Порівняльний аналіз стратегій побудови другого та третього рівня освітніх програм зі спеціальності 125 "Кібербезпека"

Порівняльний аналіз підходів до навчання другого та третього освітнього рівня

В залежності від освітнього рівня висуваються різні вимоги до широти дослідження. В табл. 6 представлені етапи формалізованого представлення дослідження, але не всі вони обов'язкові для різних рівнів.

Таблиця 6

Етапи представлення результатів звіту про наукове дослідження

Відмінності у навчальних програмах з ІБ для студентів та аспірантів:

1. Глибина та складність змісту. Навчальні програми аспірантури, як правило, заглиблюються в складні концепції, теорії та дослідження в галузі ІБ. Зміст може бути більш складним і охоплювати такі теми, як криптографія, розширена мережева безпека, архітектура безпеки та нові технології. Бакалаврські програми, з іншого боку, можуть надавати ширший вступ до принципів ІБ та фундаментальних знань.

2. Дослідницький фокус. Аспірантські програми часто роблять акцент на дослідженнях і заохочують студентів робити свій внесок у цю сферу за допомогою оригінальних дослідницьких проектів або дисертаційних робіт. Це передбачає розробку дослідницьких методологій, проведення поглибленого аналізу та внесок у розвиток знань у конкретних сферах ІБ. Бакалаврські програми можуть мати обмежені дослідницькі можливості або зосереджуватися більше на розвитку практичних навичок.

3. Практичні навички та досвід. Як бакалаврські, так і магістерські програми повинні включати практичні вправи та реальні сценарії для закріплення теоретичних концепцій. Однак, програми післядипломної освіти можуть приділяти більше уваги поглибленим технічним навичкам, таким як тестування на проникнення, реагування на інциденти та аналіз безпеки, щоб підготувати студентів до більш спеціалізованих ролей або кар'єри, орієнтованої на дослідницьку діяльність.

4. Широта знань. Бакалаврські програми часто охоплюють ширший спектр тем з ІБ, щоб забезпечити всебічне розуміння галузі. Сюди входять такі сфери, як мережева безпека, безпека додатків, управління безпекою, оцінка ризиків, а також правові та етичні міркування. Аспірантські програми можуть передбачати більшу спеціалізацію, що дозволяє студентам зосередитися на конкретних сферах, які їх цікавлять в ІБ.

5. Професійний розвиток та лідерство. Аспірантські програми можуть включати компоненти, які зосереджені на розвитку лідерських навичок, управлінських здібностей та розумінні прийняття стратегічних рішень в контексті ІБ. Це готує студентів до керівних посад або управлінських ролей в організаціях, де вони можуть відповідати за нагляд за програмами та ініціативами з ІБ.

6. Можливості співпраці та нетворкінгу. Аспірантські програми часто пропонують більше можливостей для співпраці з колегами, викладачами та професіоналами галузі. Ці програми сприяють проведенню нетворкінгових заходів, запрошених лекцій, конференцій та галузевих партнерств, що дозволяє студентам встановлювати цінні зв'язки та брати участь в обміні знаннями в рамках спільноти ІБ.

7. Передумови та вимоги до вступу. Програми післядипломної освіти, як правило, мають суворіші вимоги до вступників, включаючи ступінь бакалавра у спорідненій галузі, а іноді й відповідний досвід роботи. Бакалаврські програми, з іншого боку, розраховані на студентів з різним досвідом і можуть не мати спеціальних вимог, окрім загальних вимог до вступу.

Комплексне формування навичок у здобувачів вищої освіти

Успіх фахівця з ІБ може визначатися набором навичок, представленим в табл. 7.

Таблиця 7

Конкурентні засади для формування спеціаліста з кібербезпеки

Списки компетенцій навчальних програм мають відповідати представленому списку навичок.

Вимоги до освітнього стандарту для підготовки фахівців з кібербезпеки

За результатами розгляду та порівняння кращих існуючих практик та стандартів можна виділити вимоги до компетенцій фахівців другого освітнього рівня:

1. Розширені знання з ІБ. Всебічне розуміння фундаментальних понять та принципів кібербезпеки. Досвід роботи в різних сферах кібербезпеки, включаючи мережеву безпеку [32] - [34], безпеку додатків [35], безпеку даних, реагування на інциденти, управління ризиками та управління.

2. Технічні навички. Компетентність у впровадженні та управлінні засобами контролю безпеки, технологіями та інструментами, що використовуються в кібербезпеці. Досвід проведення оцінки вразливостей, тестування на проникнення [36] та аудиту безпеки [37]. Знання практик безпечного кодування, криптографії [38], безпечних мережевих архітектур [39] - [41] та методологій розробки безпечного програмного забезпечення [42]. Вміння налаштовувати та керувати інфраструктурою безпеки, наприклад, брандмауерами, системами виявлення та запобігання вторгненням, а також системами управління інформацією та подіями безпеки (SIEM).

3. Управління ризиками. Розуміння методологій оцінки ризиків та вміння виявляти та аналізувати ризики кібербезпеки. Знання систем управління ризиками та практик для розробки стратегій зменшення ризиків. Здатність оцінювати вплив ризиків кібербезпеки на цілі організації та розробляти плани протидії ризикам.

4. Реагування на інциденти та криміналістика. Володіння процедурами реагування на інциденти, включаючи виявлення та інформування про спроби соціального інжинірингу [43] - [45], локалізацію, розслідування та відновлення інцидентів. Знання принципів і методів цифрової криміналістики для збору та аналізу доказів. Здатність розробляти плани реагування на інциденти та координувати зусилля з реагування на інциденти.

5. Управління безпекою та комплаєнс. Ознайомлення з системами управління кібербезпекою та найкращими практиками. Розуміння правових, регуляторних та комплаєнс-вимог, що стосуються кібербезпеки, таких як GDPR, HIPAA та PCI DSS. Знання політик, стандартів і процедур безпеки та вміння розробляти і впроваджувати їх в організаціях.

6. Етична та професійна поведінка. Дотримання етичних стандартів та професійних кодексів поведінки у сфері кібербезпеки. Усвідомлення правових та етичних наслідків дій та рішень у сфері кібербезпеки. Здатність ефективно спілкуватися, співпрацювати та демонструвати професіоналізм у сфері кібербезпеки.

7. Дослідження та інновації. Здатність проводити дослідження в галузі кібербезпеки, сприяти поглибленню знань у цій сфері та застосовувати результати досліджень до реальних сценаріїв. Вміння оцінювати нові тенденції, технології та загрози у сфері кібербезпеки та адаптувати стратегії відповідно до них, наприклад, при роботі з кіберполігонами та іншими віртуальними ізольованими середовищами для дослідження реальних загроз [46].

8. Досвід. Практичне застосування навичок кібербезпеки через практичні проекти, стажування або досвід спільного навчання. Можливість працювати з професіоналами галузі, брати участь у змаганнях з кібербезпеки або вирішувати реальні проблеми кібербезпеки.

9. Безперервне навчання та професійний розвиток. Прихильність до безперервного навчання та постійного ознайомлення з останніми розробками, тенденціями та загрозами у сфері кібербезпеки. Можливості для професійного розвитку, такі як відвідування конференцій, семінарів та навчальних програм.

Слід зазначити, що для третього освітнього рівня даний перелік розширяється наукової складовою та публічним представлення кінцевих результатів дослідження. Всі перелічені вимоги мають бути побудовані в практичній площині, наприклад, за допомогою CDIO підходів [47] та гнучких методів навчання [48].

ВИСНОВКИ ТА ПЕРСПЕКТИВИ ПОДАЛЬШИХ ДОСЛІДЖЕНЬ

В статті проаналізований світовий ринок з надання освітніх послуг в сфері інформаційної безпеки та кібербезпеки. Видно, що одночасно відбуваються два процеси: перехід від практичних навичок до фундаментальних знань і навпаки. Найуспішнішими є ті заклади вищої освіти, які можуть комбінувати обидва підходи одночасно. Але для цього потрібно мати в своєму складі експериментальну базу, практичні навчальні лабораторії та штат викладачів і науковців. Таку задачу можуть виконувати лише великі установи.

Так як виклики в кібербезпеці постійно змінюються, то від закладів вищої освіти вимагається вдосконалювати свої програми щорічно. Одночасно з процесом оновлення підходів до викладання проходять процеси вдосконалення корпусі міжнародних та галузевих стандартів, а також різноманітних кращих практик та фреймворків. Швидка зміна вимагає не тільки від викладачів постійного вдосконалення, але і від практикуючих фахівців з кібербезпеки. Таким чином, процес постійного навчання має продовжуватися й після формального закінчення магістратури чи аспірантури.

В результаті даного дослідження видно, що лише комплексне формування навичок з інформаційної безпеки дозволяє якісно підготувати фахівців. На базі цього приведені вимоги до освітнього стандарту для підготовки спеціалістів та науковців.

Подальші дослідження спрямовані на формування стандарту вищої освіти зі спеціальності «Кібербезпека» для третього освітнього рівня.

ПОДЯКА

Автор даної публікації висловлює подяку Володимиру Леонідовичу Бурячку, завідувачу кафедри інформаційної та кібернетичної безпеки (Державний університет телекомунікацій та Київський університет імені Бориса Грінченка), який був безпосереднім керівником і впроваджувачем інноваційних методів в навчанні, а також активно надихав і залучав студентів до наукової роботи [49] - [51].

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1 Соколов, В. (2022). Підходи до формування наукового мислення у здобувачів вищої освіти з кібербезпеки. Кібербезпека: освіта, наука, техніка, 2(18), 124-137. https://doi.org/10.28925/2663- 4023.2022.18.124137

2 Бурячок, В., та ін. (2021). Міждисциплінарний підхід до формування навичок управління ризиками ІБ на засадах теорії прийняття рішень: Кібербезпека: освіта, наука, техніка, 3(11), 155-165. https://doi.org/10.28925/2663-4023.2021.11.155165

3 Шевченко, С., та ін. (2020). Проведення SWOT-аналізу оцінювання інформаційних ризиків як засіб формування практичних навичок студентів спеціальності 125 Кібербезпека. Кібербезпека: освіта, наука, техніка, 2(10), 158-168. https://doi.org/10.28925/2663-4023.2020.10.158168

4 Бурячок, В., та ін. (2020). Застосування середовища Ni Multisim при формуванні практичних навичок студентів спеціальності 125 «Кібербезпека». Кібербезпека: освіта, наука, техніка, 1(9), 159-169. https://doi.org/10.28925/2663-4023.2020.9.159169

5 Buriachok, V., et al. (2018). Training Model for Professionals in the Field of Information and Cyber Security in the Higher Educational Institutions of Ukraine. Information Technologies and Learning Tools, 67(5), 277-291. https://doi.org/10.33407/itlt.v67i5.2347

6 International Organization for Standardization (2020). ISO/IEC 19788-1:2011. Information Technology. Learning, Education and Training. Metadata for Learning Resources. Part 1: Framework. https://www.iso.org/standard/50772.html

7 National Institute of Standards and Technology (2023). Discussion Draft of the NIST Cybersecurity Framework 2.0 Core https://www.nist.gov/system/files/documents/2023/04/24/ NIST%20Cybersecurity%20Framework%202.0%20Core%20Discussion%20Draft%204- 2023%20final.pdf

8 Cybersecurity and Infrastructure Security Agency (2023). FY 2023. Inspector General Federal Information Security Modernization Act of 2014 (FISMA). Metrics Evaluator's Guide, ver. 3.0. https://www.cisa.gov/sites/default/files/2023-05/fy_2023_ig_fisma_metrics_ evaluation_guide.pdf

9 FedRAMP (2018). General Document Acceptance Criteria, ver. 2.1. https://www.fedramp.gov/assets/resources/documents/FedRAMP_General_Document_Acceptance_Criter ia.pdf

10 International Society of Automation (2020). ISA/IEC 62443. Series of Standards. https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards

11 PCI Security Standards Council (2022). PCI DSS, ver. 4.0. https://docs- prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf

12 Swift (2023). Customer Security Programme. https://www.swift.com/ru/node/ 300751

13 The European Parliament and of the Council (2018). Regulation (EU) 2016/679 of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation), Official Journal of the European Union, 1-88. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

14 U.S. Department of Health and Human Services Office for Civil Rights (2013). HIPAA Administrative Simplification. Regulation Text. 45 CFR Parts 160, 162, and 164.

https://www.hhs.gov/sites/default/files/hipaa-simplification-201303.pdf

15 Lepofsky, R. (2014). COBIT 5 for Information Security. In: The Manager's Guide to Web Application Security. Apress, Berkeley, CA. https://doi.org/10.1007/978-1-4842-0148-0_10

16 Association of International Certified Professional Accountants (2023). SOC for Cybersecurity. https ://www. aicpa-cima. com/topic/audit-assurance/audit-and-assurance-greater-than-soc-for- cybersecurity

17 Wollinger, G. R., Schulze, A. (2020). Handbuch Cybersecurity fur die offentliche Verwaltung. KSV Verwaltungspraxis. https://doi.org/10.5771/9783748912057

18 Common Criteria (2022). Common Methodology for Information Technology Security Evaluation. Evaluation Methodology, rev. 1. https://www.commoncriteriaportal.org/files/ccfiles/CEM2022R1.pdf

19 Center for Internet Security (2023). CIS Critical Security Controls, ver. 8. https ://www. cisecurity. org/controls/v8_pre

20 International Organization for Standardization (2022). ISO/IEC 27002:2022. Information Security, Cybersecurity and Privacy Protection. Information Security Controls. https ://www. iso.org/standard/75652.html

21 International Organization for Standardization (2012). ISO/IEC 19790:2012. Information Technology. Security Techniques. Security Requirements for cryptographic Modules. https://www.iso.org/standard/52906.html

22 International Organization for Standardization (2018). ISO/IEC 20000-1:2018. Information Technology. Service Management. Part 1: Service Management System Requirements. https://www.iso.org/standard/70636.html

23 International Organization for Standardization (2022). ISO/IEC 27001. Information Security Management Systems. https://www.iso.org/standard/27001

24 International Organization for Standardization (2022). ISO/IEC 27005:2022. Information Security, Cybersecurity and Privacy Protection. Guidance on Managing Information Security Risks. https ://www. iso.org/standard/80585.html

25 International Organization for Standardization (2019). ISO/IEC 27701:2019. Security Techniques. Extension to ISO/IEC 27001 and ISO/IEC 27002 for Privacy Information Management. Requirements and Guidelines. https://www.iso.org/standard/71670.html

26 International Organization for Standardization (2017). ISO/IEC 29151:2017. Information Technology. Security Techniques. Code of Practice for Personally Identifiable Information Protection. https ://www. iso.org/standard/62726.html

27 International Organization for Standardization (2017). ISO/IEC 38505-1:2017. Information Technology. Governance of IT. Governance of Data. Part 1: Application of ISO/IEC 38500 to the Governance of Data. https ://www. iso. org/standard/56639. html

28 Information Technology Laboratory (2023). Federal Information Processing Standards. https://csrc.nist.gov/publications/fips

29 Open Web Application Security Project (2023). OWASP Security Knowledge Framework. https://owasp.org/www-project-security-knowledge-framework/

30 Міністерство освіти і науки України (2021). Стандарт вищої освіти України. Другий (магістерський) рівень. 12 Інформаційні ...