ECSF — европейская система навыков кибербезопасности

Завершая небольшую серию материалов о моделях компетенций в ИБ нельзя не рассказать о самой молодой и компактной из них — ECSF, впервые представленной на 1-й конференции ENISA по навыкам кибербезопасности в сентябре 2022 года. ECSF обобщает роли, связанные с кибербезопасностью, в 12 профилей, которые с учетом обязанностей, навыков, взаимодействия и взаимозависимостей, обеспечивают единое понимание компетенций, навыков и знаний, которые требуются в сфере кибербезопасности, и способствуют разработке программ обучения.

12 ролевых профилей ECSF

12 ролевых профилей ECSF

Целями создания системы заявлены следующие:

  • обеспечить единую терминологию и одинаковое понимание спроса (вакансии, подбор персонала) и предложения (повышение квалификации, обучение) по навыкам кибербезопасности в ЕС.

  • помочь работодателям определить критичный набор навыков, необходимый специалистам, а учебным заведениям — обеспечивать их развитие.

  • определить основные профессиональные роли в области кибербезопасности и необходимые для них навыки, включая поведенческие. Помочь HR узнать о требованиях к планированию ресурсов, набору персонала и планированию карьеры в сфере кибербезопасности.

  • способствовать гармонизации образования, обучения и развития персонала в области кибербезопасности.

  • способствовать усилению защиты от кибератак и обеспечению безопасности ИТ-систем и предоставить рекомендации по наращиванию потенциала специалистов по кибербезопасности.

Вся модель изложена в двух документах (сейчас недоступны из РФ):
Ролевые профили — перечень из 12 типичных ролей специалистов по кибербезопасности с указанием их названий, миссий, задач, навыков и знаний.
Руководство пользователя содержит практические примеры того, как использовать модель и извлекать из нее пользу в качестве работодателя, учебного заведения или обучающегося.
Здесь я хочу представить вашему вниманию перевод ECSF на русский.

Краткое описание DPO — одного из 12 ролевых профилей в ECSF

Краткое описание DPO — одного из 12 ролевых профилей в ECSF

В качестве шкалы квалификации выбрана 5-уровневая европейская система ИТ-компетенций eCF.

Шкала квалификации в ECSF

Шкала квалификации в ECSF

Сопоставление ролевых профилей с уровнями квалификации

Сопоставление ролевых профилей с уровнями квалификации

eCF в данном случае является связующим звеном между работодателями и учебными заведениями, которые сопоставляют с ней учебные программы. Поскольку регламентирующий документ (EN16234–1:2019), описывающий eCF, распространяется на платной основе, на помощь снова приходит SFIA, у которой все навыки и уровни подробно описаны, и находятся в открытом доступе.

Сопоставление ролевых профилей ECSF с навыками и уровнями ответственности в SFIA

Сопоставление ролевых профилей ECSF с навыками и уровнями ответственности в SFIA

О преимуществах ECSF мы уже упоминали. Но она охватывает не все роли и задачи, описанные в других моделях, таких как NICE или SFIA, и может не подходить тем, кто работает за пределами ЕС. Принятие ECSF в странах ЕС не обходится без трудностей:

  • Гармонизация: Выравнивание с ECSF различных систем образования и подготовки в области кибербезопасности в странах-членах ЕС бывает сложным.

  • Осведомленность и приверженность: Возможно, заинтересованные стороны недостаточно осведомлены или не понимают ECSF, что может препятствовать его принятию.

  • Выделение ресурсов: Внедрение ECSF требует ресурсов, включая финансирование и персонал, которые могут быть доступны не во всех странах.

  • Культурные различия: В разных странах могут быть разные подходы к кибербезопасности, на что влияют культурные, и нормативно-правовые различия.

  • Языковые барьеры: Для эффективного внедрения в ЕС ECSF должен быть доступен на европейских языках.

  • Быстро меняющийся ландшафт киберугроз: ECSF должен постоянно развиваться, чтобы идти в ногу с меняющимся характером киберугроз, справиться с которыми бывает непросто.

Эти проблемы требуют скоординированных усилий стран ЕС, образовательных учреждений, партнеров из промышленности и политиков для обеспечения успешной реализации ECSF.

ECSF задумывалась как гибкий инструмент, способный адаптироваться к меняющемуся ландшафту ролей в сфере кибербезопасности. Организациям предлагается использовать его в качестве отправной точки и изменять модель по мере необходимости, чтобы она соответствовала их конкретным требованиям.

Мое личное мнение, что ECSF идеально подходит для профориентации: чтобы лучше разобраться в профессиях, рассмотреть, какие специалисты необходимы для решения задач кибербезопасности в цикле управления компанией:

Ролевые профили ECSF в цикле управления компанией

Ролевые профили ECSF в цикле управления компанией

Это позволит узнать, кто чем занимается и более осознанно выбрать карьерный путь, а также оценить, какие знания и умения для этого потребуются.

© Habrahabr.ru