CC BY
182
УДК 004.056.5
DOI: 10.33764/2618-981X-2020-6-1-53-59
МОДЕЛЬ КОМПЕТЕНТНОСТИ СПЕЦИАЛИСТА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СОВРЕМЕННЫХ УСЛОВИЯХ
Диана Сергеевна Васильева
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, магистрант кафедры фотоники и приборостроения, тел. (999)469-83-58, e-mail: diana.vds@yandex.ru
Аэлита Владимировна Шабурова
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, доктор экономических наук, профессор, директор Института оптики и технологий информационной безопасности, тел. (905)950-93-01, e-mail: aelita_sha-burova@mail.ru
Область информационной безопасности испытывает дефицит специалистов для удовлетворения растущего спроса на квалифицированные и готовые к работе кадры. Необходимо пересмотреть использование моделей компетенций в качестве инструментов для определения и оценки квалификации и навыков работников. Цель исследования - формулировка модели компетентности специалиста в области информационной безопасности. В статье рассмотрены структура модели компетенций специалиста в области информационной безопасности и сама модель компетенций специалиста в области информационной безопасности, даны определения основным компетенциям, которые необходимы для специалиста по информационной безопасности. Отраслевые стандартные модели компетенций могут помочь работодателям, преподавателям и специалистам по кадрам подготовить, развить и продвинуть рабочую силу по обеспечению безопасности предприятий и информационной безопасности в будущем.
Ключевые слова: информационная безопасность, специалист по информационной безопасности, компетенции, модель компетенций.
COMPETENCE MODEL OF AN INFORMATION SECURITY SPECIALIST IN MODERN CONDITIONS
Diana S. Vasilieva
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Graduate, Department of Photonics and Device Engineering, phone: (999)469-83-58, e-mail: diana.vds@yandex.ru
Aelita V. Shaburova
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, D. Sc., Professor, Director of the Institute of optics and information security technologies, phone: (905)950-93-01, e-mail: aelita_shaburova@mail.ru
The field of information security is experiencing a shortage of specialists to meet the growing demand for qualified and ready-to-work personnel. The use of competency models as tools for determining and evaluating employee qualifications, and skills needs to be reconsidered. The purpose of the research is to formulate competence a model of a specialist in the field of information security. The article examines the structure of the competence model of a specialist in the field of information security, and the model of competence of a specialist in the field of information security, as well as
defines the main competencies that are necessary for an information security specialist. Industry standard competence models can help employers, teachers, and human resources professionals prepare, develop, and advance the workforce for enterprise security and information security in the future.
Key words: information security, information security specialist, competence, competence model.
Введение
Индустрия безопасности является малоизученной областью; ее разнообразные, дублирующие друг друга функции и иногда нестандартная терминология затрудняют точное определение границ. Однако готовность к риску и устойчивость отдельных лиц, организаций и целых экономик зависят от действующих систем безопасности и инфраструктуры. Для их осуществления требуется квалифицированная и информированная рабочая сила [1].
Пробелы в кадрах в области безопасности привели работодателей и преподавателей к тому, что необходимо пересмотреть использование моделей компетенций в качестве инструментов для определения и оценки квалификации и навыков работников [2].
Компетентность определяется как знания, навыки и способности, которые влияют на основную функцию работы, указывают на успешное выполнение работы, измеряются в соответствии со стандартами и подлежат улучшению с помощью обучения и опыта. Модель компетенций - это структурированный набор компетенций, которые определяют успешную работу в определенной роли, профессии или отрасли.
Модель компетентности Министерства труда США (DOL)
Существует набор общих и отраслевых моделей компетенций и связанных с ними инструментов, которые работодатели и преподаватели могут использовать для различных целей, связанных с кадрами, включая разработку учебных программ и описаний должностных обязанностей, оценку и наем кандидатов на работу, а также измерение производительности труда сотрудников. Однако, до недавнего времени не существовало стандартных, признанных в отрасли моделей компетентности для отраслей информационной безопасности [3].
Проведен анализ структуры модели компетентности Министерства труда США (DOL).
Структура состоит из набора блоков, разбитых на уровни, содержащих конкретные наборы связанных компетенций [4].
Расположение ярусов в пирамидальной форме отражает возрастающий уровень специфичности и специализации содержания. По мере продвижения специалиста вверх по различным уровням модели, эти компетенции становятся специфичными для определенных отраслей или профессий.
Структура модели компетентности специалиста в области информационной безопасности представлена на рис. 1.
Рис. 1. Структура модели компетентности специалиста в области информационной безопасности
В рамках этой структуры уровни сгруппированы в три блока: базовые компетенции, отраслевые компетенции и профессиональные компетенции [5].
В блоке базовых компетенций находится три уровня, они представляют собой базовые компетенции, которые требуются практически любому сотруднику. Вместе они образуют «навыки трудоустройства», которые являются общими для всех отраслей и профессий.
На первом уровне находятся общие компетенции - такие характеристики, как целостность, надежность и адаптивность, которые люди обычно начинают развивать в раннем возрасте как часть своих личных ценностей. Эти качества могут быть сформированы дома, в школе или через связь с религиозными или другими ценностными сообществами.
Второй уровень состоит из академических компетенций, таких как чтение, письмо и критическое мышление, которые обычно изучаются и совершенствуются в рамках формального образования (начальное, среднее) [6].
Третий уровень включает в себя такие компетенции на рабочем месте, как командная работа, планирование и организация, которые необходимы для выполнения практически любой связанной с работой функции. Компетентность -это совокупность взаимосвязанных знаний, навыков и умений, которые влияют на работу человека, коррелируют с производительностью работы, могут быть измерены в соответствии с общепринятыми стандартами и могут быть улучшены с помощью обучения, развития и опыта.
Блок отраслевых компетенций охватывает четвертый и пятый уровни, содержит отраслевые компетенции, которые являются специфичными для отрасли или подсектора отрасли, но не специфичными для какой-либо профессии или роли. Люди, демонстрирующие эти компетенции, обладают навыками, которые могут передаваться между ролями и профессиями в рамках отрасли [7].
Четвертый уровень включает в себя общепромышленные технические компетенции. Примерами их в индустрии корпоративной безопасности являются управление рисками и антикризисное управление. Поскольку они носят широкий характер и не связаны с конкретными ролями, эти компетенции обычно предполагают осведомленность или понимание, а не выполнение конкретных должностных задач [8].
На пятом уровне находятся отраслевые функциональные компетенции. Обеспечение безопасности предприятия является актуальной задачей в разных отраслях, таких как производство, банковское дело и финансы. Компетентность работников в этих отраслях будет отражать сочетание общих навыков в области безопасности и промышленности (четвертый уровень) и специализированные отраслевые навыки (пятый уровень), которые позволяют работать на "перекрестке" двух отраслей [9].
Блок профессиональных компетенций весьма специфичен для специалистов в соответствующей отрасли. Компетенции могут быть использованы для определения критериев эффективности работы, определения требований к конкретным учетным данным (например, профессиональная лицензия или сертификация), или создания учебного план для карьерно-ориентированных образовательных предложений. Из-за их специфичности и уникальности для конкретных рабочих мест компетенции на этих уровнях, как правило, не определяются заранее, а формулируются соответствующим менеджером по персоналу или профессионалом отрасли, ответственным за определение требований к должности или специалисту [10].
Модель компетентности сотрудника в области информационной
безопасности
Модель компетентности Министерства труда США (БОЬ) имеет недостатки, она не называет и не определяет компетенции на каждом уровне модели. Поэтому авторы предложили структуру модели компетентности сотрудника в области информационной безопасности детализируя компетенции, которыми должен обладать специалист по информационной безопасности на каждом из уровней представленных блоков компетенций, которая представлена в табл. 1.
Модель состоит из трех основных блоков компетенций и пяти уровней, необходимых специалисту в области информационной безопасности в современных условиях для успешного выполнения работы.
Таблица 1
Модель компетентности специалиста в области информационной безопасности
Блок Уровень Компетенции Содержание
Базовый Общие компетенции Коммуникативное общение Выражение мысли вербально в ясной, сжатой, логичной и организованной форме
Личностные качества Положительное духовно-нравственное качество личности, выражающее устойчивость и твёрдость нравственных основ её поведения
Адаптивность к изменениям Способность к приспособлению человека к существующим в обществе требованиям
Академические компетенции Критическое мышление Собор и анализ данных, используя логику и рассуждения
Аналитическое мышление Умение быстро находить эффективное и оптимальное решение в той или иной ситуации
Фундаментальные навыки ИТ-пользователя Навыки пользователя ПК, Интернета, знание MS Office
Компетенции специалиста в области информационной безопасности Командная работа Достижение целей, путем эффективной работы с различными группами людей в командной среде
Планирование деятельности Прогнозирование долгосрочных целей и потребностей
Принятие решений Принятие своевременных, обоснованных, основанных на фактах решений
Отраслевой Общепромышленные технические компетенции Управление рисками Активное использование знаний теории оценки рисков и кризисных индикаторов для эффективного распознавания кризисных ситуаций или потенциальных катастроф
Обнаружение инцидентов Проведение работы по расследованию компьютерных инцидентов или выстраивание в компании процесса реагирования на инциденты
Обеспечение информационной безопасности Обеспечение защиты данных от хищений или изменений
Отраслевые компетенции Техническая безопасность Проведение ряда мероприятий комплексной безопасности направленных на создание защиты объекта с использованием технических средств охраны
Управление информационной безопасностью Выявление и анализ рисков информационной безопасности
Расследование угроз Проведение мероприятий для выявления всех признаков неблагоприятного влияния
Защита от угроз Проведение полного комплекса мер по обеспечению целостности и конфиденциальности информации
Окончание табл. 1
Блок Уровень Компетенции Содержание
й ы К Управленческие компетенции Лидерство, собственная эффективность, стратегическое мышление
Л л а н о к с с е Профессиональные компетенции Повышение квалификации Непрерывное обучение в профессиональной области
о р П Сертификация Подтверждение соответствия специалиста требованиям занимаемой должности
Заключение
Приведенная модель может служить инструментом для определения и оценки квалификации и навыков работников, а также поможет предприятиям проводить эффективный отбор специалистов в области информационной безопасности. Соискатели будут более востребованным на рынке труда. Специалисты в области безопасности будут демонстрировать широкий спектр компетенций, чтобы успешно пройти отбор и эффективно выполнять обязанности специалиста в области информационной безопасности. Перечень профессиональных компетенций может помочь работодателям и специалистам по кадрам составить структуру профессионального роста для специалистов по информационной безопасности на предприятии. Хотелось бы отметить, что данную модель можно совершенствовать в соответствии с требованиями рынка труда и спецификой работы отдельного предприятия.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Одинцов, А. А. Экономическая и информационная безопасность предпринимательства - М. : Academia, 2004. - 384 c.
2. Бирюков, А. А. Информационная безопасность: защита и нападение - М. : ДМК Пресс, 2013. - 474 с.
3. Поляков, В. П. Система обучения основам информационной безопасности студентов экономических вузов // Вестн. финансовой академии. - 2006. № - 3. - С. 125-136.
4. Хуторской, А. В. Компетенции в образовании: опыт проектирования: сб. науч. тр. - М. : Научно-внедренческое предприятие «ИНЭК», 2007. - 327 с.
5. Степанов, А. Г. Вопросы информационной безопасности в непрерывной системе обучения информатике // Безопасность информационных технологий. - 2005. № - 1. - С. 62-66.
6. Бочаров, М. И. Преемственность содержания обучения информационной безопасности в новых федеральных государственных образовательных стандартах общего образования // Информатика и образование. - 2011. № - 6. - C. 9-16.
7. Горбатов, В. С., Малюк, А. А., Толстой, А. И. Концепция развития межведомственной системы подготовки специалистов в области обеспечения информационной безопасности // Безопасность информационных технологий. - 2005. № - 2. - C. 15-22.
8. Привалов, А. Н., Богатырева, Ю. И. Иерархическая оценка компетентности в области информационной безопасности // Научные ведомости Белгородского государственного университета. - 2012. № - 13. - С. 194-199.
9. Сибикина, И. В. Формирование множества наиболее востребованных компетенций по защите информации // Вестник Архангел. гос. ун-та. Серия «Управление, вычислительная техника и информатика». - 2010. № - 2. - С. 197-201.
10. Бойдало, М. К. Модель поиска потенциальных инсайдеров посредством оценки активности сотрудников в информационной системе организации. // Научная Перспектива. -2015. № - 5. - С.160-162.
© Д. С. Васильева, А. В. Шабурова, 2020
