17-09.02: Różnice pomiędzy wersjami
Z WSTOIn
(→Opinia: Draft opinii) |
|||
| Linia 14: | Linia 14: | ||
|- | |- | ||
| | | | ||
| − | Polskie Towarzystwo Informatyczne w odpowiedzi na prośbę o | + | Polskie Towarzystwo Informatyczne w odpowiedzi na prośbę o przesłanie uwag dotyczących potrzeb uwzględnienia w "Klasyfikacji zawodów i specjalności" nowych zawodów bądź zrewidowania już istniejących, związanych z branżą IT, w tym w szczególności specjalności związanych z problematyką cyberbezpieczeństwo, przesyła swoją opinię i rekomendacje. |
| + | |||
| + | Dziękujemy za możliwość udziału w spotkaniu i dyskusji w sprawie kwalifikacji i zawodów, które odbyło się w maju 2017 w Ministerstwie Cyfryzacji. | ||
| + | |||
| + | Zgadzamy się ze stanowiskiem Ministerstwa Cyfryzacji wyrażonym podczas spotkania, że istnieje potrzeba uwzględnienia w "Klasyfikacji zawodów i specjalności" nowych zawodów oraz zrewidowania już istniejących. | ||
| + | |||
| + | Rosnąca rola bezpieczeństwa teleinformatycznego oraz obserwowany, zarówno w Polsce jak i na świecie, pogłębiający się deficyt pracowników związanych zawodowo z tym obszarem, wymusza podjęcie zdecydowanych działań mających na celu uporządkowanie definicji i potwierdzenie kwalifikacji zawodowych pracowników. | ||
| + | |||
| + | Rozpatrując aktualizację zawodów związanych z branżą IT chcielibyśmy zwrócić uwagę na nieobecność zawodu informatyka w aktualnej Klasyfikacji zawodów i specjalności, wprowadzonej rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 7 sierpnia 2014 r. (Dz. U. z 2014 r. poz. 1145; zm.: Dz. U. z 2016 r. poz. 1876). Jest to o tyle dziwne, że w tejże Klasyfikacji znajdujemy takie zawody i specjalności jak: | ||
| + | • bioinformatyk, | ||
| + | • informatyk medyczny, | ||
| + | • inżynier teleinformatyk, | ||
| + | • technik informatyk. | ||
| + | |||
| + | W opinii Polskiego Towarzystwo Informatycznego zawód informatyka powinien się pojawić w czterocyfrowej grupie 2120 Matematycy, aktuariusze i statystycy i informatycy oraz 2152 Inżynierowie elektronicy. Równocześnie powinny być poczynione działania na rzecz utworzenia osobnej grupy, zawierającej różne kategorie zawodu informatyka w zgodzie aktualnymi tendencjami rozwoju tej dziedziny. Dodatkowo warto zaktualizować niektóre nazwy i rodzaje specjalności w grupie 25. Specjaliści teleinformatycy. | ||
| + | |||
| + | Rozważania dot. zawodów i specjalności związanych z obszarem cyberbezpieczeństwa bądź też bezpieczeństwa teleinformatycznego proponujemy rozpocząć od uporządkowania terminologii. | ||
| + | |||
| + | Brak zdefiniowanego pojęcia cyberbezpieczeństwo (próba dookreślenia tego terminu została podjęta jedynie w Doktrynie Cyberbezpieczeństwa Rzeczypospolitej Polskiej | ||
| + | z 2015) utrudnia jednoznaczną definicję zawodów I specjalności, w nazwie których występuje to pojęcie. | ||
| + | Ubolewamy, że jeden z poważniejszych problemów trapiących rozwój sieci i systemów teleinformatycznych – bezpieczeństwo realizacji usług elektronicznych – jest nazywany medialnym stwierdzeniem cyberbezpieczeństwo, zamiast profesjonalnym pojęciem bezpieczeństwo teleinformatyczne na wzór bezpieczeństwa narodowego, wewnętrznego. | ||
| + | |||
| + | Rekomendujemy, aby konsekwentnie w polskiej terminologii zamiast terminu cyberbezpieczeństwo stosować określenie bezpieczeństwo teleinformatyczne. | ||
| + | |||
| + | Porównanie zapisów "Klasyfikacji zawodów i specjalności" z zestawieniem zawodów i specjalności związanych z obszarem ICT poszukiwanymi obecnie przez pracodawców pokazuje, że istnieje szereg poszukiwanych zawodów/specjalności związanych z obszarem bezpieczeństwa teleinformatycznego, które nie znajdują odzwierciedlenia w przywoływanej tu wielokrotnie Klasyfikacji. | ||
| + | |||
| + | Poszukiwane zawody i specjalności | ||
| + | Analiza ofert zatrudnienia na wiodących portalach (np. LinkedIn, pracuj.pl) zawierających oferty pracy pokazuje, że obecnie poszukiwani są pracownicy na następujące stanowiska związane z szeroko pojętym bezpieczeństwem teleinformatycznym (w zestawieniu została zachowana terminologia podawana w ogłoszeniach): | ||
| + | • Analityk Bezpieczeństwa 2 linii (2L) Security Operation Center (SOC) | ||
| + | • Analityk Śledczy (IT Security) | ||
| + | • Blue Team Security Analyst | ||
| + | • Cloud Security Engineer | ||
| + | • Cyber Security Operator | ||
| + | • Cyber Security Scanning Engineer | ||
| + | • Data Protection Officer | ||
| + | • Ethical Hacker (Penetration tester) | ||
| + | • Information and Data Security Officer | ||
| + | • Information Security Analyst | ||
| + | • Information Security Architect | ||
| + | • Information Security Engineer | ||
| + | • Infrastructure Security Consultant | ||
| + | • IT Application Security Architect | ||
| + | • IT Auditor | ||
| + | • IT Security Engineer | ||
| + | • IT Security Senior Advisor | ||
| + | • IT Security Specialist | ||
| + | • IT Security Specialist – Cyber Security Monitoring | ||
| + | • Network Cyber Security - SOC SIEM Analyst | ||
| + | • Network Security Architect | ||
| + | • Security and Privacy Architect | ||
| + | • Security Architect | ||
| + | • Security Assessment Specialist | ||
| + | • Security Auditor | ||
| + | • Security Consultant | ||
| + | • Security Engineer | ||
| + | • Security Manager | ||
| + | • Security Operations Center (SOC) - Monitoring Specialist | ||
| + | • Security Program Manager | ||
| + | • Security Risk Analyst | ||
| + | • Security Solutions Architect | ||
| + | • Senior Cyber Security Operations Analyst | ||
| + | • Senior Cyber Security Operations Analyst | ||
| + | • Senior Security Engineer | ||
| + | • Software Security Engineer | ||
| + | • Vulnerability Researcher | ||
| + | |||
| + | Jak widać, większość z tych pozycji nie znajduje odzwierciedlenia w obowiązującej "Klasyfikacji zawodów i specjalności". W szczególności zasadne wydaje się dodanie takich nowych pozycji jak: | ||
| + | • Architekt bezpieczeństwa teleinformatycznego | ||
| + | • Analityk bezpieczeństwa teleinformatycznego | ||
| + | • Analityk ryzyka bezpieczeństwa teleinformatycznego | ||
| + | • Audytor bezpieczeństwa teleinformatycznego | ||
| + | • Audytor systemów informacyjnych | ||
| + | • Inżynier bezpieczeństwa teleinformatycznego | ||
| + | • Tester penetracyjny | ||
| + | • Analityk śledczy | ||
| + | |||
| + | |||
| + | Certyfikacje zawodowe | ||
| + | |||
| + | Obecnie pracodawcy weryfikują kompetencje dot. bezpieczeństwa teleinformatycznego pracowników opierając się na posiadanych przez nich certyfikatach zawodowych. Najczęściej są to certyfikaty branżowe wystawiane przez niezależne organizacje oraz producentów rozwiązań bezpieczeństwa. Pierwsze z wymienionych są certyfikacjami neutralnymi technologicznie a drugie są wprost powiązane z rozwiązaniami technicznymi oferowanymi przez danego producenta. | ||
| + | |||
| + | Najpopularniejsze obecnie certyfikaty branżowe związane z bezpieczeństwem teleinformatycznym to: | ||
| + | • CISSP (Certified Information Systems Security Professional) | ||
| + | • CISA (Certified Information Systems Auditor) | ||
| + | • CISM (Certified Information Security Manager) | ||
| + | • CRISC (Certified in Risk and Information Systems Control) | ||
| + | • SSCP (Systems Security Certified Practitioner) | ||
| + | • CompTIA Security+ | ||
| + | • CEH (EC-Council Certified Ethical Hacker) | ||
| + | • OSCP (Offensive Security Certified Professional) | ||
| + | • OSCP (Offensive Security Certified Professional) | ||
| + | • OSCE (Offensive Security Certified Expert) | ||
| + | • GXPN (GIAC Exploit Researcher and Advanced Penetration Tester) | ||
| + | • OSWP (Offensive Security Wireless Professional) | ||
| + | |||
| + | Bardzo istotne jest, że uzyskanie wielu z ww. certyfikatów wymaga nie tylko zdania stosownych egzaminów, ale również udokumentowania pewnego okresu doświadczenia zawodowego w obszarze związanym z bezpieczeństwem teleinformatycznym. Co więcej, wiele z najbardziej wartościowych certyfikatów ma określony okres ważności (np. 3 lata) i ich przedłużenia wymaga ciągłej edukacji. | ||
| + | Należy zwrócić uwagę, że wiedza wymagana do uzyskania ww. certyfikatów nie uwzględnia znajomości polskich lub europejskich regulacji prawnych np. (ustawy o ochronie danych osobowych lub RODO, lecz uwzględnia wyłącznie regulacje USA, np. HIPAA, Sarbanes-Oxley, PCI DSS. Z punktu widzenia polskich pracodawców może być to postrzegane jako wada. | ||
| + | System polskich certyfikacji zawodowych związanych z bezpieczeństwem teleinformatycznym jest bardzo ograniczony. Znana jest certyfikacja EUCIP Professional oferowana przez Polskie Towarzystwo Informatyczne. Możliwe są dwie specjalności: | ||
| + | • Doradca ds. Bezpieczeństwa, | ||
| + | • Audytor Systemów Informacyjnych. | ||
| + | |||
| + | Naszym zdaniem warto jest rozważyć stworzenie całkowicie polskiego systemu certyfikacji zawodowej w obszarze bezpieczeństwa teleinformatycznego. Taki system certyfikacji zawodowej powinien uwzględniać czołowe certyfikacje oferowane przez takie organizacje jak ISACA (certyfikaty CISA, CISM, CRISC), (ISC)2 (certyfikaty CISSP, CCSP) oraz polskie i europejskie regulacje (np. RODO, dyrektywa NIS). | ||
| + | |||
| + | Naszym zdaniem opracowanie systemu certyfikacji zawodowej wymaga szerszej dyskusji i konsultacji Ministerstwa Cyfryzacji ze środowiskiem zainteresowanym podnoszeniem adekwatnego poziomu bezpieczeństwa teleinformatycznego (np. takie organizacje jak PIIT, ISACA Polska, ISSA Polska). Polskie Towarzystwo Informatyczne wyraża gotowość udziału w ty procesie. | ||
| + | |||
|} | |} | ||
Wypracowanie opinii - patrz [[{{TALKPAGENAME}}|strona dyskusji]]. | Wypracowanie opinii - patrz [[{{TALKPAGENAME}}|strona dyskusji]]. | ||
