Топ-10 компетенций для SOC, CERT

Топ-10 компетенций специалиста, управляющего командой SOC, CERT.

Ни одна компания не может наращивать свой оборот быстрее роста ее умения нанимать нужных людей, способных обеспечить ее развитие (Джим Коллинз).

В последнее время ведется много обсуждений планов ЦБ России по совершенствованию требований к обеспечению ИБ организаций банковской сферы, а также введению требований к квалификации специалистов по информационной безопасности в банковской сфере.

Определение необходимого уровня квалификации специалиста это актуальная задача не только для банковской сферы. Прежде всего потому, что ее решение позволит руководству лучше понять какой объем работ необходимо производить, какого качества, в какие сроки и, соответственно, обеспечит установку функциональных требований к специалисту (с корректными метриками KPI), адекватную оценку стоимости и ценности специалиста.

В конечном итоге могут быть утверждены формализованные отраслевые квалификационные требования к специалистам на определенную должность. До тех пор, пока нет таких утвержденных требований, я рекомендую ориентироваться на следующие компетенции, которыми должны владеть в комплексе специалисты по информационной безопасности:

1. Отличное понимание области компьютерных наук: алгоритмов, структур данных, баз данных, операционных систем, телекоммуникационных сетей, методов и средств разработки программных и программно-аппаратных инструментов (как в виде жизненного цикла продукта для конечного пользователя, так и вспомогательного/подручного средства для решения узкой специфической задачи).

2. Отличное понимание IT-сервисов и IT-инфраструктуры: ITIL/ITSM, управление оконечными устройствами (мобильными, стационарными, сетевыми, персональными) и управление серверами.

3. Отличные коммуникативные способности: четкое письменное изложение (в том числе, деловое и техническое) и уверенная речь с различной аудиторией (с инженерами и бизнес-руководителями).

4. Отличное понимание мотивации злоумышленника: киберпреступность, киберхактивизм, кибервойны, кибершпионаж, промышленный шпионаж.

5. Отличное понимание концепций обеспечения защиты: защита периметра, решение проблемы BYOD (MDM), предотвращение потери (backup) и утечки конфиденциальных данных (DLP), защита от инсайдеров, анализ cyber kill chain (и ограничений применения), оценка рисков и метрики безопасности.

6. Отличное понимание процесса управления уязвимостями: природа возникновения уязвимостей, как их обнаружить, как их устранять или компенсировать.

7. Отличное понимание вредоносного кода: опыт обратной инженерии, выработка тактик, техник и процедур исследования из общих мотиваций.

8. Отличное понимание основ визуализации, особенно больших данных.

9. Отличное понимание техник: кибер-разведки (конкурентной разведки, сбора/поиска информации) и промышленного шпионажа.

10. Владение иностранными языками: соответственно региону деятельности и, как минимум, английским (не ниже upper intermediate).

Существует множество инструментов (программных и программно-аппаратных) необходимых специалисту, чтобы на практике реализовывать указанные компетенции. Арсенал инструментов является темой для отдельного обсуждения. Но из всего арсенала стоит выделить специализированный инструментарий, который, как правило, упускают из интереса специалисты и их рекрутёры, и владение которым говорит о наличии у специалиста большой части компетенций. Это, например, такие инструменты расследования инцидентов как: Fireeye Redline, Volatility Framework, Wireshark, NetworkMiner, Cuckoo Sendbox, EnCase Forensic или инструменты дистрибутива Helix/DEFT Linux.

Представленные компетенции охватывают широкий спектр функциональных требований к специалистам по информационной безопасности, способных исключить применение неприступных ворот в чистом поле и обеспечивающих комплексную безопасности. Отдельные из указанных компетенции могут детализироваться и использоваться в качестве требований к специалистам узкого профиля, в совокупности же данные компетенции характеризуют специалиста, управляющего командой SOC или CERT.

 

P.S. Защищайте свои инвестиции.

comments

Leave a comment

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.