- 13.04.2018 Круглый стол «Информационная безопасность в финансовом секторе».
- 02.04.2018 Приглашаем на курс МТ01 «Безопасность бизнес-процессов при использовании мобильных технологий»!
- 28.03.2018 Приглашаем на 9-й Международный ПЛАС-Форум «Дистанционные сервисы, мобильные решения, карты и платежи 2018»
- 26.03.2018 В Краснодаре пройдёт «Код ИБ» - ежегодный must visit безопасников
- 20.03.2018 Приглашаем на XI Межотраслевой «CISO FORUM 2020: взгляд в будущее»!
"Матрица" - концепция планирования компетентностного роста
Чаще всего люди приходят учиться в двух случаях:
- когда перед ними встают новые задачи, пути и способы решения которых они не в полной мере представляют,
- впрок, чтобы заложить некоторый базис для решения задач в будущем.
В первом случае Вы понимаете, чему Вы хотите научиться, и остается выбрать только уровень комплексной программы, с которого Вам необходимо начать обучение, чтобы не терять время на повторение уже известного вам материала.
Учиться "впрок" сложнее, так как перечень будущих задач не в полной мере определен. Учиться вообще всему - идеально, но долго и дорого. Профессионально занимаясь вопросами обеспечения информационной безопасности организаций, мы пришли к выводу, что вне зависимости от организационно-штатной структуры компаний в них можно выделить 5 четких ролей в процессе обеспечения безопасности (что четко следует из пятиуровневой модели системы управления информационной безопасностью организации):
- руководитель подразделения, непосредственно отвечающий за состояние безопасности ИТ и организацию работ по созданию КСЗИ в автоматизированной системе (АС);
- аналитики, отвечающие за анализ состояния безопасности ИТ, определение требований к защищенности различных подсистем АС (в том числе в разрабатываемых прикладных подсистемах) и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
- аудиторы, контролирующие текущее состояние системы защиты на предмет соответствия ее заявленным целям;
- администраторы средств защиты, контроля защищенности и управления безопасностью, отвечающих за сопровождение и администрирование штатных и дополнительных средств защиты информации и средств анализа защищенности подсистем АС;
- специалисты по работе с конечными пользователями и обслуживающим персоналом АС, отвечающие за реализацию и контроль исполнения регламентов безопасной обработки информации в АС.
При составлении программ индивидуального профессионального роста, программ повышения квалификации или выборе отдельных курсов повышения квалификации, следует отталкиваться именно от роли в процессе обеспечения информационной безопасности, которую сотрудник исполняет или планирует исполнять в организации, а не от названия должности, в рамках которой он эту роль исполняет.
Предметная область информационной безопасности в настоящее время очень широка, что требует от сотрудников по информационной безопасности узкоспециализированных компетенций для решения конкретных прикладных задач. На текущий момент можно выделить несколько направлений обучения, перечень которых сформировался на основе ключевых профессиональных компетенций в области информационной безопасности:
- PKI и электронная подпись
- Администрирование средств защиты информации
- Антивирусная защита
- Безопасность сетевых операционных систем
- Безопасность сетевых приложений
- Защита государственной тайны
- Защита информации от утечек по техническим каналам
- Защита персональных данных
- Защищенный электронный документооборот
- Кадровая безопасность
- Комплексное обеспечение безопасности
- Криптографическая защита информации
- ПОД/ФТ. Целевой инструктаж и повышение уровня знаний
- Сетевая безопасность
- Технология обеспечения информационной безопасности
- Управление информационной безопасностью
- Экономическая безопасность
Для каждого из направлений обучения можно определить несколько уровней погружения в тематику, а именно:
|
|
Уровень 1. - Общий - базовый (обзорный) курс по всем проблемам |
|
|
Уровень 2. - Системный - системный курс по технологиям защиты в рамках отдельного направления ИБ |
|
|
Уровень 3. - Технологический - курс по конкретной технологии защиты в рамках отдельного направления ИБ |
|
|
Уровень 4. - Прикладной - курс по конкретному средству защиты (в рамках технологии) |
|
|
Отдельный уровень - Осведомленность - для всего персонала организации |
Требования к уровню подготовки для различных ролей сотрудников подразделений по информационной безопасности по каждому направлению обучения:
|
|
Руководитель | Аналитик | Аудитор | Администратор | Персонал |
|---|---|---|---|---|---|
| Управление информационной безопасностью |
|
|
|
|
|
| Криптографическая защита информации |
|
|
|
|
|
| Защищенный электронный документооборот |
|
|
|
|
|
| PKI и электронная подпись |
|
|
|
|
|
| Сетевая безопасность |
|
|
|
|
|
| Безопасность сетевых операционных систем |
|
|
|
|
|
| Безопасное программирование |
|
|
|
|
|
| Защита персональных данных |
|
|
|
|
|
| Антивирусная защита |
|
|
|
|
|
| Защита информации от утечек по техническим каналам |
|
|
|
|
|
