Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...SelectedPresentations
Similar to Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник службы информационной безопасности – кто он и где его искать" (20)
3. Острота проблемы нехватки кадров в ИБ
25%
34%
27%
14%
Полный штат, высокая квалификация
Полный штат, недостаточная квалификация
Неполный штат, высокая квалификация
Неполный штат, недостаточная квалификация
Отчет Dimensional Research, 2016 г.
5. Откуда берутся специалисты по ИБ
Сотрудники
силовых структур
Специалисты по ИБ
Выпускники ВУЗов
по направлению ИБ
ИТ специалисты
6. Откуда берутся специалисты по ИБ
Иллюстрация из книги
«Principles of
Information Security»
M.Whitman, H.Mattord
1-е издание, 2003 г.
7. Кто может помочь?
Министерство образования и науки РФ
Подготовка специалистов по специальностям в соответствии с ФГОС ВО
Министерство труда и социальной защиты РФ
Профессиональные стандарты в области ИБ
Регуляторы
Формирование требований к лицензиатам
Спасение утопающих…
Корпоративные стандарты
Обучение сотрудников по программам дополнительного
профессионального образования
8. Министерство образования и науки РФ
Введение новых уровней квалификации ВО «бакалавр» и «магистр»
Введение в оборот Общероссийского классификатора специальностей
Отмена государственной аккредитации ДПО по причине того, что
стандарты (ФГОС или ГОС) для ДПО не предусмотрены, а ФГТ -
отсутствуют
Новый федеральный закон от 29 декабря 2012 г.
№ 273-ФЗ «Об образовании в РФ»
9. Министерство образования и науки РФ
Программы профессиональной переподготовки разрабатываются на
основании установленных квалификационных требований,
профессиональных стандартов и требований соответствующих
федеральных государственных образовательных стандартов
(образовательных стандартов) высшего образования и (или) среднего
профессионального образования к результатам освоения образовательных
программ в области информационной безопасности и на основе
соответствующих примерных (типовых) программ профессиональной
переподготовки.
Новый федеральный закон от 29 декабря 2012 г.
№ 273-ФЗ «Об образовании в РФ»
10. Министерство образования и науки РФ
СПЕЦИАЛЬНОСТИ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
2.10.02.01 Организация и технология защиты информации
2.10.02.02 Информационная безопасность телекоммуникационных систем
2.10.02.03 Информационная безопасность автоматизированных систем
НАПРАВЛЕНИЯ ПОДГОТОВКИ ВЫСШЕГО ОБРАЗОВАНИЯ – БАКАЛАВРИАТА
2.10.03.01 Информационная безопасность
НАПРАВЛЕНИЯ ПОДГОТОВКИ ВЫСШЕГО ОБРАЗОВАНИЯ – МАГИСТРАТУРЫ
2.10.04.01 Информационная безопасность
9.56.04.05 Управление информационной безопасностью органов управления
систем и комплексов военного назначения
Общероссийский классификатор специальностей
OK 009-2016 (ОКСО), дата введения 01-07-2017
11. Министерство образования и науки РФ
СПЕЦИАЛЬНОСТИ ВЫСШЕГО ОБРАЗОВАНИЯ – СПЕЦИАЛИТЕТА
2.10.05.02 Информационная безопасность телекоммуникационных систем
2.10.05.03 Информационная безопасность автоматизированных систем
2.10.05.04 Информационно-аналитические системы безопасности
2.10.05.05 Безопасность ИТ в правоохранительной сфере
2.10.05.06 Криптография
2.10.05.07 Противодействие техническим разведкам
Общероссийский классификатор специальностей
OK 009-2016 (ОКСО), дата введения 01-07-2017
12. Министерство труда и соцзащиты РФ
Специалист по защите информации в автоматизированных системах
Специалист по безопасности компьютерных систем и сетей
Специалист по защите информации в телекоммуникационных системах и
сетях
Специалист по технической защите информации
Специалист по автоматизации информационно-аналитической
деятельности в сфере безопасности
Разработаны и утверждены следующие
профессиональные стандарты в области ИБ:
13. Регуляторы: ФСБ России
Постановление Правительства РФ от 16 апреля 2012 г. N 313 «Об
утверждении Положения о лицензировании деятельности по
разработке, производству, распространению шифровальных
(криптографических) средств…»
высшее или среднее профессиональное образование по
направлению подготовки «Информационная безопасность» в
соответствии с Общероссийским классификатором
специальностей и (или) профессиональная переподготовка по
одной из специальностей этого направления 500(1000) часов
14. Регуляторы: ФСТЭК России
Постановление Правительства РФ от 3 февраля 2012 г. N 79 «О
лицензировании деятельности по технической защите
конфиденциальной информации»
Постановление Правительства РФ от 3 марта 2012 г. N 171 «О
лицензировании деятельности по разработке и производству
средств защиты конфиденциальной информации»
(с учетом изменений, внесенных постановлением
Правительства РФ от 15 июня 2016 N 541)
15. Регуляторы: ФСТЭК России
Руководитель ИТР (не менее 2 чел.)
Образование высшее образование
в области информационной безопасности
Стаж работы не менее 3 лет не менее 3 лет
Или
высшее образование в области
математических и естественных наук,
инженерного дела, технологий и
технических наук
-
Стаж работы не менее 5 лет
Или
иное высшее образование +
профессиональная переподготовка по ИБ (360+ часов)
Стаж работы не менее 5 лет не менее 3 лет
+ повышение квалификации не реже одного раза в 5 лет
16. Отраслевое регулирование – Банк России
Более жесткие требования к базовому образованию
информационная безопасность;
прикладная математика и информатика;
математическое обеспечение и администрирование
информационных систем;
информационные системы и технологии;
вычислительные машины, комплексы, системы и сети;
автоматизация и управление;
управление и информатика в технических системах;
автоматизированные системы обработки информации и управления;
программное обеспечение вычислительной техники и
автоматизированных систем;
информационные системы;
информатика и вычислительная техника;
системы автоматизированного проектирования;
военное образование по специальностям, относящимся к защите
информации и (или) информационным системам и технологиям.
17. Отраслевое регулирование – Банк России
Практичный подход к специализации
сотрудников ИБ:
методология обеспечения ИБ
реализация и сопровождение обеспечения
ИБ
контроль обеспечения ИБ
криптографическая защита информации
Обширные требования, предъявляемые к
профессиональным знаниям и навыкам для
каждой специализации
18. Кого требуется учить
Руководители подразделений ИБ
отвечают за состояние информационной безопасности и организацию
комплексных систем защиты
Аналитики и аудиторы по компьютерной безопасности
отвечают за определение требований к защищенности ресурсов, выбор
мер и средств защиты, за разработку политик в виде организационно-
распорядительных документов и контроль их исполнения
Администраторы средств защиты
отвечают за эффективное применение штатных и дополнительных средств
защиты и средств контроля защищенности ресурсов
Рядовой персонал
19. Уровни управления безопасностью
Уровень 1
Уровень 2
Уровень 3
Уровень 4
Уровень 5
Подразделения
Подразделение безопасности Подразделение автоматизации
Администраторы
дополнительных средств
защиты
Аналитики
Сотрудники
Администраторы штатных
средств защиты
(серверов, сетей,БД и т.д.)
Менеджеры по
безопасности
Ответственные за
обеспечение безопасности
ИТ в подразделении
Руководство организации
20. Кого и чему учит наш Учебный центр
Общий базовый (обзорный)
курс по всем проблемам
Системный курс по
технологиям защиты в рамках
отдельного направления ИБ
Технологический курс по
конкретной технологии
защиты в рамках отдельного
направления ИБ
Прикладной курс по
конкретному средству защиты
(в рамках технологии)
Повышение осведомленности
в области ИБ для всего
персонала организации
22. В идеале каждый сотрудник должен
Знать об опасностях
Знать существующие угрозы
Уметь здраво оценивать ситуацию (риски)
Активно участвовать в повышения ИБ организации
Осознанно выполнять правила и ограничения Политики безопасности
Вырабатывать привычки, способствующие поддержанию высокого уровня ИБ
Всегда оповещать службу ИБ о нештатных ситуациях
Знать координаты сотрудников подразделения ИБ и оперативно
информировать их о возникающих проблемах и инцидентах
23. Как делать это эффективно
Учить компьютерной гигиене прямо на рабочем месте
Обучающие электронные курсы и ролики
Простым языком о сложном
Контролировать усвоение знаний
Тесты, зачеты, экзамены
Геймификация
Непрерывно напоминать о важности
Скринсейверы
Плакаты
Периодически устраивать внезапные проверки
Провокационные рассылки
Социальная инженерия
Оценивать эффективность и актуализировать инструменты