Tekst źródłowy strony 17-09.02
Skocz do:
nawigacji
,
wyszukiwania
{{Spis treści}} === Materiały === * {{#l:Pismo do PTI.pdf}} * {{#l:Scieżki szkoleniowe i certyfikacji.pptx}} === Termin === * 2016-10-29 === '''Opinia''' === {| class="wikitable" |- | '''Tekst opinii''' |- | Polskie Towarzystwo Informatyczne w odpowiedzi na prośbę o przesłanie uwag dotyczących potrzeb uwzględnienia w "Klasyfikacji zawodów i specjalności" nowych zawodów bądź zrewidowania już istniejących, związanych z branżą IT, w tym w szczególności specjalności związanych z problematyką cyberbezpieczeństwo, przesyła swoją opinię i rekomendacje. Dziękujemy za możliwość udziału w spotkaniu i dyskusji w sprawie kwalifikacji i zawodów, które odbyło się w maju 2017 w Ministerstwie Cyfryzacji. Zgadzamy się ze stanowiskiem Ministerstwa Cyfryzacji wyrażonym podczas spotkania, że istnieje potrzeba uwzględnienia w "Klasyfikacji zawodów i specjalności" nowych zawodów oraz zrewidowania już istniejących. Rosnąca rola bezpieczeństwa teleinformatycznego oraz obserwowany, zarówno w Polsce jak i na świecie, pogłębiający się deficyt pracowników związanych zawodowo z tym obszarem, wymusza podjęcie zdecydowanych działań mających na celu uporządkowanie definicji i potwierdzenie kwalifikacji zawodowych pracowników. Rozpatrując aktualizację zawodów związanych z branżą IT chcielibyśmy zwrócić uwagę na nieobecność zawodu informatyka w aktualnej Klasyfikacji zawodów i specjalności, wprowadzonej rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 7 sierpnia 2014 r. (Dz. U. z 2014 r. poz. 1145; zm.: Dz. U. z 2016 r. poz. 1876). Jest to o tyle dziwne, że w tejże Klasyfikacji znajdujemy takie zawody i specjalności jak: * bioinformatyk, * informatyk medyczny, * inżynier teleinformatyk, * technik informatyk. W opinii Polskiego Towarzystwo Informatycznego zawód informatyka powinien się pojawić w czterocyfrowej grupie 2120 Matematycy, aktuariusze i statystycy i informatycy oraz 2152 Inżynierowie elektronicy. Równocześnie powinny być poczynione działania na rzecz utworzenia osobnej grupy, zawierającej różne kategorie zawodu informatyka w zgodzie aktualnymi tendencjami rozwoju tej dziedziny. Dodatkowo warto zaktualizować niektóre nazwy i rodzaje specjalności w grupie 25. Specjaliści teleinformatycy. Rozważania dot. zawodów i specjalności związanych z obszarem cyberbezpieczeństwa bądź też bezpieczeństwa teleinformatycznego proponujemy rozpocząć od uporządkowania terminologii. Brak zdefiniowanego pojęcia cyberbezpieczeństwo (próba dookreślenia tego terminu została podjęta jedynie w Doktrynie Cyberbezpieczeństwa Rzeczypospolitej Polskiej z 2015) utrudnia jednoznaczną definicję zawodów I specjalności, w nazwie których występuje to pojęcie. Ubolewamy, że jeden z poważniejszych problemów trapiących rozwój sieci i systemów teleinformatycznych – bezpieczeństwo realizacji usług elektronicznych – jest nazywany medialnym stwierdzeniem cyberbezpieczeństwo, zamiast profesjonalnym pojęciem bezpieczeństwo teleinformatyczne na wzór bezpieczeństwa narodowego, wewnętrznego. Rekomendujemy, aby konsekwentnie w polskiej terminologii zamiast terminu cyberbezpieczeństwo stosować określenie bezpieczeństwo teleinformatyczne. Porównanie zapisów "Klasyfikacji zawodów i specjalności" z zestawieniem zawodów i specjalności związanych z obszarem ICT poszukiwanymi obecnie przez pracodawców pokazuje, że istnieje szereg poszukiwanych zawodów/specjalności związanych z obszarem bezpieczeństwa teleinformatycznego, które nie znajdują odzwierciedlenia w przywoływanej tu wielokrotnie Klasyfikacji. Poszukiwane zawody i specjalności Analiza ofert zatrudnienia na wiodących portalach (np. LinkedIn, pracuj.pl) zawierających oferty pracy pokazuje, że obecnie poszukiwani są pracownicy na następujące stanowiska związane z szeroko pojętym bezpieczeństwem teleinformatycznym (w zestawieniu została zachowana terminologia podawana w ogłoszeniach): * Analityk Bezpieczeństwa 2 linii (2L) Security Operation Center (SOC) * Analityk Śledczy (IT Security) * Blue Team Security Analyst * Cloud Security Engineer * Cyber Security Operator * Cyber Security Scanning Engineer * Data Protection Officer * Ethical Hacker (Penetration tester) * Information and Data Security Officer * Information Security Analyst * Information Security Architect * Information Security Engineer * Infrastructure Security Consultant * IT Application Security Architect * IT Auditor * IT Security Engineer * IT Security Senior Advisor * IT Security Specialist * IT Security Specialist – Cyber Security Monitoring * Network Cyber Security - SOC SIEM Analyst * Network Security Architect * Security and Privacy Architect * Security Architect * Security Assessment Specialist * Security Auditor * Security Consultant * Security Engineer * Security Manager * Security Operations Center (SOC) - Monitoring Specialist * Security Program Manager * Security Risk Analyst * Security Solutions Architect * Senior Cyber Security Operations Analyst * Senior Cyber Security Operations Analyst * Senior Security Engineer * Software Security Engineer * Vulnerability Researcher Jak widać, większość z tych pozycji nie znajduje odzwierciedlenia w obowiązującej "Klasyfikacji zawodów i specjalności". W szczególności zasadne wydaje się dodanie takich nowych pozycji jak: * Architekt bezpieczeństwa teleinformatycznego * Analityk bezpieczeństwa teleinformatycznego * Analityk ryzyka bezpieczeństwa teleinformatycznego * Audytor bezpieczeństwa teleinformatycznego * Audytor systemów informacyjnych * Inżynier bezpieczeństwa teleinformatycznego * Tester penetracyjny * Analityk śledczy Certyfikacje zawodowe Obecnie pracodawcy weryfikują kompetencje dot. bezpieczeństwa teleinformatycznego pracowników opierając się na posiadanych przez nich certyfikatach zawodowych. Najczęściej są to certyfikaty branżowe wystawiane przez niezależne organizacje oraz producentów rozwiązań bezpieczeństwa. Pierwsze z wymienionych są certyfikacjami neutralnymi technologicznie a drugie są wprost powiązane z rozwiązaniami technicznymi oferowanymi przez danego producenta. Najpopularniejsze obecnie certyfikaty branżowe związane z bezpieczeństwem teleinformatycznym to: * CISSP (Certified Information Systems Security Professional) * CISA (Certified Information Systems Auditor) * CISM (Certified Information Security Manager) * CRISC (Certified in Risk and Information Systems Control) * SSCP (Systems Security Certified Practitioner) * CompTIA Security+ * CEH (EC-Council Certified Ethical Hacker) * OSCP (Offensive Security Certified Professional) * OSCP (Offensive Security Certified Professional) * OSCE (Offensive Security Certified Expert) * GXPN (GIAC Exploit Researcher and Advanced Penetration Tester) * OSWP (Offensive Security Wireless Professional) Bardzo istotne jest, że uzyskanie wielu z ww. certyfikatów wymaga nie tylko zdania stosownych egzaminów, ale również udokumentowania pewnego okresu doświadczenia zawodowego w obszarze związanym z bezpieczeństwem teleinformatycznym. Co więcej, wiele z najbardziej wartościowych certyfikatów ma określony okres ważności (np. 3 lata) i ich przedłużenia wymaga ciągłej edukacji. Należy zwrócić uwagę, że wiedza wymagana do uzyskania ww. certyfikatów nie uwzględnia znajomości polskich lub europejskich regulacji prawnych np. (ustawy o ochronie danych osobowych lub RODO, lecz uwzględnia wyłącznie regulacje USA, np. HIPAA, Sarbanes-Oxley, PCI DSS. Z punktu widzenia polskich pracodawców może być to postrzegane jako wada. System polskich certyfikacji zawodowych związanych z bezpieczeństwem teleinformatycznym jest bardzo ograniczony. Znana jest certyfikacja EUCIP Professional oferowana przez Polskie Towarzystwo Informatyczne. Możliwe są dwie specjalności: * Doradca ds. Bezpieczeństwa, * Audytor Systemów Informacyjnych. Naszym zdaniem warto jest rozważyć stworzenie całkowicie polskiego systemu certyfikacji zawodowej w obszarze bezpieczeństwa teleinformatycznego. Taki system certyfikacji zawodowej powinien uwzględniać czołowe certyfikacje oferowane przez takie organizacje jak ISACA (certyfikaty CISA, CISM, CRISC), (ISC)2 (certyfikaty CISSP, CCSP) oraz polskie i europejskie regulacje (np. RODO, dyrektywa NIS). Naszym zdaniem opracowanie systemu certyfikacji zawodowej wymaga szerszej dyskusji i konsultacji Ministerstwa Cyfryzacji ze środowiskiem zainteresowanym podnoszeniem adekwatnego poziomu bezpieczeństwa teleinformatycznego (np. takie organizacje jak PIIT, ISACA Polska, ISSA Polska). Polskie Towarzystwo Informatyczne wyraża gotowość udziału w ty procesie. |} Wypracowanie opinii - patrz [[{{TALKPAGENAME}}|strona dyskusji]].
Szablon:Spis treści
(
tekst źródłowy
)
Wróć do strony
17-09.02
.
Menu nawigacyjne
Osobiste
Logowanie i rejestracja
Przestrzenie nazw
Strona
Dyskusja
Warianty
Widok
Czytaj
Tekst źródłowy
Wyświetl historię
Działania
Szukaj
Nawigacja
Strona główna
Portal społeczności
Pomoc
Obsługa
Wniosek o konto