NIST NICE – модель компетенций в области ИБ
Давайте продолжим ход мысли недавней публикации про модели зрелости в области кибербезопасности. Допустим, провели мы оценку уровня своей защищенности по SAMM, CSF или другой модели, выбрали лучи-вектора для улучшения и целевые уровни. Ответ на вопрос «ЧТО мы строим?» у нас появился. А дальше? Вспоминая добрым словом архитектурных гуру — Джона Шервуда и его тезку-вдохновителя — Джона Закмана, когда-то задавших моду задавать (sic!) вопросы, понимаем, что нам не хватает понимания КТО у нас для этой стройки есть. И главное: КТО нам нужен, чтобы нашу «сказку сделать былью»? Под «КТО» я имею ввиду конкретных специалистов и руководителей с требуемым опытом, знаниями и умениями. И тут на сцену выходят модели компетенций*.
От модели зрелости к модели компетенций строим кибервозможности
Первый раз про NICE я узнал из поста уважаемого Алексея Викторовича, потом кто-то пообещал серию публикаций с ее переводом, но не случилось. Последней каплей стало обновление NICE в марте этого года, и, вот, прошу любить и жаловать — перевод NICE.
NICE (официально — специальная публикация NIST 800–181r1) определяет единый подход и общий язык (таксономию) для формулировки знаний, навыков и задач и стандартизации профессиональной деятельности в области кибербезопасности, упрощая взаимодействие между всеми заинтересованными сторонами экосистемы кибербезопасности (работодателями, сотрудниками, образовательными и учебными заведениями, государством в целом и на международном уровне), позволяя выявлять, нанимать, развивать и удерживать таланты, снижая барьеры для входа, способствуя повышению мобильности и готовности персонала к достижению целей бизнеса.
Фреймворк NIST NICE был создан в 2008 году в рамках национальной инициативы США по кибербезопасности, и был нацелен на повышение уровня подготовки работников госсектора к решению задач кибербезопасности. В мае 2009 года охват NICE распространился на частный сектор, стал общенациональным. После этого было еще несколько обновлений, в процессе которых менялись те или иные компоненты, но основа осталась прежней. Важность NICE со временем только возрастает, т.к. дефицит персонала в отрасли ИБ в США регулярно признается угрозой национальной безопасности (Трамп, Байден).
Как и любая модель компетенций NICE состоит из нескольких взаимосвязанных компонентов: задачи (T), знания (K), навыки (S), рабочие роли и области компетенций. Здесь знания определяются как способность воспроизвести требуемую информацию по памяти, навыки — опыт применения этих знаний на практике, а задачи — фактически выполняемые на рабочем месте действия с применением навыков. Формулировки TKS (в NICE их более двух тысяч; также их называют индикаторами достижения компетенций) используются для определения состава рабочих ролей и областей компетенций.
Связь между формулировками задач, знаний и навыков в NICE
Рабочая роль в NICE — совокупность задач, которые выполняет и за которые несёт ответственность отдельный специалист или команда. Роль не является синонимом должности. Как и сама профессиональная область, роли продолжают развиваться, NICE — живой документ, над которым постоянно идет работа. Анализ роли обычно проводится, исходя из состава входящих в неё задач. В NICE представлено 52 роли, разделённые на 7 категорий.
Категории рабочих ролей в NIST NICE
Категория ролей | Описание категории | Количество ролей |
Управление и контроль (OG) | Руководство, управление и поддержка бизнеса в эффективном управлении киберрисками и обеспечении кибербезопасности. | 16 |
Проектирование и разработка (DD) | Исследования, разработки, концептуальное и детальное проектирование, разработка и тестирование защищенности автоматизированных систем, включая периметр и облачные сети. | 8 |
Внедрение и эксплуатация (IO) | Внедрение, администрирование, настройка, эксплуатация и техническое сопровождение для поддержания работоспособности и безопасности автоматизированных систем. | 7 |
Киберзащита (PD) | Защита, выявление и анализ рисков для автоматизированных систем и сетей. Включает расследование событий или преступлений в области кибербезопасности. | 7 |
Расследования (IN) | Сбор, обработка, анализ и распространение информации из различных источников о программах, намерениях, возможностях, исследованиях, разработках и оперативной деятельности иностранных субъектов в киберпространстве. | 2 |
Киберразведка (CI) | Узкоспециализированный анализ и оценка разведывательной информации с целью определения ее полезности для кибербезопасности. | 5 |
Кибероперации (CE) | Планирование, поддержка и реализация возможностей в киберпространстве, основной целью которых является внешняя защита или их применение. | 7 |
Область компетенции в NICE — совокупность связанных знаний и навыков, необходимых для решения задач в сфере ИБ, пока не оформившаяся в самостоятельную рабочую роль. Она помогает обучающимся определить свои интересы, планировать карьеру, выявлять пробелы в знаниях и демонстрировать способности. Области компетенций дополняют рабочие роли и могут использоваться самостоятельно.
Создание команд с помощью NICE
Для создания команд можно использовать и роли, и области компетенций. Первый подход «сверху вниз» предполагает определение ролей, необходимых для достижения целей, и формирование команды на основе этих ролей. Второй подход «снизу вверх» рассматривает навыки и знания, необходимые для решения задач, т.е. команда составляется с учётом наличия у участников нужных навыков.
Примеры применения NICE
Работодатели могут использовать NICE для аттестации персонала, выявления специалистов с наиболее критичными и дефицитными навыками, создания более точных должностных инструкций и описания вакансий, улучшения процессов найма и удержания, управления эффективностью работы, разработки индивидуальных планов развития, обучения и карьерного роста, включая повышение квалификации, переподготовку и перевод сотрудников.
Образовательные учреждения могут разрабатывать учебные планы, программы и дисциплины, сопоставлять и оценивать знания и навыки обучающихся с учётом потребностей работодателей, изучать рынок труда в сфере кибербезопасности.
Учителя школ могут знакомить учеников с основами ИБ и киберграмотности, помогать им узнавать больше об этой профессиональной области и выбирать направление для дальнейшего обучения, а также разрабатывать дидактические материалы.
Учебные центры могут соотносить свои программы и оценки с наиболее востребованными навыками, помогая специалистам и работодателям получать их.
Студенты, кандидаты и работники могут узнавать о составе задач в каждой рабочей роли, связанных с ними знаниях и навыках, выявлять пробелы и демонстрировать свои способности, а также определять траектории для дальнейшего обучения и карьерного роста.
Поставщики услуг кибербезопасности могут ссылаться на элементы NICE Framework в своих продуктах и услугах для обеспечения совместимости со стратегией заказчика.
Официальное представление NICE позади, теперь немного о подходах, лежащих в ее основе и способствующих внедрению.
Skills-based Organization
Сравним с NICE профессиональные стандарты МинТруда для наиболее близкого мне в силу профессии специалиста по ИБ в КФС. Структура похожа: трудовые функции подобны рабочим ролям в NICE, трудовые действия — задачам, необходимые умения — навыкам, а знания — везде знания. Проваливаемся внутрь трудовой функции — идентификаторов для знаний и умений там нет, используется традиционный подход, основанный на должностях.
В NICE основным звеном являются не должности, а навыки. Декомпозиция должностей до навыков позволяет при принятии кадровых решений опираться не на внутренние ощущения, а на данные и факты. К примеру, кандидатов, удовлетворяющих критериям «диплом топового ВУЗа, от 10 лет опыта в ИБ, CISSP, CISM, OSCP,…» на рынке немного. Да и те, что есть, не всегда подходят, т. к. на самом деле «хотели не совсем то». Для «того» нужно уметь определять четкий перечень требуемых навыков и уровень ответственности, необходимый для работы на данной позиции, а главное, уметь их качественно и быстро оценивать. Как у кандидата, иначе велик риск нанять «кота в мешке», так и для программы обучения, иначе расходы на неё будут потрачены впустую.
Talent Supply Chain
Текущая ситуация с управлением талантами напоминает предпосылки, приведшие в свое время к идее цепочки поставок в логистике, когда каждый из участников, оптимизируя свои планы, не согласовывает их с возможностями и планами партнеров, мешая выполнению и их, и своих… Или, по-нашему, централизованное планирование в условиях волатильности рынка и реализации множества рисков не успевает синхронизировать предложение со спросом… Сведем аналогии в таблицу:
Цепочка поставки товаров | Цепочка поставки талантов | |
Объект управления | Товарные позиции (SKU) | Задачи, знания, навыки (TKS) |
Таксономия | Номенклатура товаров | Модель компетенций |
Инвентаризация | Инвентаризация товаров | Инвентаризация навыков |
Спрос | Прогнозирование спроса и цен на товары для определения планов продаж, закупок и производства | Потребности в определенных знаниях и навыках для решения задач, стоящих перед организацией |
Предложение | Закупки и выпуск товаров | Рынок вакансий, обучения, повышения квалификации, переподготовка, переводы |
CyberSeek
Ключевую роль в формировании «цепочки поставок талантов» в области кибербезопасности в США играет cyberseek.org (недоступен из РФ), финансируемый NICE. Он предоставляет следующую информацию и инструменты:
актуальные данные о зарплатах в области ИБ в разрезе ролей и навыков, что позволяет работодателям формировать конкурентоспособные предложения и стратегию набора персонала;
интерактивную карту, наглядно показывающую соотношение спроса и предложения по ИБ-специалистам по регионам;
анализ пробелов в навыках и дефицита специалистов по ролям, что позволяет учебным заведениям планировать программы обучения;
карьерные пути, помогающие определить знания и навыки, необходимые для входа и развития карьеры в ИБ по тому или иному направлению;
карту учебных и образовательных учреждений, которая помогает найти программу, подходящую для выбранной роли.
Пример аналитики CyberSeek в области финансов и страхования
Пример аналитики CyberSeek для роли архитектора кибербезопасности
В целом CyberSeek способствует созданию более эффективного и устойчивого «конвейера ИБ-талантов», балансируя спрос и предложение по ИБ-навыкам в соответствии с меняющимся ландшафтом угроз.
Ближе к нашим реалиям проект Путь специалиста по ИБ, который ведет Дмитрий Федоров — интерактивная схема развития карьеры специалиста, составленная на основе анализа текущих вакансий. Уверен, при наличии ресурсов, он сможет составить конкуренцию CyberSeek.
*в публикациях на Хабр излагается моя личная точка зрения, которая может не совпадать с точкой зрения работодателя.