Фреймворк для развития знаний и навыков в области кибербезопасности (NICE Framework)
NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США🤔
Адаптированный перевод фреймворка в виде матрицы компетенций от🟥 можно найти по ссылке.
NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).
🔥 И это еще не все 😳 На основе NICE Framework американцы построили карьерный путь в кибербезе. Весь кибербез они разделили на пять сообществ (на рисунке): IT, Cybersecurity, Cyber Effects, Intel (Cyber) и Cross Functional. В интерактивном режиме можно выбрать одно из сообществ и увидеть, как связаны Специализированные области, чтобы построить свой карьерный трек 🤔
Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию👀
Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать)😔
В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году😱
#nice_framework #модель_компетенций
NICE Framework, представляет собой американский ресурс, помогающий работодателям развивать кадры в области кибербеза. Он устанавливает единый словарь, описывающий знания и навыки в области ИБ. Фреймворк применяется в гос., частном и академическом секторах США
Адаптированный перевод фреймворка в виде матрицы компетенций от
NICE Framework состоит из следующих компонентов:
📎 Категории (7) – группа высокого уровня общих функций кибербезопасности.
📎 Специализированные области (33) – отдельные области работы в области кибербезопасности (например, см. Systems Administration).
📎 Рабочие роли (52) — наиболее подробные группы работ по кибербезопасности, состоящие из конкретных знаний, навыков и способностей, необходимых для выполнения задач в рамках рабочей роли (например, см. Systems Administration).
Отдельный сервис позволяет, как на схеме метро, указать начальную и конечную точки карьеры, а программа сама покажет знания и навыки, которые потребуются для перехода. В этот момент пользователю, конечно, предлагается пройти различные курсы и повысить свою квалификацию
Из интересных особенностей отметил наличие Специализированной области Knowledge Management. У нас мало внимания уделяется управлению знаниями в ИБ, таких специалистов очень сложно найти на рынке (об этом можно отдельный пост написать)
В качестве недостатка NICE Framework - отсутствие AI/ML, как сквозного направления в кибербезе. Это объясняется тем, что документ принят в 2017 и обновлялся последний раз в 2020 году
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Терминология NICE Framework. Что важно знать?
В отличие от профстандартов NICE Framework удалось гибко связать сферы обучения и работы. Разработчики учли, что кибербез-специалист учится на протяжении всей жизни🤓
📎 Работа в NICE Framework описывается через выполняемые задачи, каждая из которых включает набор навыков и знаний (рисунок 1).
📎 Группа задач может объединяться в области компетенций (термин взяли из сферы образования), на основе которых удобно разрабатывать программы обучения (рисунок 2).
📎 Рабочая роль - набор решаемых рабочих задач. Должность может включать множество рабочих ролей (рисунок 3).
Через формирование областей компетенций можно обучать новым ИБ-направлениям, которые еще не сложились, как рабочая роль или должность🤔
Посмотрим на примере, как работать с NICE Framework: рабочая роль Системный администратор, а должность может звучать, как Специалист службы технической поддержки.
Задачи, которые решает роль:
T0054: Разработать групповые политики и списки управления доступом.
T0514: Выполнить диагностику неисправного системного/серверного оборудования.
Знания, которые необходимы для решения задач:
K0004: Знание принципов кибербезопасности и конфиденциальности.
K0289: Знание инструментов диагностики системы/сервера и методов выявления неисправностей.
Навыки, которые необходимы для решения задач:
S0043: Навыки поддержки служб каталогов (например, Microsoft Active Directory, LDAP и т. д.).
S0144: Навыки устранения физических и технических проблем, влияющих на производительность системы/сервера.
Для разработки программы повышения квалификации👨🏫 для системных администраторов со знанием СЗИ сформируем область компетенций, включающую задачи T0054, T0514 и дополнительно T0335: Сборка, установка, настройка и тестирование специального оборудования для киберзащиты, где оценим знания с помощью тестов, а навыки на демо-стенде.
Подробнее про NICE Framework см. тут, тут и тут👀 Обратите внимание на предложения по новым областям компетенций 🤔
#nice_framework #модель_компетенций
В отличие от профстандартов NICE Framework удалось гибко связать сферы обучения и работы. Разработчики учли, что кибербез-специалист учится на протяжении всей жизни
📎 Работа в NICE Framework описывается через выполняемые задачи, каждая из которых включает набор навыков и знаний (рисунок 1).
📎 Группа задач может объединяться в области компетенций (термин взяли из сферы образования), на основе которых удобно разрабатывать программы обучения (рисунок 2).
📎 Рабочая роль - набор решаемых рабочих задач. Должность может включать множество рабочих ролей (рисунок 3).
Через формирование областей компетенций можно обучать новым ИБ-направлениям, которые еще не сложились, как рабочая роль или должность
Посмотрим на примере, как работать с NICE Framework: рабочая роль Системный администратор, а должность может звучать, как Специалист службы технической поддержки.
Задачи, которые решает роль:
T0054: Разработать групповые политики и списки управления доступом.
T0514: Выполнить диагностику неисправного системного/серверного оборудования.
Знания, которые необходимы для решения задач:
K0004: Знание принципов кибербезопасности и конфиденциальности.
K0289: Знание инструментов диагностики системы/сервера и методов выявления неисправностей.
Навыки, которые необходимы для решения задач:
S0043: Навыки поддержки служб каталогов (например, Microsoft Active Directory, LDAP и т. д.).
S0144: Навыки устранения физических и технических проблем, влияющих на производительность системы/сервера.
Для разработки программы повышения квалификации
Подробнее про NICE Framework см. тут, тут и тут
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
От набора навыков к сервису на основе данных
Для визуализации рынка труда в области кибербеза американские компании NICE, CompTIA и Lightcast разработали карту вакансий CyberSeek (сам сервис заблокирован для жителей РФ).
За 2022 год работодатели зарегистрировали на сайте 769 736 вакансий, требующих кибербез навыков🤯
На рисунке показано, как сервис позволяет построить маршрут развития карьеры (начальный уровень, средний и продвинутый), конечно, он не такой детальный как отечественная схема, но замысел близкий🤔
В основе CyberSeek лежит NICE Framework, информация об экспертной ИБ-сертификации, анализ рынка вакансий и требования к образованию с указаниям, где пройти обучение👀
#nice_framework #модель_компетенций
Для визуализации рынка труда в области кибербеза американские компании NICE, CompTIA и Lightcast разработали карту вакансий CyberSeek (сам сервис заблокирован для жителей РФ).
За 2022 год работодатели зарегистрировали на сайте 769 736 вакансий, требующих кибербез навыков
На рисунке показано, как сервис позволяет построить маршрут развития карьеры (начальный уровень, средний и продвинутый), конечно, он не такой детальный как отечественная схема, но замысел близкий
В основе CyberSeek лежит NICE Framework, информация об экспертной ИБ-сертификации, анализ рынка вакансий и требования к образованию с указаниям, где пройти обучение
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Канадская система навыков в области кибербезопасности
Канадская система навыков в области кибербезопасности (ITSM.00.039) выпущена под руководством Канадского центра кибербезопасности (Кибер-центра).
В основе лежит американский NICE Framework, адаптированный к канадскому рынку труда. Система включает четыре категории (вместо семи в NICE), которые представляют собой большинство ролей в области кибербезопасности в канадских предприятиях и организациях (на рисунке)🤔
#nice_framework #модель_компетенций
Канадская система навыков в области кибербезопасности (ITSM.00.039) выпущена под руководством Канадского центра кибербезопасности (Кибер-центра).
В основе лежит американский NICE Framework, адаптированный к канадскому рынку труда. Система включает четыре категории (вместо семи в NICE), которые представляют собой большинство ролей в области кибербезопасности в канадских предприятиях и организациях (на рисунке)
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Модель обновления рабочих ролей в NICE Framework
В октябре рабочая группа NICE предложила добавить к существующим рабочим ролям "Анализ внутренних угроз": роль отвечает за выявление инсайдерских угроз кибербезопасности; делает выводы, которые помогают инициализировать и поддерживать правоохранительную и контрразведывательную деятельность👨💻
Детальное описание рабочей роли в таблице по ссылке: на вкладке "Proposed Aligned TKS Statements" обратите внимание на подробное соответствие задач (IT-T00xx), которые решает роль "Анализ внутренних угроз", знаниям и навыкам (IT-K00xx, S00xx)🤔
Таким образом, добавление новой роли в NICE Framework влечет за собой 1️⃣ формирование новых программ обучения, 2️⃣ появление экспертной сертификации и явно говорит, что 3️⃣ на рынке сформировался запрос на таких специалистов👀
#nice_framework #модель_компетенций
В октябре рабочая группа NICE предложила добавить к существующим рабочим ролям "Анализ внутренних угроз": роль отвечает за выявление инсайдерских угроз кибербезопасности; делает выводы, которые помогают инициализировать и поддерживать правоохранительную и контрразведывательную деятельность
Детальное описание рабочей роли в таблице по ссылке: на вкладке "Proposed Aligned TKS Statements" обратите внимание на подробное соответствие задач (IT-T00xx), которые решает роль "Анализ внутренних угроз", знаниям и навыкам (IT-K00xx, S00xx)
Таким образом, добавление новой роли в NICE Framework влечет за собой 1️⃣ формирование новых программ обучения, 2️⃣ появление экспертной сертификации и явно говорит, что 3️⃣ на рынке сформировался запрос на таких специалистов
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Специалист по управлению уязвимостями
Ранее я уже писал про разрыв между профстандартами и реальным рынком кибербеза. Повторяться не хочется. Остается главный вопрос: что с этим делать?🤔
1️⃣ У меня получилось сопоставить NICE Framework со схемой развития кибербез-специалиста (на рисунке).
2️⃣ В терминах NICE на основе отечественных вакансий с HH подготовил черновик описания рабочей роли Специалист по управлению уязвимостями. Оно получилось более детальное, чем у NICE😎
На основе предложенного описания рабочей роли теперь можно:
📎 создавать актуальные учебные курсы (элективы в вузе, ДПО)
📎 сравнивать учебные курсы между собой (по знаниям и умениям, которые приобретает ученик)
📎 подбирать кадры на смежные должности
📎 повышать квалификацию сотрудников компании итд итп
Данный кейс показывает, что идею NICE Framework можно адаптировать к реалиям отечественного рынка👍
#nice_framework #модель_компетенций
Ранее я уже писал про разрыв между профстандартами и реальным рынком кибербеза. Повторяться не хочется. Остается главный вопрос: что с этим делать?
1️⃣ У меня получилось сопоставить NICE Framework со схемой развития кибербез-специалиста (на рисунке).
2️⃣ В терминах NICE на основе отечественных вакансий с HH подготовил черновик описания рабочей роли Специалист по управлению уязвимостями. Оно получилось более детальное, чем у NICE
На основе предложенного описания рабочей роли теперь можно:
📎 создавать актуальные учебные курсы (элективы в вузе, ДПО)
📎 сравнивать учебные курсы между собой (по знаниям и умениям, которые приобретает ученик)
📎 подбирать кадры на смежные должности
📎 повышать квалификацию сотрудников компании итд итп
Данный кейс показывает, что идею NICE Framework можно адаптировать к реалиям отечественного рынка
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Области компетенций в NICE Framework
Обучение и работа — это разные типы деятельности👨🏫
На работе мы ежедневно выполняем рабочие задачи, а во время обучения приобретем новые знания и навыки, чтобы по окончании решать более сложные и интересные рабочие задачи👨💻
Ранее уже писал, что NICE Framework позволяет разграничить работу (рабочие роли) и области компетенций (на рисунке 1).
В новой редакции NICE предлагает добавить следующие области компетенций (== учебные дисциплины).
1. Управление доступом
2. ИИ в кибербезе🔥
3. Управление активами
4. Облачная безопасность
5. Сетевая безопасность
6. Криптография
7. Основы кибербеза
8. Лидерство в кибербезе
9. Защита данных
10. DevSecOps
11. Киберустойчивость/надежность
12. Безопасность и администрирование ОС
13. Промышленная безопасность
14. Безопасная разработка
15. Безопасность цепочки поставок
Чувствую, что пора уже готовить отдельную лекцию про адаптацию NICE Framework к отечественному рынку кибербеза🤔
Поставьте 👍 если интересно послушать такую лекцию.
#nice_framework #модель_компетенций
Обучение и работа — это разные типы деятельности
На работе мы ежедневно выполняем рабочие задачи, а во время обучения приобретем новые знания и навыки, чтобы по окончании решать более сложные и интересные рабочие задачи
Ранее уже писал, что NICE Framework позволяет разграничить работу (рабочие роли) и области компетенций (на рисунке 1).
В новой редакции NICE предлагает добавить следующие области компетенций (== учебные дисциплины).
1. Управление доступом
2. ИИ в кибербезе
3. Управление активами
4. Облачная безопасность
5. Сетевая безопасность
6. Криптография
7. Основы кибербеза
8. Лидерство в кибербезе
9. Защита данных
10. DevSecOps
11. Киберустойчивость/надежность
12. Безопасность и администрирование ОС
13. Промышленная безопасность
14. Безопасная разработка
15. Безопасность цепочки поставок
Чувствую, что пора уже готовить отдельную лекцию про адаптацию NICE Framework к отечественному рынку кибербеза
Поставьте 👍 если интересно послушать такую лекцию.
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Система кибернавыков австралийского управления связи
Перенесемся в теплую Австралию🐨 🦘 ☀️
В системе кибернавыков австралийского управления связи определены девять рабочих ролей (рисунок 1), соответствующих структуре NICE Framework🤔
Отличие от классического NICE только в хитромудрой градации (стр. 15) уровня мастерства владения навыками для каждой роли🤯
Ранее я писал про американский сервис CyberSeek, заблокированный для жителей РФ👀
AUCyberExplorer реализовали аналогичный сервис для рынка труда Австралии (рисунок 2): интерактивный карьерный путь, схему сертификации и показали спрос на кибербез специалистов у себя 🥷
#модель_компетенций #nice_framework
Перенесемся в теплую Австралию
В системе кибернавыков австралийского управления связи определены девять рабочих ролей (рисунок 1), соответствующих структуре NICE Framework
Отличие от классического NICE только в хитромудрой градации (стр. 15) уровня мастерства владения навыками для каждой роли
Ранее я писал про американский сервис CyberSeek, заблокированный для жителей РФ
AUCyberExplorer реализовали аналогичный сервис для рынка труда Австралии (рисунок 2): интерактивный карьерный путь, схему сертификации и показали спрос на кибербез специалистов у себя 🥷
#модель_компетенций #nice_framework
Please open Telegram to view this post
VIEW IN TELEGRAM
NICE Framework Components v1.0.0
🔥 5 марта вышла официальная версия матрицы рабочих ролей по кибербезу NICE Framework (на основе NIST 800-181).
Этот документ во многом задает международные тренды в сфере подготовки кибербез кадров и влияет на систему сертификации в мире.
NICE Framework стремится обеспечить общий язык для описания специалистов по кибербезу, чтобы синхронизировать потребности рынка труда и образования🤔
👉 Обновленная матрица находится по ссылке (формат XLSX).
Терминология NICE Framework осталась прежней, о ней я писал тут👨🏫
Всего рабочих ролей 52, они объединены в категории.
В новой версии категории рабочих ролей следующие:
— надзор и управление;
— проектирование и разработка;
— реализация и эксплуатация;
— защита и реагирование;
— расследование;
— киберразведка;
— операции в киберпространстве.
Про смысл областей компетенций я писал тут👨🏫
В новой версии области компетенций следующие:
— контроль доступа;
— безопасность ИИ;
— управление активами;
— облачная безопасность;
— безопасность сетей;
— криптография;
— киберустойчивость;
— DevSecOps;
— безопасность операционных систем;
— промышленная безопасность;
— безопасность цепочки поставок.
#nice_framework #модель_компетенций
🔥 5 марта вышла официальная версия матрицы рабочих ролей по кибербезу NICE Framework (на основе NIST 800-181).
Этот документ во многом задает международные тренды в сфере подготовки кибербез кадров и влияет на систему сертификации в мире.
NICE Framework стремится обеспечить общий язык для описания специалистов по кибербезу, чтобы синхронизировать потребности рынка труда и образования
👉 Обновленная матрица находится по ссылке (формат XLSX).
Терминология NICE Framework осталась прежней, о ней я писал тут
Всего рабочих ролей 52, они объединены в категории.
В новой версии категории рабочих ролей следующие:
— надзор и управление;
— проектирование и разработка;
— реализация и эксплуатация;
— защита и реагирование;
— расследование;
— киберразведка;
— операции в киберпространстве.
Про смысл областей компетенций я писал тут
В новой версии области компетенций следующие:
— контроль доступа;
— безопасность ИИ;
— управление активами;
— облачная безопасность;
— безопасность сетей;
— криптография;
— киберустойчивость;
— DevSecOps;
— безопасность операционных систем;
— промышленная безопасность;
— безопасность цепочки поставок.
#nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Соответствие NICE Framework и профстандартов по ИБ
На рисунке показал, как соотносятся термины из профстандартов с NICE Framework🧐
👉 Это может пригодиться при обновлении и разработке профстандартов по ИБ.
#nice_framework #модель_компетенций #профстандарты
На рисунке показал, как соотносятся термины из профстандартов с NICE Framework
👉 Это может пригодиться при обновлении и разработке профстандартов по ИБ.
#nice_framework #модель_компетенций #профстандарты
Please open Telegram to view this post
VIEW IN TELEGRAM
Модель компетенций по кибербезу (NIST NICE) на русском языке
На Хабре вышла статья про NICE фреймворк🔥 Автор подготовил перевод документа и выполнил сравнение с отечественными профстандартами, обозначив их слабые стороны 🤔
ЗЫ. Спасибо подписчику, который поделился документом👍
#nice_framework #модель_компетенций #профстандарты
На Хабре вышла статья про NICE фреймворк
ЗЫ. Спасибо подписчику, который поделился документом
#nice_framework #модель_компетенций #профстандарты
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
NIST NICE – модель компетенций в области ИБ
Давайте продолжим ход мысли недавней публикации про модели зрелости в области кибербезопасности. Допустим, провели мы оценку уровня своей защищенности по SAMM, CSF или другой модели, выбрали...
Применение SFIA Framework для ИБ (перевод на русский язык)
На Хабре вышла очередная статья про подготовку ИБ-кадров. В этот раз автор разбирает шкалу квалификации SFIA (Skills Framework for the Information Age).
Автор подготовил перевод SFIA на русский язык🔥
ЗЫ. Спасибо подписчику, который поделился документом 👍
#аналитика #nice_framework #модель_компетенций
На Хабре вышла очередная статья про подготовку ИБ-кадров. В этот раз автор разбирает шкалу квалификации SFIA (Skills Framework for the Information Age).
Автор подготовил перевод SFIA на русский язык
ЗЫ. Спасибо подписчику, который поделился документом 👍
#аналитика #nice_framework #модель_компетенций
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Применение SFIA Framework для ИБ
При всем уважении к недавно рассмотренной NIST NICE, в ней не хватает одного важного элемента — шкалы квалификации. NIST про нее не забыл , но в настоящее время уровни квалификации к компонентам TKS...