+7 (495) 980-23-45 (*04)

Мы обучили

6 5 2 1 4
специалистов

Оценка знаний специалистов по ИБ

|
Просмотров 2449 Комментариев 0 0
Учебный центр «Информзащита» продолжает прошлогоднюю традицию по анализу и формированию портрета специалиста по информационной безопасности.

Подчеркиваем, что данный документ - наблюдение, описание сложившегося процесса обучения в области информационной безопасности с точки зрения преподавателей и методических работников Учебного центра «Информзащита».

В прошлом году мы сконцентрировались на том, кто является специалистом по информационной безопасности, а в этом году мы решили оценить специалистов по уровням их компетенций и владения знаниями в различных тематиках и направлениях инфрмационной безопасности.
Мы проанализировали результаты нашего проекта, где предлагается оценить уровень знаний по ИБ http://itsecurity.ru/security-qualification-meter/.

Описанные наблюдения и выводы могут быть полезны:

· Руководителям – для корректировки принципов подбора специалистов, планирования и бюджетирования обучения, а так же для оптимизации механизма принятия решения о направлении своих подчиненных на те или иные курсы.
· Представителям кадровых служб – для понимания ситуации со «средне-рыночной» квалификацией специалистов и оптимизации процессов организации обучения в компаниях.
· Собственно специалистам по ИБ – для того, чтобы планировать чему и как учиться, на что направить основные усилия в процессе обучения.
· Участникам образовательного рынка – для принятия различных управленческих решений.
· Регуляторам рынка информационной безоппасности - для понимания текущего уровня средней квалификации специалистов по ИБ и выработки оптимальных требований к уровню компетентности специалистов в лицензионных и иных требованиях.
· Всем остальным по причинам, которые мы и предположить не можем.

Предметная область
Сразу оговоримся, что мы рассматривали результаты тестирования и опросов действующих специалистов по информационной безопасности без привязки к отрасли и специализации.

С чего началось
В октябре 2014 года Учебным центром запущен проект тестовой оценки знаний специалистов.

Проект представляет из себя набор тестов по следующим темам:
· Аудит PCI DSS.
· Аудит ИБ.
· Безопасность компьютерных сетей.
· Защита персональных данных.
· Конфиденциальное производство.
· Применение электронной подписи.
· Расследование компьютерных инцидентов.
· Управление рисками ИБ.

Указанные темы были выбраны исходя из того, что их набор, по мнению методистов Учебного центра «Информзащита», максимально охватывает различные сферы деятельности специалистов по информационной безопасности. Вопросы касаются как технических, так и организационно-правовых аспектов деятельности.

Методика проведения теста и оценки
Пусть по заданной теме имеется N вопросов (в нашем случае – по 10 вопросов).
Каждый вопрос имеет уровень сложности по 5-ти бальной шкале.
На вопрос можно ответить либо правильно, либо неправильно.
Если участник тестирования на все вопросы ответил правильно, то считаем, что он владеет темой опроса в объеме 100%. Если участник ответил на все вопросы неправильно – его владение темой 0%.
Балл опроса вычисляется по формуле:
БАЛЛ = 100* (сумма сложностей вопросов, на которые даны правильные ответы) / (суммарную сложность всех вопросов)
Время ответа на тест зависит от суммы времен ответов на вопросы, в зависимости от сложности. Время рассчитывается индивидуально для каждого ответа, время не экономится и не суммируется.
На ответ дается (в зависимости от сложности вопроса)
1 – 15 секунд
2 - 25 секунд
3 - 35 секунд
4 - 45 секунд
5 - 55 секунд
Если в обозначенное время ответ на вопрос не получен – вопрос засчитывается как неверно отвеченный.


Результаты тестирования
Статистика полученных по итогам сдачи тестирования результатов показывает, что специалисты достаточно активно отнеслись к тестированию. За пять месяцев функционирования проекта сделано более 8000 попыток сдачи тестов более чем 700 специалистами по информационной безопасности.
kartinka-manometr.jpg
К сожалению, специалисты показали достаточно посредственный уровень знаний. Среднее значение набранных баллов по всем тестам за период составляет 50% из 100 возможных.

Характерно, что в подавляющем большинстве случаев специалисты предпочитали проходить тестирование анонимно. Честный бой отважились принять только 10 % специалистов.

Администраторы сайта Учебного центра «Информзащита» с изумлением наблюдали за попытками некоторых специалистов набрать максимальный балл любой ценой. Так зафиксирован случай (удаленный, как и все ему подобные, из общей статистики) сдать один и тот же тест аж 362 раза!!!

Необъяснимо, но с течением времени менялась популярность тематик тестирования

1.jpg

Особенности изучения курсов по различным тематикам
По результатам приема тестов и опроса преподавателей, методистами Учебного центра были сделаны следующие наблюдения о том, какие темы в указанных выше разделах даются слушателям легче, а какие сложнее:

Тематика

Легко

Сложно

Аудит ИБ

· Методология проведения аудита
· Инструментарий для проведения аудита

· Восприятие и взаимосвязь большого числа стандартов-критериев аудита

Конфиденциальное делопроизводство

· Традиционное бумажное делопроизводство

· Нормативно-правовое обеспечение

Управление рисками ИБ

· Собственно теория

· Практическое применение полученных знаний (как оценить стоимость потерь и вероятность инцидента)

Безопасность компьютерных сетей

· Защита периметра сети
· Безопасность транспортного уровня модели OSI


· Стандарт 802.1х
· Безопасность на уровне порта
· Проблемы безопасности протокола разрешения адресов ARP
· Защита трафика на сетевом уровне

Применение электронной подписи

· Электронные документы. Угрозы безопасности субъектам электронного документооборота. Модель нарушителя.
· Электронная подпись. Виды электронной подписи. Правовые вопросы применения ЭП и СКЗИ в России. Особенности юридического определения ЭП. Федеральный закон "Об электронной подписи"
· Электронная цифровая подпись. Правовые вопросы применения ЭЦП и СКЗИ в России. Особенности юридического определения ЭЦП. Федеральный закон "Об электронной цифровой подписи"
· Криптографические методы защиты информации. Криптография с симметричными ключами. Криптография с открытыми ключами. Доверие к открытому ключу и цифровые сертификаты


· Компоненты PKI. Орган сертификации. Орган регистрации. Хранилище. Архив. Пользователи инфраструктуры.
· Принципы доверия PKI. Иерархическая модель доверительных отношений. Сетевая модель доверительных отношений. Регулируемые доверительные отношения. Базовые ограничения. Ограничения по именам. Ограничения по политике выдачи сертификатов. Ограничения по политике приложений. Получение и регистрация частного номера организации. Формирование объектных идентификаторов областей применения сертификатов открытых ключей. Регулируемые доверительные отношения.
· Эксплуатация PKI. Создание файла конфигурации для корневого центра сертификации (ЦС). Установка и настройка корневого ЦС. Публикация списков отозванных сертификатов корневого ЦС. Установка подчиненного ЦС. Настройка WEB-интерфейса подчиненного ЦС.
· Проверка подлинности цифровых сертификатов в инфраструктуре Windows PKI. Процедуры сличения. Стандартная процедура обработки цепочки сертификатов. Обработка цепочки списков CTL. Обработка цепочки кросс-сертификатов. Получение сертификата пользователя. Организация защищенной электронной почты.
· Процедуры аннулирования сертификатов в Windows PKI. Списки аннулированных сертификатов (Certificate Revocation List, CRL). Риски, связанные с технологией CRL.
·

Расследование компьютерных инцидентов

· Что такое логи?
· Где взять эти логи?
· Программные аппаратные средства защиты информации


· Доказывание виновности работника
· Документирование вещественных доказательств
· Производство экспертизы компьютеров
·

Защита персональных данных

· Определение уровня защищенности
· Форма согласия на обработку персональных данных


· Что же такое персональные данные
· Основания для обработки персональных данных
· Построение модели угроз
· Трансграничная передача (хит обсуждений)
·

Аудит PCI DSS

· Вопросы сетевой безопасности
· Инструментарий для проведения аудита


· Анализ защищенность и разграничения доступа в СУБД
· Анализ защищенность Web-приложений

Желаемое и возможное
Ну и традиционно мы опрашиваем своих слушателей о том, чему бы они хотели учиться. Среди самых популярных тем в 2014 году назывались:

1. Сетевая безопасность
2. Специализированные курсы по безопасности приложений и технологий
3. Расследование компьютерных инцидентов
4. Управление инцидентами
5. Защита персональных данных

В реалиях спрос и востребованность курсов распределяется следующим образом:
kruzhochki.jpg

Т.е. в реальности ситуация оказывается диаметрально противоположной: специалисты хотят учиться тонкостям и особенностям специальности, но когда работодатель посылает их учиться, в основном выбирают курсы по основам информационной безопасности, базовым правовым вопросам защиты персональных данных и т.п. Т.е. желая быть реальным безопасником, люди совершенствуют «бумажные» навыки. В целом это может быть тревожным симптомом для отрасли в целом, т.к. специалисты, по сути, слабо владеют практическими вопросами.

Большая востребованность базовых курсов по ИБ, помимо желания иметь требуемую регулятором квалификацию, может свидетельствовать и о недостаточности базовой подготовки специалистов в ВУЗах и о наличии большого числа людей, пришедших в ИБ из смежных специальностей.

ВЫВОДЫ
Итак, краткие итоги наблюдений:
1. В среднем, знания типового специалиста по ИБ в предметной области - посредственные.
2. В среднем, специалисты по ИБ хорошо владеют «идеологическими» аспектами защиты, неплохо знают методологии и инструментарий для защиты, но спотыкаются на узко-технических и правовых вопросах.
3. Специалисты мечтают быть хакерами, но учатся «бумажной» безопасности
4. Специализированные курсы по ИБ менее востребованы, чем курсы по основам ИБ
5. Специалистам необходимо учиться :-)

P.S. Мы будем рады дополнить обзор выводами, которые не бросились нам в глаза, но были сделаны Вами после его прочтения :-)

Этот документ создан исключительно в целях информации. Содержащаяся в данном документе информация получена из источников, которые, по мнению специалистов Учебного центра «Информзащита», являются надежными , однако Учебный центр «Информзащита» не гарантирует полноту информации для использования в любых целях. Учебный центр «Информзащита» не несет ответственность за какие-либо убытки или ущерб, возникшие в результате использования информации любой третьей стороной , а также за иные последствия.

Комментарии 0

Присоединяйтесь к нам
на Facebook!