При ТГТУ в технопарке «Вернадский» открыли региональный киберполигон.

📎 В МЭИ киберполигон существует более 5 лет. Реализована киберфизическая модель части энергосистемы, в том числе с возможностью проведения киберучений и анализа возможных последствий.

1️⃣ Видим, что термин «киберполигон» четко не определен, поэтому используется по-разному.

2️⃣ Мало купить готовый или построить с нуля собственный полигон, далее он нуждается в обновлении и технической поддержке: расширении функционала, написании методических руководств для обучения преподавателей и студентов. Об этом тоже не следует забывать 👨‍🏫

3️⃣ Синергетический эффект получается только от совместной работы вузов с компаниями-партнерами. Покупка железа, установка ПО от разных вендоров, зарплаты DevOps'ам и программистам - это все дорогое удовольствие в наше время 🤔

#киберполигон #аналитика

Анонс вебинара про кибербез профессии совместно с МФТИ

Я бы в ИБэшники пошел, пусть меня научат! (по мотивам творчества Владимира Маяковского)

Друзья, сегодня (22 января) в 19:00 совместно с командой ФПМИ МФТИ проведем вебинар про карьерный путь ИБ-специалиста 🥷

В конце вебинара расскажем, как войти в ИТ ИБ через получение навыков администрирования информационных систем и систем защиты информации 👨‍💻

До встречи на вебинаре 😎

#PositiveEducation #анонс

Как определить границу научного знания по ИБ?

Алексей Лукацкий 🤠 в своем посте обратил внимание на качественный прогресс отечественной науки за 10 лет 🤔

У меня вопрос в продолжение: а можно ли определить актуальную границу научного знания по кибербезу? То есть очертить зону неизведанного? Тут мы знаем, а тут - уже нет 🤔

Тогда научный прогресс мы сможем оценить, как приближение к этой границе и ее перемещение 🤓

Проще всего, наверное, с криптографией, там есть набор нерешенных проблем 🧐

А есть ли такой список нерешенных научных проблем в области кибербезопасности? 🤓

#наука

Почему компании создают университеты?

Наблюдаю за развитием двух новых учебных заведений: Центрального университета (г. Москва) и Института iSpring, "Русского университета метатехнологий" (г. Йошкар-Ола) 🧐

Причины создания:
1️⃣ вузы готовят специалистов, не соответствующих рынку труда (фокус на фундаментальной теории, молодых специалистов все равно приходится доучивать в компании);
2️⃣ вузы выпускают недостаточно ИТ-специалистов для потребностей экономики;
3️⃣ ИТ-исследования уходят из вузов и спонсируются компаниями.

Центральный STEM (Science, Technology, Engineering, Mathematics) университет (магистратура, бакалавриат), очевидно, конкурирует за абитуриентов с Физтехом, Вышкой, МГУ, ИТМО, хотя подчеркивается, что это не так 👀

🔥На базе Центрального университета (ЦУ) создана Академия информационной безопасности в партнерстве с ведущими игроками ИБ-рынка 🥷

Подборка интересных ссылок.
📎 Интервью с ректором ЦУ о целях создания вуза.
📎 Лекция Евгения Ивашкевича, ректора ЦУ, "Управление рисками с целью принятия решений".
📎 День открытых идей в Центральном университете.
📎 Как правильно учиться на программиста от Юрия Ускова. Юрий Викторович, основатель компании iSpring, Института iSpring, погружен во все процессы, преподает программирование в институте.

#аналитика

Как АНБ создала в США экосистему учебных заведений по кибербезопасности

В 1999 году АНБ для поиска будущих кадров запустило программу Национальных центров академического мастерства в области кибербеза (NCAE-C), чтобы отобрать учебные заведения с высоким качеством подготовки. Таким заведениям присваивали статус CAE-IAE. Позже программу поддержало Министерство внутренней безопасности и к программе подключили колледжи (CAE-2Y) 🤔

Сегодня в программе NCAE-C участвуют более 400 учреждений США, имеющих статус в области 1️⃣ кибербез образования (CAE-CD), 2️⃣ киберисследований (CAE-R) и 3️⃣ преподавания киберопераций (CAE-CO).

Учебные заведения, которые готовят специалистов по кибербезу, указывают на сайте (Рисунок 2), какой статус программа получила у АНБ.

Все региональные аккредитованные двухгодичные, четырехгодичные и последипломные учебные заведения в США имеют право подать заявку на получение статуса CAE-C (каждые пять лет). Про требования к учебным заведениям напишу отдельную заметку.

Хотя АНБ не финансирует CAE-C учреждения, но такие школы имеют право бороться за гранты Министерства обороны по кибербезопасности (DoD CySP).

Дополнительные материалы:
📎 оригинал схемы на Рисунке 1;
📎 перечень учебных заведений, имеющих статус CAE-C;
📎 образовательные инициативы учебных заведений, имеющих статус CAE-C.

#аналитика

Требования АНБ к образовательным программам для получения статуса CAE-CD

В прошлый раз мы рассмотрели экосистему учебных заведений США, которую формирует АНБ через отбор по собственным образовательным стандартам. Теперь поговорим про сами требования 🧐

На Рисунке 1 показаны блоки знаний от младшего специалиста до докторанта: основные, технические, не-технические и по выбору. Уровни отличаются по числу единиц знаний (дисциплин), которые входят в блок (например, 3 по выбору для младших специалистов, 14 - для бакалавров). Все дисциплины перечислены в документе.

Структура единицы знаний (дисциплины): имя, идентификатор, описание, цель, результаты, список тем, терминология, связанные блоки знаний, специализации, категории NICE Framework.

Подчеркну, что результат обучения напрямую связывается с NICE Framework, т.е. рынком труда 🤔

Как это связано с отечественными образовательными стандартами?

Мне это напомнило недавнюю историю. В процессе принятия ФГОС 3++ по ИБ шли активные обсуждения, чтобы вместе с примерным учебным планом утвердить примерный перечень тем для каждой дисциплины. Идею не поддержали.

📎 Плюсы идеи: преподавателю не надо каждый раз сочинять рабочую программу дисциплины; возникает унификация, единые учебники, стандартные лаб. работы.

📎 Минусы: неявные критерии отбора тем для дисциплин; образовательные стандарты изменяются раз в пять-шесть лет, поэтому фиксированные темы могут устареть; также появляется сложность с поиском преподавателя на заранее утвержденные темы.

#аналитика

Временная диаграмма для ФГОСов и профстандартов по ИБ

Собрал на одной схеме (люблю рисовать схемы) для наглядности ФГОСы и профстандарты по ИБ 🤔

Некоторые (спорные) тезисы:
📎 профстандарты раз в шесть лет фиксируют устоявшиеся ИБ-профессии;
📎 существует разрыв межу профстандартами и рынком труда;
📎 утверждение ФГОС 4 добавит бумажную работу преподавателям и зав. кафедрами (переписать десятки РПД под новые шаблоны), но не повлияет на качество подготовки ИБ-специалистов (даже с появлением новых специализаций);
📎 под новые специализации во ФГОС 4 потребуются методические разработки (стенды, полигоны) с учетом текущих угроз и курсы повышения квалификации для преподавателей;
📎 необходимо усилить мониторинг рынка труда по кибербезу, чтобы фиксировать новые востребованные (!) специализации (профессии), т.к. все решения лучше принимать на основе актуальных данных;
📎 необходимо, с учетом появления новых СЗИ и трендов в ИТ, строить прогноз рынка труда, чтобы формировать образовательные программы, исходя из потребностей завтрашнего дня.

#аналитика