PolskaPrzepisyWieści

Rada Ministrów o cyberbezpieczeństwie

Ważne
  • Rada Ministrów opublikowała rozporządzenie, w treści którego zawarto zestawienie certyfikatów potwierdzające kompetencje w zakresie cyberbezpieczeństwa. Osoby zainteresowane karierą w tej dziedzinie mogą – na tej podstawie - dokonać wyboru co do dalszej nauki i poszerzania już zdobytej wiedzy.

20 stycznia 2022 roku zostało opublikowane Rozporządzenie Rady Ministrów z dnia 19 stycznia „w sprawie wysokości świadczenia teleinformatycznego dla osób realizujących zadania z zakresu cyberbezpieczeństwa”.

Rozporządzenie zostało wydane na podstawie Ustawy z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa.

Jak zapisano w treści Rozporządzenia:

  • 1. Rozporządzenie określa:
    1) szczegółowe zadania z zakresu cyberbezpieczeństwa i podział ich na grupy;
    2) doświadczenie zawodowe lub wymóg posiadania specjalistycznej wiedzy z zakresu cyberbezpieczeństwa wymagane do realizacji zadań z poszczególnych grup;
    3) przedziały kwotowe wysokości świadczenia teleinformatycznego w związku z podziałem zadań z zakresu cyberbezpieczeństwa na grupy, o których mowa w pkt 1.

Rada Ministrów zdefiniowała 8 grup zadań z zakresu zapewniania cyberbezpieczeństwa przypisując do tych grup zestawienia szczegółowych zadań a także wymagania dotyczące posiadania specjalistycznej wiedzy – w zakresie cyberbezpieczeństwa – wskazanej w wymienionych explicite dokumentach i certyfikatach.

Ciekawy dokument, ma kilka zalet.

Po pierwsze, Rozporządzenie może być przydatne dla osób planujących swoją karierę w dziedzinie bezpieczeństwa pokazując ogólny zakres wymaganej wiedzy oraz umiejętności i jednocześnie wskazując na źródła i sposoby pozyskania tej wiedzy.

Po drugie, Rozporządzenie może wymusić – również na sektorze prywatnym – docenianie zagadnień z zakresu cyberbezpieczeństwa.

Po trzecie, Rozporządzenie staje się pewnego rodzaju odnośnikiem do kształtowania wymagań i wynagrodzeń specjalistów w dziedzinie cyberbezpieczeństwa w podmiotach znajdujących się poza zakresem określonym w artykule 5 Rozporządzenia oraz poza podmiotami określonymi w artykułach 41, 44 oraz 60 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa.

I tak na przykład, pierwsza – określona w Rozporządzeniu – grupa zadań obejmuje:

  1. Aktywne poszukiwanie zagrożeń cyberbezpieczeństwa (Cyber Threat Intelligence i Threat Hunting)
  2. Analiza złośliwego oprogramowania
  3. Badanie bezpieczeństwa, podatności i testowanie sprzętu lub oprogramowania
  4. Ocena bezpieczeństwa systemów informacyjnych, w tym testy penetracyjne i audyty bezpieczeństwa
  5. Prowadzenie specjalistycznych analiz cyberbezpieczeństwa i wykrywanie nowych podatności
  6. Rozwijanie specjalistycznych narzędzi technicznych wspomagających realizację zadań z zakresu cyberbezpieczeństwa

Według Rozporządzenia, osoba realizująca wyżej wymienione zadania winna posiadać wiedzę określoną „co najmniej w jednym z poniższych dokumentów”:

CASP+, CCFE, CEH, CEH Master, Certyfikat audytora wiodącego systemu zarządzania  bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001, CPENT, CSSLP, CHFI, CMFE, CPT, eCDFP, eCMAP, CISSP, COBIT Foundation, GASF, GAWN, GCCC, GCDA, GCFA, GCPN, GCTI, GNFA, GPEN, GREM, GSNA, GMOB, GSSP, GWAPT, GWEB, GXPN, ITIL Foundation, LPT, OSCE3, OSCP, OSED, OSEP, OSEE, OSMR, OSWA, OSWE, OSWP, PenTest+ lub w innym równoważnym dokumencie, lub w dokumencie potwierdzającym zajęcie jednego z trzech pierwszych miejsc w zawodach, treningach, turniejach lub ćwiczeniach z zakresu cyberbezpieczeństwa (…)

Rozporządzenie zawiera zestaw enumeratywnie wymienionych certyfikatów, z których posiadanie (co najmniej dwóch) wymagane jest na poszczególnych poziomach (grupach) zadań związanych z cyberbezpieczeństwem:

  • BTL1 – Security Blue Team Level 1
  • BTL2 – Security Blue Team Level 2
  • CAP – Certified Authorization Professional
  • CASP+ – CompTIA Advanced Security Practitioner
  • CAWFE – Certified Advanced Windows Forensic Examiner
  • CBCI – Certificate of Business Continuity Institute
  • CBCP – Certified Business Continuity Professional
  • CCFE – Certified Computer Forensics Examiner
  • CDRP – Certified Data Recovery Professional
  • CEH – Certified Ethical Hacker
  • CEH Master – Certified Ethical Hacker Master
  • Certified Reliability Professional
  • Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001
  • Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301
  • Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert
  • CFSR – Certified Forensic Security Responder
  • CGAP – Certified Government Auditing Professional
  • CGEIT – ISACA’s Certified in the Governance of Enterprise IT
  • CHFI – Certified Hacking Forensic Investigator
  • CIA – Certified Internal Auditor
  • CISA – Certified Information Systems Auditor
  • CISM – Certified Information Security Manager
  • CISSP – Certified Information Systems Security Professional
  • CMFE – Certified Mobile Forensics Examiner
  • CNFE – Certified Network Forensics Examiner
  • COBIT Foundation
  • CPENT – Certified Penetration Testing Professional
  • CPT – Certified Penetration Tester
  • CRISC – ISACA’s Certified in Risk and Information Systems Control
  • CSSLP – Certified Secure Software Lifecycle Professional
  • CySA+ – CompTIA CySA+
  • eCDFP – eLearnSecurity Certified Digital Forensics Professional
  • eCMAP – eLearnSecurity Certified Malware Analysis Professional
  • GASF – GIAC Advanced Smartphone Forensics
  • GAWN – GIAC Assessing and Auditing Wireless Networks
  • GBFA – GIAC Battlefield Forensics and Acquisition
  • GCCC – GIAC Critical Controls Certification
  • GCDA – GIAC Certified Detection Analyst
  • GCFA – GIAC Certified Forensic Analyst
  • GCFE – GIAC Certified Forensic Examiner
  • GCIH – GIAC Certified Incident Handler
  • GCPM – GIAC Certified Project Manager
  • GCPN – GIAC Cloud Penetration Tester
  • GCSA – GIAC Cloud Security Automation
  • GCTI – GIAC Cyber Threat Intelligence
  • GDAT – GIAC Defending Advanced Threats
  • GISP – GIAC Information Security Professional
  • GMOB – GIAC Mobile Device Security Analyst
  • GMON – GIAC Continuous Monitoring Certification
  • GNFA – GIAC Network Forensic Analyst
  • GOSI – GIAC Open Source Intelligence
  • GPEN – GIAC Penetration Tester
  • GPYC – GIAC Python Coder
  • GREM – GIAC Reverse Engineering Malware
  • GSE – GIAC Security Expert
  • GSLC – GIAC Security Leadership
  • GSNA – GIAC Systems and Network Auditor
  • GSOC – GIAC Security Operations Certified
  • GSOM – GIAC Security Operations Manager
  • GSSP – GIAC Secure Software Programmer
  • GSTRT – GIAC Strategic Planning, Policy and Leadership
  • GWAPT – GIAC Web Application Penetration Tester
  • GWEB – GIAC Certified Web Application Defender
  • GXPN – GIAC Exploit Researcher and Advanced Penetration Tester
  • ITIL Foundation
  • ITIL Managing Professional
  • ITIL Master
  • LPT – EC Council Licensed Penetration Tester
  • OSCE3 – Offensive Security Certified Expert 3
  • OSCP – Offensive Security Certified Professional
  • OSED – Offensive Security Exploit Developer
  • OSEE – Offensive Security Exploitation Expert
  • OSEP – Offensive Security Experienced Penetration Tester
  • OSMR – Offensive Security macOS Researcher
  • OSWA – Offensive Security Web Assessor
  • OSWE – Offensive Security Web Expert
  • OSWP – Offensive Security Wireless Professional
  • PenTest+ – CompTIA PenTest+
  • Security+ – CompTIA Security+
  • SSCP – Systems Security Certified Practitioner

Mamy zastrzeżenia co do kilku wymienionych certyfikatów:

  1. CIA – Certified Internal Auditor
  2. Cobit Foundation
  3. ITIL Foundation
  4. ITIL Managing Professional
  5. ITIL Master

Pierwszy z nich, CIA, jest certyfikatem potwierdzającym wiedzę z zakresu szeroko rozumianego audytu wewnętrznego: zagadnienia dotyczące technologii IT i cyberbezpieczeństwa są dość pobieżnie potraktowane.

Cobit Foundation odnosi się do ogólnego zarządzania obszarem IT – cyberbezpieczeństwo stanowi jedynie ułamek wiedzy. W rozporządzeniu wymieniono inne certfikaty nadawane przez ISACA a bardzie stosowne w dziedzinie cyberbezpieczeństwa, na przykład CISM  (wymienione w Rozporządzeniu lub CSX-P – certyfikat, który nie został w Rozporządzeniu wynieniony.

Certyfikaty ITIL (Information Technology Infrastructure Library) podobnie jak Cobit Foundation odnoszą się zasadniczo do dziedziny szeroko rozumianego zarządzania obszarem IT. Przy czym ITIL zdecydowanie koncentruje się na usługach IT. Cyberbezpieczeństwo jest ujęte  w ramach ITIL w niewielkim stopniu.

Gdyby zdarzyło się, że ktoś posiada na przykład 2 certyfikaty: Cobit Foundation oraz ITIL Foundation to spełniając formalne kryterium w rzeczywistości może nie gwarantować odpowiedniej wiedzy i umiejętności w dziedzinie cyberbezpieczeństwa.

Podobnie jest z certyfikatami:  CBCI – Certificate of Business Continuity Institute oraz CBCP – Certified Business Continuity Professional. Owszem, związki z cyberbezpieczeństwem te certyfikaty mają ale na poziomie dość ogólnym – a w zakresie wykrywania i przeciwdziałania zagrożeniom cybernetycznym wręcz żadne.

Analogicznie rzecz dotyczy certyfikatu „audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301”. Posiadanie tego certyfikatu absolutnie nie daje niezbędnych technicznych kompetencji w zakresie cyberbezpieczeństwa.

Rzecz jak zawsze tkwi nie w formalizmach a w realiach.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły

Sprawdź również
Close