1

Тема: Описание компетенции

1 ВВЕДЕНИЕ
1.1. Название и описание профессии (компетенции)
1.1.1 Название профессии (компетенции):
«Корпоративная защита от внутренних угроз информационной безопасности».
1.1.2. Описание профессии (компетенции)
В наши дни одним из наиболее актуальных вопросов защиты корпоративной информации – обеспечение безопасности от внутренних утечек по техническим каналам связи. Одна из главных угроз корпоративной
информационной безопасности – неправомерными действиями сотрудников (т.н. инсайдеров), приводящие к потере конфиденциальных данных, совершенные как целенаправленно, так и из-за халатности, невнимательности или
незнания элементарных правил безопасности предприятия. Именно «на их совести» большинство громких краж данных, зафиксированных по всему миру в последние годы. Причиной утечек также могут быть действия посторонних лиц, находящихся на территории предприятия и имеющих доступ к вычислительно-сетевой инфраструктуре
(клиенты, поставщики и т.п.). Утечки информации могут породить целый ряд проблем:
1 Утечка персональных данных. Может повлечь за собой как санкции со стороны контролирующих органов, так и отток клиентов, связанный с утратой доверия к компании.
2 Утечка коммерческой тайны и ноу-хау. Утечка информации об инвестиционных планах, маркетинговых программах, инновациях, данных клиентской базы способна привести к срыву важных и прибыльных
проектов.
3 Утечка служебной переписки. Служебная переписка может дать конкурентам много информации о ситуации в компании.
4 Утечки в прессу. Могут повлечь за собой разглашение коммерческой тайны организации.
5 Утечка информации о системе безопасности. Открывает широкие возможности для деятельности криминальных структур.
6 Утечка сведений, составляющих государственную тайну и т.д.

Необходимость защиты от внутренних угроз информационной безопасности не только доказана на практике, но и упомянута в ключевых международных стандартах по организации и менеджменту информационной безопасности (например, в ISO/IEC 27001).

Технологии корпоративной защиты от внутренних угроз информационной безопасности, относящиеся к классу data Leak Prevention (DLP) позволяют выявлять и предотвращать утечки конфиденциальной информации и
персональных данных, защищать компании от мошенничества, воровства и коррупции, детектировать неправомерные
действия сотрудников и нецелевое использование корпоративных ресурсов. Системы корпоративной безопасности позволяют однозначно выявлять инциденты и дают весь необходимый набор инструментов для проведения
внутренних расследований и дальнейшей правовой защиты корпоративных интересов.

Специалисты по корпоративной безопасности должны обладать теоретическими знаниями по обеспечению корпоративной защиты от внутренних угроз, понимать аспекты применения нормативно-правовой
базы для классификации и расследования инцидентов, в совершенстве владеть системами и технологиями для достижения целей защиты.

Неотъемлемой частью работ по обеспечению безопасности от внутренних утечек является проведение всего комплекса технических мероприятий по анализу потоков данных, как циркулирующих внутри периметра
защищаемой информационной системы, пересекающих его. Для этого специалисты должны уметь проводить весь
цикл работ по установке, развёртыванию, настройке, использованию DLP-систем, включая разработку политик информационной безопасности, классификацию объектов защиты, применение технологий фильтрации
различных видов трафика, фильтрацию перехваченного трафика для поиска найденных инцидентов, выдачу разрешения/запрещения на доставку определенных данных, анализ содержимого перехваченного трафика с
целью выявления нарушений корпоративной политики безопасности, диагностику работоспособности, и т.п.
Специалист по корпоративной безопасности подготавливает и передаёт отчёты о найденных инцидентах (с оценкой уровня угрозы и нормативной оценкой) менеджменту организации, которую защищает.

2

Re: Описание компетенции

Раздел WSSS (WorldSkills Standards Specifications)
1.Организация работы и управление

Специалист должен знать и понимать:
•    Понимание принципов работы специалиста по информационной безопасности и их применение;
•    Знание принципов и положений безопасной работы в общем и по отношению к корпоративной среде;
•    Регламентирующие документы в области безопасности информационных систем;
•    Регламентирующие документы в области охраны труда и безопасности жизнедеятельности;
•    Важность организации труда в соответствии с методиками;
•    Методы и технологии исследования;
•    Важность управления собственным профессиональным развитием;
•    Скорость изменения ИТ-сферы и области информационной безопасности, а также важность соответствия современному уровню.
•    Важность умения слушать собеседника как части эффективной коммуникации;
•    Роли и требования коллег и наиболее эффективные методы коммуникации;
•    Важность построения и поддержания продуктивных рабочих отношений с коллегами и управляющими;
•    Способы разрешения непонимания и конфликтующих требований;
•    Методы управления стрессом и гневом для разрешения сложных ситуаций.

Специалист должен уметь:
•    Поддерживать безопасную, аккуратную и эффективную рабочую зону;
•    Использовать все оборудование и программное обеспечение безопасно и в соответствии с инструкциями производителя;
•    Следовать предписаниям в области охраны труда и безопасности жизнедеятельности;
•    Регулярно планировать свою работу и корректировать планы в соответствии с изменяющимися приоритетами;
•    Поддерживать рабочее место в должном состоянии и порядке.
•    Демонстрировать развитые способности слушать и задавать вопросы для более глубокого понимания сложных ситуаций;
•    Выстраивать эффективное письменное и устное общение;
•    Понимать изменяющиеся требования и адаптироваться к ним;

2.Установка, конфигурирование и устранение
неисправностей в системе систем корпоративной защиты от внутренних угроз

Специалист должен знать и понимать:
•    Сетевое окружение;
•    Сетевые протоколы;
•    Знать методы выявления и построения путей движения информации в организации;
•    Подходы к построению сети и как сетевые устройства могут быть настроены для эффективного взаимодействия;
•    Типы сетевых устройств;
•    Разнообразие операционных систем, их возможности с точки зрения использования пользователями и для развёртывания компонент систем защиты от внутренних угроз;
•    Процесс выбора подходящих драйверов и программного обеспечения для разных типов аппаратных средств и операционных систем;
•    Важность следования инструкциям и последствия, цену пренебрежения ими;
•    Меры предосторожности, рекомендуемые к принятию перед установкой ПО или обновлением системы;
•    Этапы установки системы корпоративной защиты от внутренних угроз;
•    Знать отличия различных версий систем корпоративной защиты от внутренних угроз;
•    Знать какие СУБД поддерживаются системой;
•    Знать назначение различных компонент версий систем корпоративной защиты от внутренних угроз;
•    Знать технологии программной и аппаратной виртуализации;
•    Знать особенности работы основных гипервизоров (мониторов виртуальных машин), таких как VirtualBox, VMWare Workstation, VMWare ESXi, Microsoft HyperV и других;
•    Цель документирования процессов обновления и установки.
•    Важность спокойного и сфокусированного подхода к решению проблемы;
•    Значимость систем ИТ-безопасности и зависимость пользователей и организаций от их доступности;
•    Популярные аппаратные и программные ошибки;
•    Знать разделы системы корпоративной безопасности, которые обычно использует системный администратор;
•    Аналитический и диагностический подходы к решению проблем;
•    Границы собственных знаний, навыков и полномочий;
•    Ситуации, требующие вмешательства службы поддержки;
•    Стандартное время решения наиболее популярных проблем.

Специалист должен уметь:
•    Интерпретировать пользовательские запросы и требования с точки зрения корпоративных требований;
•    Применять все типы конфигураций, программные и аппаратные обновления на все типы сетевых устройств, которые могут быть в сетевом окружении;
•    Настраивать сетевые устройства;
•    Администрирование автоматизированных технические средства управления и контроля информации и информационных потоков;
•    Навыки системного администрирования в операционных системах Windows Server и Linux Red Hat Enterprise Linux;
•    Установка серверной части системы корпоративной защиты от внутренних угроз;
•    Установка СУБД различного вида;
•    Установка агентской части системы корпоративной защиты от внутренних угроз;
•    Запуск гостевых виртуальных машин и практическая работа с ними с использованием современных гипервизоров;
•    Настройка отдельных компонент системы корпоративной защиты от внутренних угроз и системы в целом;
•    Использовать дополнительные утилиты если это необходимо;
•    Уметь проверять работоспособность системы и выявлять неисправности, устранять проблемы и проводить контрольные проверки;
•    Подходить к проблеме с необходимым уровнем уверенности для успокоения пользователя в случае необходимости;
•    Уметь сконфигурировать систему, чтобы она получала теневые копии;
•    Регулярно проверять результаты собственной работы во избежание проблем на последующих этапах;
•    Демонстрировать уверенность и упорство в решении проблем;
•    Быстро узнавать и понимать суть неисправностей и разрешать их в ходе самостоятельной управляемой работы, точно описывать проблему и документировать её решение;
•    Тщательно расследовать и анализировать сложные, комплексные ситуации и проблемы, применять методики поиска неисправностей;
•    Выбирать и принимать диагностирующее ПО и инструменты для поиска неисправностей;


3.Обследование объекта информатизации

Специалист должен знать и понимать:
•    Типовые организационно-штатные структуры организаций различных сфер деятельности и размера;
•    Типовой набор объектов защиты, приоритеты доступа к информации, типовые роли пользователей;
•    Каналы передачи данных: определение и виды;
•    Подходы и методы обследования объекта информатизации для последующей защиты;
•    Сетевые устройства, которые могут быть использованы как источники событий для анализа;
•    Формирование процессов и процедур аудита ИБ.
•    Обследование корпоративных информационных систем.
•    Состояние корпоративной информации.
•    Инструменты и технологии обеспечения корпоративной защиты от внутренних угроз.
•    Критерии эффективности проекта по обеспечению корпоративной защиты от внутренних угроз.
•    Препятствия реализации проектов по обеспечению корпоративной защиты от внутренних угроз.

Специалист должен уметь:
•    Проводить обследование корпоративных информационных систем.
•    Самостоятельно изучить структуру организации на основании полученных материалов;
•    Определить объекты защиты, роли пользователей, права доступа;
•    Выявить потоки передачи данных и возможные каналы утечки информации;
•    Создать объекты защиты и политику ИБ, используя технологии анализа в системе корпоративной защиты;
•    На основании собственного анализа, уметь связать требования нормативной базы, структуру организации, выявленные угрозы, объекты, роли безопасности для построения актуальных политик безопасности;
•    Задокументировать и уметь представить результаты обследования
•    (аудита), включая потоки данных, потенциальные каналы утечек, роли пользователей, объекты защиты и т.п.

4.Разработка политик безопасности в системе
корпоративной защиты информации от внутренних угроз

Специалист должен знать и понимать:
•    Технологии работы с политиками информационной безопасности;
•    Создание новых политик, модификация существующих;
•    Общие принципы при работе интерфейсом системы защиты корпоративной информации;
•    Объекты защиты, персоны;
•    Ключевые технологии анализа трафика;
•    Типовые протоколы и потоки данных в корпоративной среде, такими как:
•    корпоративная почта (протоколы SMTP, ESMTP, POP3, IMAP4)
•    веб-почта;
•    Интернет-ресурсы: сайты, блоги, форумы и т.д. (протоколы HTTP, HTTPS);
•    социальные сети;
•    интернет-мессенджеры: OSCAR (ICQ), Telegram, Jabber, XMPP, Mail.ru Агент, Google Talk, Skype, QIP;
•    принтеры: печать файлов на локальных и сетевых принтерах;
•    любые съемные носители и устройства;
•    Осознание важности полноты построения политик безопасности для выявления всех возможных инцидентов и выявления фактов утечек;
•    Типы угроз информационной безопасности, типы инцидентов,

Специалист должен уметь:
•    Создать в системе максимально полный набор политик
•    безопасности, перекрывающий все возможные каналы передачи данных и возможные инциденты;
•    Работа с разделом технологии системы корпоративной защиты: категории и термины, текстовые объекты;
•    Работа с событиями, запросы, объекты перехвата, идентификация контактов в событии;
•    Работа со сводками, виджетами, сводками;
•    Работа с персонами;
•    Работа с объектами защиты;
•    Провести имитацию процесса утечки конфиденциальной информации в системе;
•    Создать непротиворечивые политики, соответствующие нормативной базе и законодательству;
•    Задокументировать созданные политики используя в соответствии с требованиями современных стандартов в области защиты информации.

5.Технологии анализа сетевого трафика в системе корпоративной
защиты информации от внутренних угроз

Специалист должен знать и понимать:
•    Технологий анализа трафика при работе политиками
•    информационной безопасности в системе корпоративной защиты информации;
•    Основные разделы и особенности работы интерфейса управления системы корпоративной защиты информации;
•    Алгоритм действий при разработке и использовании политик безопасности, основываясь на различных технологиях анализа данных;
•    Типовые сигнатуры, используемые для детектирования файлов, циркулирующих в системах хранения и передачи корпоративной информации;
•    Роль фильтров при анализе перехваченного трафика; Технические ограничения механизма фильтрации, его преимущества и
•    недостатки;
•    Разделы системы корпоративной безопасности, которые используются офицером безопасности в повседневной работе;
•    Особенности обработки HTTP-запросов и писем, отправляемых с помощью веб-сервисов;
•    Технологии анализа корпоративного трафика, используемые в системе корпоративной защите информации;

Специалист должен уметь:
•    Работа с категориями и терминами;
•    Использование регулярных выражений;
•    Использование морфологического поиска;
•    Особенности технологии «Лингвистический анализ» ;
•    Работа с графическими объектами;
•    Работа с выгрузками и баз данных;
•    Работа с печатями;
•    Работа с бланками;
•    Работа с файловыми типами;
•    Эффективно использовать механизмы создания фильтров для анализа перехваченного трафика и выявленных инцидентов;
•    Проводить правильную классификацию уровня угрозы инцидента;
•    Использовать базы контентной фильтрации;
•    Использовать дополнительные модули анализа информационных
•    потоков, если это продиктовано особенностями условий ведения бизнеса;

6.Технологии агентского мониторинга

Специалист должен знать и понимать:
•    Функции агентского мониторинга;
•    Общие настройки системы агентского мониторинга;
•    Соединение с LDAP-сервером и синхронизация с Active Directory;
•    Политики агентского мониторинга, особенности их настройки;
•    Особенности настроек событий агентского мониторинга;
•    Механизмы диагностики агента, подходы к защите агента.

Специалист должен уметь:
•    Установка и настройка агентского мониторинга;
•    Создание политик защиты на агентах;
•    Работа в консоли управления агентом;
•    Фильтрация событий;
•    Настройка совместных событий агентского и сетевого мониторинга;
•    Работа с носителями и устройствами;
•    Работа с файлами;
•    Контроль приложений;
•    Исключение из событий перехвата.
7
Анализ выявленных инцидентов. Подготовка отчетов, классификация угроз и инцидентов


Специалист должен знать и понимать:
•    Основные правовые понятия и нормативно-правовые документы, регламентирующие организацию корпоративной защиты от внутренних угроз в хозяйствующих субъектах;
•    Инструментарий, технологии, их область применения и ограничения при формировании корпоративной защиты от внутренних угроз;
•    Типовой пакет нормативных документов, необходимого для развёртывания и эксплуатации системы корпоративной защиты в организации;
•    Виды типовых отчетных форм о выявленных угрозах и инцидентах;
•    Типы угроз информационной безопасности, понимать их актуальность и степень угрозы для конкретной организации;
•    Понимать подходы к проведению расследования инцидента информационной безопасности, методики оценки уровня угроз;
•    Системы DLP и требования по информационной безопасности.
•    Категорирование информации в РФ.
•    Юридические вопросы использования DLP-систем: личная и семейная тайны; тайна связи; Специальные технические средства
•    Меры по обеспечению юридической значимости DLP (Pre-DLP).
•    Практику право применения при расследовании инцидентов, связанных с нарушениями режима внутренней информационной безопасности (Post-DLP).

Специалист должен уметь:
•    Разрабатывать нормативно-правовые документы хозяйствующего субъекта по организации корпоративной защиты от внутренних угроз информационной безопасности;
•    Проводить расследования инцидентов внутренней
•    информационной безопасности с составлением необходимой сопроводительной документации;
•    Создавать отчёты о выявленных инцидентах, угрозах и т.п.
•    Представлять отчёты руководству, обосновывать полученные результаты анализа.