NIST NICE – модель компетенций в области ИБ

Давайте продолжим ход мысли недавней публикации про модели зрелости в области кибербезопасности. Допустим, провели мы оценку уровня своей защищенности по SAMM, CSF или другой модели, выбрали лучи-вектора для улучшения и целевые уровни. Ответ на вопрос «ЧТО мы строим?» у нас появился. А дальше? Вспоминая добрым словом архитектурных гуру — Джона Шервуда и его тезку-вдохновителя — Джона Закмана, когда-то задавших моду задавать (sic!) вопросы, понимаем, что нам не хватает понимания КТО у нас для этой стройки есть. И главное: КТО нам нужен, чтобы нашу «сказку сделать былью»? Под «КТО» я имею ввиду конкретных специалистов и руководителей с требуемым опытом, знаниями и умениями. И тут на сцену выходят модели компетенций*.

От модели зрелости к модели компетенций строим кибервозможности

От модели зрелости к модели компетенций строим кибервозможности

Первый раз про NICE я узнал из поста уважаемого Алексея Викторовича, потом кто-то пообещал серию публикаций с ее переводом, но не случилось. Последней каплей стало обновление NICE в марте этого года, и, вот, прошу любить и жаловать — перевод NICE.

NICE (официально — специальная публикация NIST 800–181r1) определяет единый подход и общий язык (таксономию) для формулировки знаний, навыков и задач и стандартизации профессиональной деятельности в области кибербезопасности, упрощая взаимодействие между всеми заинтересованными сторонами экосистемы кибербезопасности (работодателями, сотрудниками, образовательными и учебными заведениями, государством в целом и на международном уровне), позволяя выявлять, нанимать, развивать и удерживать таланты, снижая барьеры для входа, способствуя повышению мобильности и готовности персонала к достижению целей бизнеса.

Фреймворк NIST NICE был создан в 2008 году в рамках национальной инициативы США по кибербезопасности, и был нацелен на повышение уровня подготовки работников госсектора к решению задач кибербезопасности. В мае 2009 года охват NICE распространился на частный сектор, стал общенациональным. После этого было еще несколько обновлений, в процессе которых менялись те или иные компоненты, но основа осталась прежней. Важность NICE со временем только возрастает, т.к. дефицит персонала в отрасли ИБ в США регулярно признается угрозой национальной безопасности (Трамп, Байден).

Как и любая модель компетенций NICE состоит из нескольких взаимосвязанных компонентов: задачи (T), знания (K), навыки (S), рабочие роли и области компетенций. Здесь знания определяются как способность воспроизвести требуемую информацию по памяти, навыки — опыт применения этих знаний на практике, а задачи — фактически выполняемые на рабочем месте действия с применением навыков. Формулировки TKS (в NICE их более двух тысяч; также их называют индикаторами достижения компетенций) используются для определения состава рабочих ролей и областей компетенций.

Связь между формулировками задач, знаний и навыков в NICE

Связь между формулировками задач, знаний и навыков в NICE

Рабочая роль в NICE — совокупность задач, которые выполняет и за которые несёт ответственность отдельный специалист или команда. Роль не является синонимом должности. Как и сама профессиональная область, роли продолжают развиваться, NICE — живой документ, над которым постоянно идет работа. Анализ роли обычно проводится, исходя из состава входящих в неё задач. В NICE представлено 52 роли, разделённые на 7 категорий.

Категории рабочих ролей в NIST NICE

Категории рабочих ролей в NIST NICE

Категория ролей

Описание категории

Количество ролей

Управление и контроль (OG)

Руководство, управление и поддержка бизнеса в эффективном управлении киберрисками и обеспечении кибербезопасности.

16

Проектирование и разработка (DD)

Исследования, разработки, концептуальное и детальное проектирование, разработка и тестирование защищенности автоматизированных систем, включая периметр и облачные сети.

8

Внедрение и эксплуатация (IO)

Внедрение, администрирование, настройка, эксплуатация и техническое сопровождение для поддержания работоспособности и безопасности автоматизированных систем.

7

Киберзащита (PD)

Защита, выявление и анализ рисков для автоматизированных систем и сетей. Включает расследование событий или преступлений в области кибербезопасности.

7

Расследования (IN)

Сбор, обработка, анализ и распространение информации из различных источников о программах, намерениях, возможностях, исследованиях, разработках и оперативной деятельности иностранных субъектов в киберпространстве.

2

Киберразведка (CI)

Узкоспециализированный анализ и оценка разведывательной информации с целью определения ее полезности для кибербезопасности.

5

Кибероперации (CE)

Планирование, поддержка и реализация возможностей в киберпространстве, основной целью которых является внешняя защита или их применение.

7

Область компетенции в NICE — совокупность связанных знаний и навыков, необходимых для решения задач в сфере ИБ, пока не оформившаяся в самостоятельную рабочую роль. Она помогает обучающимся определить свои интересы, планировать карьеру, выявлять пробелы в знаниях и демонстрировать способности. Области компетенций дополняют рабочие роли и могут использоваться самостоятельно.

Создание команд с помощью NICE

Создание команд с помощью NICE

Для создания команд можно использовать и роли, и области компетенций. Первый подход «сверху вниз» предполагает определение ролей, необходимых для достижения целей, и формирование команды на основе этих ролей. Второй подход «снизу вверх» рассматривает навыки и знания, необходимые для решения задач, т.е. команда составляется с учётом наличия у участников нужных навыков.

Примеры применения NICE

Работодатели могут использовать NICE для аттестации персонала, выявления специалистов с наиболее критичными и дефицитными навыками, создания более точных должностных инструкций и описания вакансий, улучшения процессов найма и удержания, управления эффективностью работы, разработки индивидуальных планов развития, обучения и карьерного роста, включая повышение квалификации, переподготовку и перевод сотрудников.

Образовательные учреждения могут разрабатывать учебные планы, программы и дисциплины, сопоставлять и оценивать знания и навыки обучающихся с учётом потребностей работодателей, изучать рынок труда в сфере кибербезопасности.

Учителя школ могут знакомить учеников с основами ИБ и киберграмотности, помогать им узнавать больше об этой профессиональной области и выбирать направление для дальнейшего обучения, а также разрабатывать дидактические материалы.

Учебные центры могут соотносить свои программы и оценки с наиболее востребованными навыками, помогая специалистам и работодателям получать их.

Студенты, кандидаты и работники могут узнавать о составе задач в каждой рабочей роли, связанных с ними знаниях и навыках, выявлять пробелы и демонстрировать свои способности, а также определять траектории для дальнейшего обучения и карьерного роста.

Поставщики услуг кибербезопасности могут ссылаться на элементы NICE Framework в своих продуктах и услугах для обеспечения совместимости со стратегией заказчика.

Официальное представление NICE позади, теперь немного о подходах, лежащих в ее основе и способствующих внедрению.

Skills-based Organization

Сравним с NICE профессиональные стандарты МинТруда для наиболее близкого мне в силу профессии специалиста по ИБ в КФС. Структура похожа: трудовые функции подобны рабочим ролям в NICE, трудовые действия — задачам, необходимые умения — навыкам, а знания — везде знания. Проваливаемся внутрь трудовой функции — идентификаторов для знаний и умений там нет, используется традиционный подход, основанный на должностях.

В NICE основным звеном являются не должности, а навыки. Декомпозиция должностей до навыков позволяет при принятии кадровых решений опираться не на внутренние ощущения, а на данные и факты. К примеру, кандидатов, удовлетворяющих критериям «диплом топового ВУЗа, от 10 лет опыта в ИБ, CISSP, CISM, OSCP,…» на рынке немного. Да и те, что есть, не всегда подходят, т. к. на самом деле «хотели не совсем то». Для «того» нужно уметь определять четкий перечень требуемых навыков и уровень ответственности, необходимый для работы на данной позиции, а главное, уметь их качественно и быстро оценивать. Как у кандидата, иначе велик риск нанять «кота в мешке», так и для программы обучения, иначе расходы на неё будут потрачены впустую.

Talent Supply Chain

Текущая ситуация с управлением талантами напоминает предпосылки, приведшие в свое время к идее цепочки поставок в логистике, когда каждый из участников, оптимизируя свои планы, не согласовывает их с возможностями и планами партнеров, мешая выполнению и их, и своих… Или, по-нашему, централизованное планирование в условиях волатильности рынка и реализации множества рисков не успевает синхронизировать предложение со спросом… Сведем аналогии в таблицу:

Цепочка поставки товаров

Цепочка поставки талантов

Объект управления

Товарные позиции (SKU)

Задачи, знания, навыки (TKS)

Таксономия

Номенклатура товаров

Модель компетенций

Инвентаризация

Инвентаризация товаров

Инвентаризация навыков

Спрос

Прогнозирование спроса и цен на товары для определения планов продаж, закупок и производства

Потребности в определенных знаниях и навыках для решения задач, стоящих перед организацией

Предложение

Закупки и выпуск товаров

Рынок вакансий, обучения, повышения квалификации, переподготовка, переводы

CyberSeek

Ключевую роль в формировании «цепочки поставок талантов» в области кибербезопасности в США играет cyberseek.org (недоступен из РФ), финансируемый NICE. Он предоставляет следующую информацию и инструменты:

  • актуальные данные о зарплатах в области ИБ в разрезе ролей и навыков, что позволяет работодателям формировать конкурентоспособные предложения и стратегию набора персонала;

  • интерактивную карту, наглядно показывающую соотношение спроса и предложения по ИБ-специалистам по регионам;

  • анализ пробелов в навыках и дефицита специалистов по ролям, что позволяет учебным заведениям планировать программы обучения;

  • карьерные пути, помогающие определить знания и навыки, необходимые для входа и развития карьеры в ИБ по тому или иному направлению;

  • карту учебных и образовательных учреждений, которая помогает найти программу, подходящую для выбранной роли.

Пример аналитики CyberSeek в области финансов и страхования

Пример аналитики CyberSeek в области финансов и страхования

Пример аналитики CyberSeek для роли архитектора кибербезопасности

Пример аналитики CyberSeek для роли архитектора кибербезопасности

В целом CyberSeek способствует созданию более эффективного и устойчивого «конвейера ИБ-талантов», балансируя спрос и предложение по ИБ-навыкам в соответствии с меняющимся ландшафтом угроз.

Ближе к нашим реалиям проект Путь специалиста по ИБ, который ведет Дмитрий Федоров — интерактивная схема развития карьеры специалиста, составленная на основе анализа текущих вакансий. Уверен, при наличии ресурсов, он сможет составить конкуренцию CyberSeek.

*в публикациях на Хабр излагается моя личная точка зрения, которая может не совпадать с точкой зрения работодателя.

© Habrahabr.ru