Раздел WSSS (WorldSkills Standards Specifications)
1.Организация работы и управление
Специалист должен знать и понимать:
• Понимание принципов работы специалиста по информационной безопасности и их применение;
• Знание принципов и положений безопасной работы в общем и по отношению к корпоративной среде;
• Регламентирующие документы в области безопасности информационных систем;
• Регламентирующие документы в области охраны труда и безопасности жизнедеятельности;
• Важность организации труда в соответствии с методиками;
• Методы и технологии исследования;
• Важность управления собственным профессиональным развитием;
• Скорость изменения ИТ-сферы и области информационной безопасности, а также важность соответствия современному уровню.
• Важность умения слушать собеседника как части эффективной коммуникации;
• Роли и требования коллег и наиболее эффективные методы коммуникации;
• Важность построения и поддержания продуктивных рабочих отношений с коллегами и управляющими;
• Способы разрешения непонимания и конфликтующих требований;
• Методы управления стрессом и гневом для разрешения сложных ситуаций.
Специалист должен уметь:
• Поддерживать безопасную, аккуратную и эффективную рабочую зону;
• Использовать все оборудование и программное обеспечение безопасно и в соответствии с инструкциями производителя;
• Следовать предписаниям в области охраны труда и безопасности жизнедеятельности;
• Регулярно планировать свою работу и корректировать планы в соответствии с изменяющимися приоритетами;
• Поддерживать рабочее место в должном состоянии и порядке.
• Демонстрировать развитые способности слушать и задавать вопросы для более глубокого понимания сложных ситуаций;
• Выстраивать эффективное письменное и устное общение;
• Понимать изменяющиеся требования и адаптироваться к ним;
2.Установка, конфигурирование и устранение
неисправностей в системе систем корпоративной защиты от внутренних угроз
Специалист должен знать и понимать:
• Сетевое окружение;
• Сетевые протоколы;
• Знать методы выявления и построения путей движения информации в организации;
• Подходы к построению сети и как сетевые устройства могут быть настроены для эффективного взаимодействия;
• Типы сетевых устройств;
• Разнообразие операционных систем, их возможности с точки зрения использования пользователями и для развёртывания компонент систем защиты от внутренних угроз;
• Процесс выбора подходящих драйверов и программного обеспечения для разных типов аппаратных средств и операционных систем;
• Важность следования инструкциям и последствия, цену пренебрежения ими;
• Меры предосторожности, рекомендуемые к принятию перед установкой ПО или обновлением системы;
• Этапы установки системы корпоративной защиты от внутренних угроз;
• Знать отличия различных версий систем корпоративной защиты от внутренних угроз;
• Знать какие СУБД поддерживаются системой;
• Знать назначение различных компонент версий систем корпоративной защиты от внутренних угроз;
• Знать технологии программной и аппаратной виртуализации;
• Знать особенности работы основных гипервизоров (мониторов виртуальных машин), таких как VirtualBox, VMWare Workstation, VMWare ESXi, Microsoft HyperV и других;
• Цель документирования процессов обновления и установки.
• Важность спокойного и сфокусированного подхода к решению проблемы;
• Значимость систем ИТ-безопасности и зависимость пользователей и организаций от их доступности;
• Популярные аппаратные и программные ошибки;
• Знать разделы системы корпоративной безопасности, которые обычно использует системный администратор;
• Аналитический и диагностический подходы к решению проблем;
• Границы собственных знаний, навыков и полномочий;
• Ситуации, требующие вмешательства службы поддержки;
• Стандартное время решения наиболее популярных проблем.
Специалист должен уметь:
• Интерпретировать пользовательские запросы и требования с точки зрения корпоративных требований;
• Применять все типы конфигураций, программные и аппаратные обновления на все типы сетевых устройств, которые могут быть в сетевом окружении;
• Настраивать сетевые устройства;
• Администрирование автоматизированных технические средства управления и контроля информации и информационных потоков;
• Навыки системного администрирования в операционных системах Windows Server и Linux Red Hat Enterprise Linux;
• Установка серверной части системы корпоративной защиты от внутренних угроз;
• Установка СУБД различного вида;
• Установка агентской части системы корпоративной защиты от внутренних угроз;
• Запуск гостевых виртуальных машин и практическая работа с ними с использованием современных гипервизоров;
• Настройка отдельных компонент системы корпоративной защиты от внутренних угроз и системы в целом;
• Использовать дополнительные утилиты если это необходимо;
• Уметь проверять работоспособность системы и выявлять неисправности, устранять проблемы и проводить контрольные проверки;
• Подходить к проблеме с необходимым уровнем уверенности для успокоения пользователя в случае необходимости;
• Уметь сконфигурировать систему, чтобы она получала теневые копии;
• Регулярно проверять результаты собственной работы во избежание проблем на последующих этапах;
• Демонстрировать уверенность и упорство в решении проблем;
• Быстро узнавать и понимать суть неисправностей и разрешать их в ходе самостоятельной управляемой работы, точно описывать проблему и документировать её решение;
• Тщательно расследовать и анализировать сложные, комплексные ситуации и проблемы, применять методики поиска неисправностей;
• Выбирать и принимать диагностирующее ПО и инструменты для поиска неисправностей;
3.Обследование объекта информатизации
Специалист должен знать и понимать:
• Типовые организационно-штатные структуры организаций различных сфер деятельности и размера;
• Типовой набор объектов защиты, приоритеты доступа к информации, типовые роли пользователей;
• Каналы передачи данных: определение и виды;
• Подходы и методы обследования объекта информатизации для последующей защиты;
• Сетевые устройства, которые могут быть использованы как источники событий для анализа;
• Формирование процессов и процедур аудита ИБ.
• Обследование корпоративных информационных систем.
• Состояние корпоративной информации.
• Инструменты и технологии обеспечения корпоративной защиты от внутренних угроз.
• Критерии эффективности проекта по обеспечению корпоративной защиты от внутренних угроз.
• Препятствия реализации проектов по обеспечению корпоративной защиты от внутренних угроз.
Специалист должен уметь:
• Проводить обследование корпоративных информационных систем.
• Самостоятельно изучить структуру организации на основании полученных материалов;
• Определить объекты защиты, роли пользователей, права доступа;
• Выявить потоки передачи данных и возможные каналы утечки информации;
• Создать объекты защиты и политику ИБ, используя технологии анализа в системе корпоративной защиты;
• На основании собственного анализа, уметь связать требования нормативной базы, структуру организации, выявленные угрозы, объекты, роли безопасности для построения актуальных политик безопасности;
• Задокументировать и уметь представить результаты обследования
• (аудита), включая потоки данных, потенциальные каналы утечек, роли пользователей, объекты защиты и т.п.
4.Разработка политик безопасности в системе
корпоративной защиты информации от внутренних угроз
Специалист должен знать и понимать:
• Технологии работы с политиками информационной безопасности;
• Создание новых политик, модификация существующих;
• Общие принципы при работе интерфейсом системы защиты корпоративной информации;
• Объекты защиты, персоны;
• Ключевые технологии анализа трафика;
• Типовые протоколы и потоки данных в корпоративной среде, такими как:
• корпоративная почта (протоколы SMTP, ESMTP, POP3, IMAP4)
• веб-почта;
• Интернет-ресурсы: сайты, блоги, форумы и т.д. (протоколы HTTP, HTTPS);
• социальные сети;
• интернет-мессенджеры: OSCAR (ICQ), Telegram, Jabber, XMPP, Mail.ru Агент, Google Talk, Skype, QIP;
• принтеры: печать файлов на локальных и сетевых принтерах;
• любые съемные носители и устройства;
• Осознание важности полноты построения политик безопасности для выявления всех возможных инцидентов и выявления фактов утечек;
• Типы угроз информационной безопасности, типы инцидентов,
Специалист должен уметь:
• Создать в системе максимально полный набор политик
• безопасности, перекрывающий все возможные каналы передачи данных и возможные инциденты;
• Работа с разделом технологии системы корпоративной защиты: категории и термины, текстовые объекты;
• Работа с событиями, запросы, объекты перехвата, идентификация контактов в событии;
• Работа со сводками, виджетами, сводками;
• Работа с персонами;
• Работа с объектами защиты;
• Провести имитацию процесса утечки конфиденциальной информации в системе;
• Создать непротиворечивые политики, соответствующие нормативной базе и законодательству;
• Задокументировать созданные политики используя в соответствии с требованиями современных стандартов в области защиты информации.
5.Технологии анализа сетевого трафика в системе корпоративной
защиты информации от внутренних угроз
Специалист должен знать и понимать:
• Технологий анализа трафика при работе политиками
• информационной безопасности в системе корпоративной защиты информации;
• Основные разделы и особенности работы интерфейса управления системы корпоративной защиты информации;
• Алгоритм действий при разработке и использовании политик безопасности, основываясь на различных технологиях анализа данных;
• Типовые сигнатуры, используемые для детектирования файлов, циркулирующих в системах хранения и передачи корпоративной информации;
• Роль фильтров при анализе перехваченного трафика; Технические ограничения механизма фильтрации, его преимущества и
• недостатки;
• Разделы системы корпоративной безопасности, которые используются офицером безопасности в повседневной работе;
• Особенности обработки HTTP-запросов и писем, отправляемых с помощью веб-сервисов;
• Технологии анализа корпоративного трафика, используемые в системе корпоративной защите информации;
Специалист должен уметь:
• Работа с категориями и терминами;
• Использование регулярных выражений;
• Использование морфологического поиска;
• Особенности технологии «Лингвистический анализ» ;
• Работа с графическими объектами;
• Работа с выгрузками и баз данных;
• Работа с печатями;
• Работа с бланками;
• Работа с файловыми типами;
• Эффективно использовать механизмы создания фильтров для анализа перехваченного трафика и выявленных инцидентов;
• Проводить правильную классификацию уровня угрозы инцидента;
• Использовать базы контентной фильтрации;
• Использовать дополнительные модули анализа информационных
• потоков, если это продиктовано особенностями условий ведения бизнеса;
6.Технологии агентского мониторинга
Специалист должен знать и понимать:
• Функции агентского мониторинга;
• Общие настройки системы агентского мониторинга;
• Соединение с LDAP-сервером и синхронизация с Active Directory;
• Политики агентского мониторинга, особенности их настройки;
• Особенности настроек событий агентского мониторинга;
• Механизмы диагностики агента, подходы к защите агента.
Специалист должен уметь:
• Установка и настройка агентского мониторинга;
• Создание политик защиты на агентах;
• Работа в консоли управления агентом;
• Фильтрация событий;
• Настройка совместных событий агентского и сетевого мониторинга;
• Работа с носителями и устройствами;
• Работа с файлами;
• Контроль приложений;
• Исключение из событий перехвата.
7
Анализ выявленных инцидентов. Подготовка отчетов, классификация угроз и инцидентов
Специалист должен знать и понимать:
• Основные правовые понятия и нормативно-правовые документы, регламентирующие организацию корпоративной защиты от внутренних угроз в хозяйствующих субъектах;
• Инструментарий, технологии, их область применения и ограничения при формировании корпоративной защиты от внутренних угроз;
• Типовой пакет нормативных документов, необходимого для развёртывания и эксплуатации системы корпоративной защиты в организации;
• Виды типовых отчетных форм о выявленных угрозах и инцидентах;
• Типы угроз информационной безопасности, понимать их актуальность и степень угрозы для конкретной организации;
• Понимать подходы к проведению расследования инцидента информационной безопасности, методики оценки уровня угроз;
• Системы DLP и требования по информационной безопасности.
• Категорирование информации в РФ.
• Юридические вопросы использования DLP-систем: личная и семейная тайны; тайна связи; Специальные технические средства
• Меры по обеспечению юридической значимости DLP (Pre-DLP).
• Практику право применения при расследовании инцидентов, связанных с нарушениями режима внутренней информационной безопасности (Post-DLP).
Специалист должен уметь:
• Разрабатывать нормативно-правовые документы хозяйствующего субъекта по организации корпоративной защиты от внутренних угроз информационной безопасности;
• Проводить расследования инцидентов внутренней
• информационной безопасности с составлением необходимой сопроводительной документации;
• Создавать отчёты о выявленных инцидентах, угрозах и т.п.
• Представлять отчёты руководству, обосновывать полученные результаты анализа.