17-09.02: Różnice pomiędzy wersjami

Z WSTOIn
Skocz do: nawigacji, wyszukiwania
(Opinia: zmiana wypunktowania na a'la wiki)
(uzupełnienie opinii)
Linia 20: Linia 20:
 
Zgadzamy się ze stanowiskiem Ministerstwa Cyfryzacji wyrażonym podczas spotkania, że istnieje potrzeba uwzględnienia w "Klasyfikacji zawodów i specjalności" nowych zawodów oraz zrewidowania już istniejących.  
 
Zgadzamy się ze stanowiskiem Ministerstwa Cyfryzacji wyrażonym podczas spotkania, że istnieje potrzeba uwzględnienia w "Klasyfikacji zawodów i specjalności" nowych zawodów oraz zrewidowania już istniejących.  
  
Rosnąca rola bezpieczeństwa teleinformatycznego oraz obserwowany, zarówno w Polsce jak i na świecie, pogłębiający się deficyt pracowników związanych zawodowo z tym obszarem, wymusza podjęcie zdecydowanych działań mających na celu uporządkowanie definicji i potwierdzenie kwalifikacji zawodowych pracowników.
+
Rosnąca rola bezpieczeństwa teleinformatycznego oraz obserwowany, zarówno w Polsce jak i na świecie, pogłębiający się deficyt pracowników związanych zawodowo z tym obszarem, wymusza podjęcie zdecydowanych działań mających na celu uporządkowanie definicji i potwierdzenie kwalifikacji zawodowych pracowników.  
  
Rozpatrując aktualizację zawodów związanych z branżą IT chcielibyśmy zwrócić uwagę na nieobecność zawodu informatyka w aktualnej Klasyfikacji zawodów i specjalności, wprowadzonej rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 7 sierpnia 2014 r. (Dz. U. z 2014 r. poz. 1145; zm.: Dz. U. z 2016 r. poz. 1876). Jest to o tyle dziwne, że w tejże Klasyfikacji znajdujemy takie zawody i specjalności jak:
+
Rozpatrując aktualizację zawodów związanych z branżą IT chcielibyśmy zwrócić uwagę na nieobecność zawodu informatyka w aktualnej Klasyfikacji zawodów i specjalności (dalej KZiS), wprowadzonej rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 7 sierpnia 2014 r. (Dz. U. z 2014 r. poz. 1145; zm.: Dz. U. z 2016 r. poz. 1876). Jest to o tyle dziwne, że w tejże Klasyfikacji znajdujemy takie zawody i specjalności jak:
 
* bioinformatyk,
 
* bioinformatyk,
 
* informatyk medyczny,
 
* informatyk medyczny,
Linia 30: Linia 30:
 
W opinii Polskiego Towarzystwo Informatycznego zawód informatyka powinien się pojawić w czterocyfrowej grupie 2120 Matematycy, aktuariusze i statystycy i informatycy oraz 2152 Inżynierowie elektronicy. Równocześnie powinny być poczynione działania na rzecz utworzenia osobnej grupy, zawierającej różne kategorie zawodu informatyka w zgodzie aktualnymi tendencjami rozwoju tej dziedziny. Dodatkowo warto zaktualizować niektóre nazwy i rodzaje specjalności w grupie 25. Specjaliści teleinformatycy.
 
W opinii Polskiego Towarzystwo Informatycznego zawód informatyka powinien się pojawić w czterocyfrowej grupie 2120 Matematycy, aktuariusze i statystycy i informatycy oraz 2152 Inżynierowie elektronicy. Równocześnie powinny być poczynione działania na rzecz utworzenia osobnej grupy, zawierającej różne kategorie zawodu informatyka w zgodzie aktualnymi tendencjami rozwoju tej dziedziny. Dodatkowo warto zaktualizować niektóre nazwy i rodzaje specjalności w grupie 25. Specjaliści teleinformatycy.
  
Rozważania dot. zawodów i specjalności związanych z obszarem cyberbezpieczeństwa bądź też bezpieczeństwa teleinformatycznego proponujemy rozpocząć od uporządkowania terminologii.
+
Tym niemniej kwestia pojęcia "informatyk" jest złożona i wywołuje często sprzeczne opinie. W kontekście KZiS pojęcie "informatyk" rodzi problemy ze względu na odwzorowanie w tej klasyfikacji schematu The International Standard Classification of Occupations 2008 (dalej ISCO-08) Intenational Labour Organization (dostępne na stronie http://www.ilo.org/public/english/bureau/stat/isco/isco08/). Schemat nie wyodrębnia wprost grupy "informatyk" rozumianej jako "IT/ICT specialist", więc konsekwentnie polska KZiS również nie uwzględnia tego. Problem ten był już przedmiotem dyskusji w PTI w związku z prośbą GUS o zaopiniowanie i weryfikację typologii kodów zawodów związanych z ICT. Wynikiem tej dyskusji była opinia dostępna na stronie opinii PTI https://wstoin.pti.org.pl/wiki/15-08.01 . Niewątpliwie kwestia ta wymaga dalszych prac i studiów, które będą prowadzone również w ramach Rady Sektorowej ds. Kompetencji IT (http://radasektorowa.pl/).
  
Brak zdefiniowanego pojęcia cyberbezpieczeństwo (próba dookreślenia tego terminu została podjęta jedynie w Doktrynie Cyberbezpieczeństwa Rzeczypospolitej Polskiej  
+
Odnosząc się do rozważania dotyczącego zawodów i specjalności związanych z obszarem cyberbezpieczeństwa bądź też bezpieczeństwa teleinformatycznego proponujemy je rozpocząć od uporządkowania terminologii.
z 2015) utrudnia jednoznaczną definicję zawodów I specjalności, w nazwie których występuje to pojęcie.
+
 
 +
Brak zdefiniowanego pojęcia cyberbezpieczeństwo (próba dookreślenia tego terminu została podjęta jedynie w Doktrynie Cyberbezpieczeństwa Rzeczypospolitej Polskiej z 2015) utrudnia jednoznaczną definicję zawodów I specjalności, w nazwie których występuje to pojęcie.
 
Ubolewamy, że jeden z poważniejszych problemów trapiących rozwój sieci i systemów teleinformatycznych – bezpieczeństwo realizacji usług elektronicznych – jest nazywany medialnym stwierdzeniem cyberbezpieczeństwo, zamiast profesjonalnym pojęciem bezpieczeństwo teleinformatyczne na wzór bezpieczeństwa narodowego, wewnętrznego.  
 
Ubolewamy, że jeden z poważniejszych problemów trapiących rozwój sieci i systemów teleinformatycznych – bezpieczeństwo realizacji usług elektronicznych – jest nazywany medialnym stwierdzeniem cyberbezpieczeństwo, zamiast profesjonalnym pojęciem bezpieczeństwo teleinformatyczne na wzór bezpieczeństwa narodowego, wewnętrznego.  
  
Rekomendujemy, aby konsekwentnie w polskiej terminologii zamiast terminu cyberbezpieczeństwo stosować określenie bezpieczeństwo teleinformatyczne.  
+
Rekomendujemy, aby konsekwentnie w polskiej terminologii zamiast terminu cyberbezpieczeństwo stosować określenie bezpieczeństwo teleinformatyczne.  
  
Porównanie zapisów "Klasyfikacji zawodów i specjalności" z zestawieniem zawodów i specjalności związanych z obszarem ICT poszukiwanymi obecnie przez pracodawców pokazuje, że istnieje szereg poszukiwanych zawodów/specjalności związanych z obszarem bezpieczeństwa teleinformatycznego, które nie znajdują odzwierciedlenia w przywoływanej tu wielokrotnie Klasyfikacji.  
+
Porównanie zapisów KZiS z zestawieniem zawodów i specjalności związanych z obszarem ICT poszukiwanymi obecnie przez pracodawców pokazuje, że istnieje szereg poszukiwanych zawodów/specjalności związanych z obszarem bezpieczeństwa teleinformatycznego, które nie znajdują odzwierciedlenia w przywoływanej tu wielokrotnie Klasyfikacji.  
  
Poszukiwane zawody i specjalności
+
Poszukiwane zawody i specjalności<br>
 
Analiza ofert zatrudnienia na wiodących portalach (np. LinkedIn, pracuj.pl) zawierających oferty pracy pokazuje, że obecnie poszukiwani są pracownicy na następujące stanowiska związane z szeroko pojętym bezpieczeństwem teleinformatycznym (w zestawieniu została zachowana terminologia podawana w ogłoszeniach):
 
Analiza ofert zatrudnienia na wiodących portalach (np. LinkedIn, pracuj.pl) zawierających oferty pracy pokazuje, że obecnie poszukiwani są pracownicy na następujące stanowiska związane z szeroko pojętym bezpieczeństwem teleinformatycznym (w zestawieniu została zachowana terminologia podawana w ogłoszeniach):
 
* Analityk Bezpieczeństwa 2 linii (2L) Security Operation Center (SOC)
 
* Analityk Bezpieczeństwa 2 linii (2L) Security Operation Center (SOC)
Linia 80: Linia 81:
 
* Vulnerability Researcher
 
* Vulnerability Researcher
  
Jak widać, większość z tych pozycji nie znajduje odzwierciedlenia w obowiązującej "Klasyfikacji zawodów i specjalności". W szczególności zasadne wydaje się dodanie takich nowych pozycji jak:
+
Jak widać, większość z tych pozycji nie znajduje odzwierciedlenia w obowiązującej "Klasyfikacji zawodów i specjalności". W szczególności zasadnym wydawałoby się dodanie do KZiS takich nowych pozycji jak:
 
* Architekt bezpieczeństwa teleinformatycznego
 
* Architekt bezpieczeństwa teleinformatycznego
 
* Analityk bezpieczeństwa teleinformatycznego
 
* Analityk bezpieczeństwa teleinformatycznego
Linia 90: Linia 91:
 
* Analityk śledczy  
 
* Analityk śledczy  
  
 +
Może to jednak być skomplikowane ze względu na wspomniane już odwzorowania w KZiS schematu ISCO-08, jak też dość długotrwała procedurę wprowadzania pozycji do KZiS. Możliwym rozwiązaniem byłoby utworzenie rozszerzenia KZiS jako wynik prac Rady Sektorowej i rekomendowanej do stosowania przez zainteresowane resorty.
  
 
Certyfikacje zawodowe
 
Certyfikacje zawodowe
  
Obecnie pracodawcy weryfikują kompetencje dot. bezpieczeństwa teleinformatycznego pracowników opierając się na posiadanych przez nich certyfikatach zawodowych. Najczęściej są to certyfikaty branżowe wystawiane przez niezależne organizacje oraz producentów rozwiązań bezpieczeństwa. Pierwsze z wymienionych są certyfikacjami neutralnymi technologicznie a drugie są wprost powiązane z rozwiązaniami technicznymi oferowanymi przez danego producenta.
+
Obecnie pracodawcy weryfikują kompetencje dotyczące bezpieczeństwa teleinformatycznego pracowników na podstawie posiadanych przez nich certyfikatach zawodowych. Najczęściej są to certyfikaty branżowe wystawiane przez niezależne organizacje oraz producentów rozwiązań bezpieczeństwa. Pierwsze z wymienionych są certyfikacjami neutralnymi technologicznie a drugie są wprost powiązane z rozwiązaniami technicznymi oferowanymi przez danego producenta.
  
Najpopularniejsze obecnie certyfikaty branżowe związane z bezpieczeństwem teleinformatycznym to:
+
Najpopularniejsze obecnie certyfikaty branżowe związane z bezpieczeństwem teleinformatycznym to:  
 
* CISSP (Certified Information Systems Security Professional)
 
* CISSP (Certified Information Systems Security Professional)
 
* CISA (Certified Information Systems Auditor)
 
* CISA (Certified Information Systems Auditor)
Linia 109: Linia 111:
 
* OSWP (Offensive Security Wireless Professional)
 
* OSWP (Offensive Security Wireless Professional)
  
Bardzo istotne jest, że uzyskanie wielu z ww. certyfikatów wymaga nie tylko zdania stosownych egzaminów, ale również udokumentowania pewnego okresu doświadczenia zawodowego w obszarze związanym z bezpieczeństwem teleinformatycznym. Co więcej, wiele z najbardziej wartościowych certyfikatów ma określony okres ważności (np. 3 lata) i ich przedłużenia wymaga ciągłej edukacji.
+
Bardzo istotne jest, że uzyskanie wielu z ww. certyfikatów wymaga nie tylko zdania stosownych egzaminów, ale również udokumentowania pewnego okresu doświadczenia zawodowego w obszarze związanym z bezpieczeństwem teleinformatycznym. Co więcej, wiele z najbardziej wartościowych certyfikatów ma określony okres ważności (np. 3 lata) i ich przedłużenia wymaga ciągłej edukacji.<br>
 
Należy zwrócić uwagę, że wiedza wymagana do uzyskania ww. certyfikatów nie uwzględnia znajomości polskich lub europejskich regulacji prawnych np. (ustawy o ochronie danych osobowych lub RODO, lecz uwzględnia wyłącznie regulacje USA, np. HIPAA, Sarbanes-Oxley, PCI DSS. Z punktu widzenia polskich pracodawców może być to postrzegane jako wada.
 
Należy zwrócić uwagę, że wiedza wymagana do uzyskania ww. certyfikatów nie uwzględnia znajomości polskich lub europejskich regulacji prawnych np. (ustawy o ochronie danych osobowych lub RODO, lecz uwzględnia wyłącznie regulacje USA, np. HIPAA, Sarbanes-Oxley, PCI DSS. Z punktu widzenia polskich pracodawców może być to postrzegane jako wada.
System polskich certyfikacji zawodowych związanych z bezpieczeństwem teleinformatycznym jest bardzo ograniczony. Znana jest certyfikacja EUCIP Professional oferowana przez Polskie Towarzystwo Informatyczne. Możliwe są dwie specjalności:
+
 
 +
System polskich neutralnych technicznie certyfikacji zawodowych związanych z bezpieczeństwem teleinformatycznym praktycznie nie istnieje. Znana jest certyfikacja EUCIP Professional oferowana przez Polskie Towarzystwo Informatyczne, będąca klonem systemu swego czasu opracowanego przez CEPIS. Możliwe są dwie specjalności:
 
* Doradca ds. Bezpieczeństwa,  
 
* Doradca ds. Bezpieczeństwa,  
 
* Audytor Systemów Informacyjnych.
 
* Audytor Systemów Informacyjnych.
 +
Następcą systemu EUCIP były kolejne wydania systemu e-Competence Framewok (e-CF), z których wydane 3 z nieznacznymi zmianami zostało przyjęte jako norma europejska EN 16234 - e-Competence Framework (e-CF) - A common European Framework for ICT Professionals in all industry sectors. Obecnie CEPIS wspiera tę normę. Norma, jak i e-CF odnosi się do 40-tu uogólnionych obszarów kompetencji informatycznych. Związane z bezpieczeństwem teleinformatycznym są dwa obszary:
 +
* Information Security Strategy Development
 +
* Information Security Management
 +
Również i w tym przypadku możliwym rozwiązaniem byłoby utworzenie rozszerzenia normy jako wynik prac Rady Sektorowej i rekomendowanej do stosowania przez zainteresowane resorty.
 +
 +
W tym kontekście naszym zdaniem należy stworzyć całkowicie polski system certyfikacji zawodowej, zawierający obszar bezpieczeństwa teleinformatycznego. Taki system certyfikacji zawodowej powinien uwzględniać czołowe certyfikacje oferowane przez takie organizacje jak ISACA (certyfikaty CISA, CISM, CRISC), (ISC)2 (certyfikaty CISSP, CCSP) oraz polskie i europejskie regulacje (np. RODO, dyrektywa NIS). Utworzenie takiego systemu jest jednym z zamiarów PTI, związanych ze strategią i zadaniami statutowymi, a także z działalnością Rady Sektorowej. Jest to jednak przedsięwzięcie kosztowne i wymaga pozyskania źródeł finansowania.
  
Naszym zdaniem warto jest rozważyć stworzenie całkowicie polskiego systemu certyfikacji zawodowej w obszarze bezpieczeństwa teleinformatycznego. Taki system certyfikacji zawodowej powinien uwzględniać czołowe certyfikacje oferowane przez takie organizacje jak ISACA (certyfikaty CISA, CISM, CRISC), (ISC)2 (certyfikaty CISSP, CCSP) oraz polskie i europejskie regulacje (np. RODO, dyrektywa NIS).
+
Naszym zdaniem opracowanie systemu certyfikacji zawodowej obejmującej też obszar bezpieczeństwa teleinformatycznego wymaga szerszej dyskusji i konsultacji Ministerstwa Cyfryzacji ze środowiskiem zainteresowanym podnoszeniem adekwatnego poziomu bezpieczeństwa teleinformatycznego (np. takie organizacje jak PIIT, ISACA Polska, ISSA Polska). Polskie Towarzystwo Informatyczne wyraża gotowość udziału w ty procesie.  
  
Naszym zdaniem opracowanie systemu certyfikacji zawodowej wymaga szerszej dyskusji i konsultacji Ministerstwa Cyfryzacji ze środowiskiem zainteresowanym podnoszeniem adekwatnego poziomu bezpieczeństwa teleinformatycznego (np. takie organizacje jak PIIT, ISACA Polska, ISSA Polska). Polskie Towarzystwo Informatyczne wyraża gotowość udziału w ty procesie.  
+
Odnosząc się do kolejnej kwestii przedstawienia informacji o oczekiwaniach firm i pracowników dotyczących możliwości podnoszenia kwalifikacji pracowników w obszarze cyberbezpieczeństwa oraz czy rynek spełnia te wymagania przekazujemy, że nie dysponujemy takimi danymi. Jest to oczywiście kluczowa sprawa i znajduje się w obszarze działalności Rady Sektorowej. Deklarujemy, że niezwłocznie po wypracowaniu takiego materiału zostanie on opublikowany i jednocześnie przekazany do ministerstwa.
  
 
|}
 
|}

Wersja z 00:39, 29 wrz 2017