Стратегічне планування та політика

Розробляє політику та плани і/або підтримує зміни у політиці щодо організаційних ініціатив в галузі кіберпростору або необхідних змін/вдосконалення.

Нижче наведені ролі для цього спеціального простору. Клацніть кожну роль, щоб побачити KSA (Знання, навички та здібності) та Завдання.

(OV-SPP-001)
Розробляє плани, стратегії та керівні інструкції для трудового складу сфери кібербезпеки з метою підтримки чисельності трудового складу, персоналу, навчальних та освітніх потреб працівників кіберпростору та врахування змін в політиці кіберпростору, доктрині, матеріальному забезпеченні, структурі збройних сил та вимогах щодо освіти та підготовки кадрів.

Завдання

  • T0001: Знаходити та управляти необхідними ресурсами, включаючи підтримку керівництва, фінансові ресурси та ключовий персонал служби безпеки для сприяння досягненню цілей та завдань безпеки інформаційних технологій (ІТ) та зниження загального організаційного ризику.
  • T0004: Консультувати вище керівництво (наприклад, CIO) щодо аналізу витрат/вигоди програм, політик, процесів, систем та елементів інформаційної безпеки.
  • T0025: Обговорювати цінність безпеки інформаційних технологій (ІТ) з зацікавленими сторонами організації на всіх рівнях.
  • T0044: Співпрацювати із зацікавленими сторонами з метою забезпечення безперервної діяльності компанії в рамках програми, стратегії та виконання завдань.
  • T0074: Розробляти політику, програми та керівні принципи для подальшого впровадження.
  • T0094: Встановлювати та підтримувати канали зв’язку з зацікавленими сторонами.
  • T0099: Оцінювати витрати-вигоду, економічний аналіз та аналіз ризиків у процесі прийняття рішень.
  • T0116: Визначати зацікавлених в організаційній політиці сторін.
  • T0222: Розглядати існуючі та перспективні політики із зацікавленими сторонами.
  • T0226: Приймати участь у відомчих і міжвідомчих радах з питань політики.
  • T0341: Підтримувати адекватне фінансування освітніх ресурсів у кіберсфері, включаючи внутрішні та галузеві курси, оплату праці інструкторів та відповідну учбово-методичну документацію.
  • T0352: Проводити оцінку потреб у навчанні та визначати вимоги.
  • T0355: Співпрацювати з внутрішніми і зовнішніми експертами з загальних питань з метою забезпечення відповідності кваліфікаційних стандартів функціональним вимогам організації і промисловим стандартам.
  • T0356: Співпрацювати з зацікавленими сторонами з кадрових питань організації з метою забезпечення відповідного розміщення та розподілу кадрових ресурсів.
  • T0362: Розробляти і впроваджувати описи стандартизованих вакансій на основі визначених робочих ролей сфери кібербезпеки..
  • T0363: Розробляти і аналізувати процедури підбору, найму та збереження (закріплення на займаній посаді) персоналу відповідно до поточних політик кадрового забезпечення.
  • T0364: Розробляти структуру класифікації кар’єрного росту у кіберсфері з метою формування вимог до кандидатів на заміщення вакансій та іншої номенклатури посад, наприклад кодів та ідентифікаторів.
  • T0365: Розробляти або приймати участь у розробці політик навчання і протоколів з кіберпідготовки.
  • T0368: Забезпечувати відповідність посад сфери кібербезпеки політикам і директивам кадрового забезпечення організації.
  • T0369: Забезпечувати відповідність політик і процедур кадрового забезпечення у кіберсфері законодавству і вимогам організації щодо рівних можливостей, різноманіття і неупередженого найму/практик влаштування на роботу.
  • T0372: Встановлювати і підбирати показники для контролю та підтвердження готовності трудового складу з кібербезпеки, включаючи аналіз даних про трудовий склад, призначений для роботи в кіберпросторі, з метою оцінки заміщення вакансій, які були затверджені і заміщені кваліфікованими співробітниками.
  • T0373: Встановлювати і контролювати процедури відмови у подальшій кар’єрі в сфері кібербезпеки і кваліфікаційні вимоги до рівня освіти.
  • T0374: Встановлювати напрямки кар’єрного росту в сфері кібербезпеки, з метою продуманого забезпечення «руху по кар’єрних сходах», як в рамках одного напряму, так і за різними напрямками кар’єрного росту.
  • T0375: Встановлювати стандарти, що стосуються трудового складу, співробітників і кваліфікаційних даних з метою задоволення вимог, що пред’являються до кадрового забезпечення та відповідної звітності.
  • T0376: Встановлювати, забезпечувати ресурсами, реалізовувати та оцінювати програми кадрового забезпечення в кіберсфері відповідно до організаційних вимог.
  • T0384: Інформувати керівництво про політику і стратегії в кіберпросторі, а також забезпечувати відповідність озвучених принципів місії, концепції і цілям організації.
  • T0387: Аналізувати і застосовувати кваліфікаційні стандарти для фахівців кіберсфери.
  • T0388: Аналізувати і застосовувати політики організації, пов’язаних з/що впливають на трудові ресурси сфери кібербезпеки.
  • T0390: Аналізувати/оцінювати ефективність трудового складу сфери кібербезпеки з метою коригування професійних і/або кваліфікаційних стандартів.
  • T0391: Забезпечувати інтеграцію кваліфікованих співробітників сфери кібербезпеки в процеси розробки життєвого циклу інформаційних систем.
  • T0408: Інтерпретувати і застосовувати діючі закони, статути та нормативні правові документи та інтегрувати їх в політику організації.
  • T0425: Аналізувати політику організації у сфері кібербезпеки.
  • T0429: Оцінювати потреби в політиці та співпрацювати з зацікавленими сторонами з метою розробки політик управління діяльністю в сфері кібербезпеки.
  • T0437: Забезпечувати відповідність навчання і освіти вимогам бізнесу або місії.
  • T0441: Визначати та інтегрувати поточні і майбутні середовища для здійснення основних напрямків діяльності.
  • T0445: Розробляти/інтегрувати кіберстратегію, яка містить задум, призначення і мету, узгоджені зі стратегічним планом організації.
  • T0472: Розробляти проект, ознайомлювати персонал і публікувати політики сфери кібербезпеки.
  • T0481: Визначати та вирішувати проблему планування і кадрового забезпечення в сфері кібербезпеки (наприклад, набір, збереження і навчання).
  • T0505: Контролювати неухильне виконання політик, принципів і методик, реалізованих в кіберпросторі, при плануванні та наданні послуг.
  • T0506: Шукати консенсус щодо змін політики, які надходять від зацікавлених сторін.
  • T0529: Надавати основні керівні вказівки керівництву, персоналу і користувачам.
  • T0533: Здійснювати аналіз, проводити або брати участь в аудиторських перевірках кіберпрограм і кіберпроектів.
  • T0536: Виконувати обов’язки внутрішнього консультанта і радника в своїй експертній області (наприклад, технічній області, області авторського права, в друкованих та електронних носіях).
  • T0537: Консультувати директора з інформаційних технологій щодо формування політик, які стосуються кіберпростору.
  • T0552: Аналізувати та затверджувати політику безпеки системи постачання і управління ризиками.

Знання

  • K0001: Знання концепцій і протоколів комп’ютерних мереж, а також методології забезпечення мережевої безпеки.
  • K0002: Знання процесів аналізу і зниження ризиків (наприклад, методів аналізу та зниження негативних наслідків від реалізації ризиків).
  • K0003: Знання законів, нормативних правових актів, політик і етичних норм, і як вони пов’язані з забезпеченням кібербезпеки і конфіденційності.
  • K0004: Знання принципів забезпеченням кібербезпеки і конфіденційності.
  • K0005: Знання кіберзагроз та вразливостей.
  • K0006: Знання конкретних функціональних наслідків в результаті помилок в системі безпеки.
  • K0072: Знання принципів і способів контролю ресурсів.
  • K0101: Знання корпоративних цілей і завдань, пов’язаних з використанням ІТ в організації.
  • K0127: Знання суті та функції релевантної інформаційної структури (наприклад, національної інформаційної інфраструктури).
  • K0146: Знання основних бізнес-процесів і основних напрямків діяльності організації.
  • K0147: Знання потенційних проблем безпеки, ризиків і вразливостей.
  • K0168: Знання діючих законів, законодавчих актів парламенту (наприклад, статті 10, 18, 32, 50 кодексу США), директив президента, постанов і розпоряджень органів виконавчої влади та/або кодексу і процедур адміністративного/кримінального права.
  • K0169: Знання політик, вимог і процедур забезпечення безпеки ІТ, що використовуються в системі постачання/закупівлі, а також аналізу і зниження ризиків системи постачання/закупівлі.
  • K0204: Знання способів оцінки системи навчання (правила, плани проведення перевірок, тестування, опитування).
  • K0215: Знання прийнятих в організації політик в сфері освіти.
  • K0233: Знання структури трудових ресурсів у сфері національної кібербезпеки, робочих ролей, а також завдань, знань, навичок та вмінь, які до них відносяться.
  • K0234: Знання всього спектру можливостей в кіберпросторі (наприклад, захист, атаки, використання вразливостей).
  • K0241: Знання прийнятих в організації політик, процесів і процедур кадрового забезпечення.
  • K0243: Знання політик, процесів і процедур навчання та освіти, прийнятих в організації
  • K0309: Знання перспективних технологій, які можуть бути використані в подальшому.
  • K0311: Знання галузевих показників, прийнятні для визначення тенденцій розвитку технологій.
  • K0313: Знання зовнішніх організацій і академічних установ, діяльність яких спрямована на дослідження кіберпростору (наприклад, з програмами з кібербезпеки/курсами, та науково-дослідні установи).
  • K0335: Знання сучасних і перспективних кібертехнологій.

Навички

  • S0108: Навичка розробки кваліфікаційних стандартів для трудових ресурсів і займаних посад.
  • S0128: Навичка використання ІТС, призначених для кадрового забезпечення та обслуговування кадрових органів.

Вміння

  • A0023: Вміння розробляти обґрунтовані і надійні оцінки.
  • A0028: Вміння оцінювати та прогнозувати потреби в трудових ресурсах, необхідні для досягнення цілей, що стоять перед організацією.
  • A0033: Вміння розробляти політики, плани і стратегії відповідно до законодавства, нормативних правових актів і стандартів з метою забезпечення кіберзаходів організації.
  • A0037: Вміння використовувати найкращі методики і практичний досвід, отримані в зовнішніх організаціях і освітніх установах, що мають відношення до вирішення проблем кібербезпеки.
  • A0042: Вміння розвивати можливості кар’єрного росту.
  • A0053: Вміння визначати достовірність даних про тенденції розвитку трудових ресурсів.

(OV-SPP-002)
Розробляє та супроводжує втілення планів, стратегії та політики в галузі кібербезпеки для підтримки та узгодження з організаційними ініціативами сфери кібербезпеки та законодавством.

Завдання

  • T0074: Розробляти політику, програми та керівні принципи для подальшого впровадження.
  • T0094: Встановлювати та підтримувати канали зв’язку з зацікавленими сторонами.
  • T0222: Розглядати існуючі та перспективні політики із зацікавленими сторонами.
  • T0226: Приймати участь у відомчих і міжвідомчих радах з питань політики.
  • T0341: Підтримувати адекватне фінансування освітніх ресурсів у кіберсфері, включаючи внутрішні та галузеві курси, оплату праці інструкторів та відповідну учбово-методичну документацію.
  • T0369: Забезпечувати відповідність політик і процедур кадрового забезпечення у кіберсфері законодавству і вимогам організації щодо рівних можливостей, різноманіття і неупередженого найму/практик влаштування на роботу.
  • T0384: Інформувати керівництво про політику і стратегії в кіберпросторі, а також забезпечувати відповідність озвучених принципів місії, концепції і цілям організації.
  • T0390: Аналізувати/оцінювати ефективність трудового складу сфери кібербезпеки з метою коригування професійних і/або кваліфікаційних стандартів.
  • T0408: Інтерпретувати і застосовувати діючі закони, статути та нормативні правові документи та інтегрувати їх в політику організації.
  • T0425: Аналізувати політику організації у сфері кібербезпеки.
  • T0429: Оцінювати потреби в політиці та співпрацювати з зацікавленими сторонами з метою розробки політик управління діяльністю в сфері кібербезпеки.
  • T0441: Визначати та інтегрувати поточні і майбутні середовища для здійснення основних напрямків діяльності.
  • T0445: Розробляти/інтегрувати кіберстратегію, яка містить задум, призначення і мету, узгоджені зі стратегічним планом організації.
  • T0472: Розробляти проект, ознайомлювати персонал і публікувати політики сфери кібербезпеки.
  • T0505: Контролювати неухильне виконання політик, принципів і методик, реалізованих в кіберпросторі, при плануванні та наданні послуг.
  • T0506: Шукати консенсус щодо змін політики, які надходять від зацікавлених сторін.
  • T0529: Надавати основні керівні вказівки керівництву, персоналу і користувачам.
  • T0533: Здійснювати аналіз, проводити або брати участь в аудиторських перевірках кіберпрограм і кіберпроектів.
  • T0537: Консультувати директора з інформаційних технологій щодо формування політик, які стосуються кіберпростору.

Знання

  • K0001: Знання концепцій і протоколів комп’ютерних мереж, а також методології забезпечення мережевої безпеки.
  • K0002: Знання процесів аналізу і зниження ризиків (наприклад, методів аналізу та зниження негативних наслідків від реалізації ризиків).
  • K0003: Знання законів, нормативних правових актів, політик і етичних норм, і як вони пов’язані з забезпеченням кібербезпеки і конфіденційності.
  • K0004: Знання принципів забезпеченням кібербезпеки і конфіденційності.
  • K0005: Знання кіберзагроз та вразливостей.
  • K0006: Знання конкретних функціональних наслідків в результаті помилок в системі безпеки.
  • K0070: Знання загроз і вразливостей безпеки систем і прикладних процесів (наприклад, перевищення допустимого завантаження буферної пам’яті, мобільний код, процедурна мова/мова структурованих запитів [PL/SQL] і вторгнення, уразливості типу «стан гонки», незахищений канал, повторна передача, повторно-орієнтовані атаки, шкідливий код).
  • K0127: Знання суті та функції релевантної інформаційної структури (наприклад, національної інформаційної інфраструктури).
  • K0146: Знання основних бізнес-процесів і основних напрямків діяльності організації.
  • K0168: Знання діючих законів, законодавчих актів парламенту (наприклад, статті 10, 18, 32, 50 кодексу США), директив президента, постанов і розпоряджень органів виконавчої влади та/або кодексу і процедур адміністративного/кримінального права.
  • K0234: Знання всього спектру можливостей в кіберпросторі (наприклад, захист, атаки, використання вразливостей).
  • K0248: Знання теорії стратегії і методик її реалізації.
  • K0309: Знання перспективних технологій, які можуть бути використані в подальшому.
  • K0311: Знання галузевих показників, прийнятні для визначення тенденцій розвитку технологій.
  • K0313: Знання зовнішніх організацій і академічних установ, діяльність яких спрямована на дослідження кіберпростору (наприклад, з програмами з кібербезпеки/курсами, та науково-дослідні установи).
  • K0335: Знання сучасних і перспективних кібертехнологій.
  • K0624: Знання ризиків безпеки додатків (рейтинг Відкритого проекту з безпеки прикладних програм Інтернету).

Навички

  • S0176: Навичка організації процесів планування, включаючи підготовку функціональних і спеціальних планів підтримки, підготовки і забезпечення ділового листування, а також процесів кадрового забезпечення.
  • S0250: Навичка складання планів та відповідної кореспонденції.

Вміння

  • A0003: Вміння визначати автентичність інформації про тенденції розвитку технологій.
  • A0033: Вміння розробляти політики, плани і стратегії відповідно до законодавства, нормативних правових актів і стандартів з метою забезпечення кіберзаходів організації.
  • A0037: Вміння використовувати найкращі методики і практичний досвід, отримані в зовнішніх організаціях і освітніх установах, що мають відношення до вирішення проблем кібербезпеки.