и
Безопасность 12.08.2020

Профессия Специалист по информационной безопасности: где учиться, зарплата, плюсы и минусы

40 мин.
Содержание
  1. Кто такой специалист по ИБ сейчас
  2. Должностная инструкция специалиста по защите информации: шаблон, типовой образец, бланк, права и обязанности
  3. О документе
  4. Где используется
  5. Кто составляет
  6. Виды ДИ
  7. Цели должности
  8. Цели и задачи разработки
  9. Нормативные акты
  10. Положения должностной инструкции специалиста и инженера по защите информации
  11. Общие
  12. Навыки и требования к специалистам по информационной безопасности
  13. Требования к знаниям и навыкам
  14. Какими знаниями и навыками должен обладать специалист по кибербезопасности
  15. Взаимодействие
  16. Права и ответственность
  17. Ответственность
  18. (инженера по телекоммуникациям, администратора телекоммуникационного оборудования)
  19. Должностная инструкция техника по защите информации
  20. Должностные обязанности
  21. Создание и проверка систем защиты данных
  22. Формирование документации
  23. Консультирование сотрудников
  24. Cтатистика
  25. Вакансии
  26. Различные группы специалистов
  27. Начинающий специалист по информационной безопасности
  28. Младший специалист по информационной безопасности
  29. Старший специалист по информационной безопасности
  30. Зарплаты в области кибербезопасность
  31. Начинающий специалист по информационной безопасности
  32. Младший специалист по информационной безопасности
  33. Старший специалист по информационной безопасности
  34. Востребованность специалистов по защите информации
  35. Cтатистика
  36. Плюсы:
  37. Минусы:
  38. Как стать специалистом по защите информации
  39. Нужен ли технический бэкграунд
  40. Нужен ли английский язык
  41. Где учиться
  42. Национальный исследовательский ядерный университет «МИФИ»
  43. Национальный исследовательский университет «Высшая школа экономики»
  44. Московский физико-технический институт (национальный исследовательский университет)
  45. Московский государственный технический университет им. Н.Э. Баумана (национальный исследовательский университет)
  46. Московский государственный лингвистический университет
  47. Российский экономический университет имени Г.В. Плеханова
  48. Колледж информатики и программирования Финансового университета при Правительстве Российской Федерации
  49. Колледж автоматизации и информационных технологий № 20
  50. Колледж приборостроения и информационных технологий МИРЭА — Российского технологического университета
  51. Московский колледж бизнес-технологий
  52. Московский приборостроительный техникум Российского экономического университета имени Г.В. Плеханова
  53. Технологический колледж № 34
  54. Образовательный центр «Каменный город»
  55. Образовательный портал GeekBrains
  56. Институт развития бизнеса и права
  57. Академия АйТи
  58. Финансовый университет при Правительстве Российской Федерации
  59. Центр компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана
  60. Технологический университет
  61. Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
  62. А какие инструменты используют «безопасники»?
  63. Как строится карьера
  64. В каких областях можно работать
  65. Где работать в информационной безопасности

Кто такой специалист по ИБ сейчас

Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:

  • Пентестеры — так называемые «белые», или «этичные» хакеры. Они не взламывают ресурсы бизнеса незаконно. Вместо этого они работают на компании и ищут уязвимости, которые потом исправляют разработчики. Бывает, такие люди трудятся на окладе, или участвуют в программах Bug Bounty — когда бизнес просит проверить их защиту, обещая за найденные баги премию.
  • Специалисты по разработке — такие специалисты участвуют создании приложений и программ. Проще говоря, изучают архитектуру и готовый код и подсказывают, что здесь может быть ошибка или «форточка» для взлома. Банальный пример — оставить в форме ввода сайта возможность отправить SQL-инъекцию.
  • Специалисты по сетям — они ищут возможные потенциальные и известные уязвимости в аппаратных и сетевых комплексах. Проще говоря, знают, как с помощью Windows, Linux или других систем злоумышленник может попасть в ваш компьютер и установить нужное ПО. Могут как найти возможность взлома, так и создать систему, в которую будет сложно попасть.

Есть ещё один вариант деления специалистов:

  • Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
  • Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.

Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.

Специалист по информационной безопасности сейчас — этот тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.

Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.

Должностная инструкция специалиста по защите информации: шаблон, типовой образец, бланк, права и обязанности

Информация – одна из основных ценностей организации, требующая защиты и контроля ее использования.

Чем дальше идет развитие информационных технологий, тем больше информации переносится на электронные носители, а бумажные варианты хранения данных становятся все менее актуальны.

Создаваемые базы данных, программное обеспечение, документация предприятия должны быть надежно защищены как от несанкционированного использования, так и от распространения за пределы предприятия.

Для выполнения этой задачи организации принимают в штат специалистов, обладающих умениями обеспечивать такую защиту и создавать условия для использования информации работниками предприятия в рамках создаваемых правил.

О документе

Должность специалиста по защите информации в разных организациях понимается по-своему.

  • В одних компаниях в функции этих сотрудников включаются обязанности, связанные с защитой любых видов информации. Как правило, такие специалисты входят в структуру отделов экономической безопасности.
  • На других предприятиях специалист по защите информации работает исключительно с электронными информационными системами, и в этом случае такие работники чаще всего включаются в состав IT-департаментов и подчиняются начальникам IT-отделов или IT-директорам.

Где используется

Инструкция используется практически во всех процессах управления персоналом:

  • при найме новых сотрудников и определении требований к соискателям на должность;
  • для определения ключевых компетенций, которые должны быть оценены как на этапе отбора кандидатов, так и для текущей оценки персонала организации;
  • в ходе проведения адаптационных программ;
  • при разрешении трудовых конфликтов и разногласий, возникающих между работником и работодателем.

Кто составляет

Обязанности по составлению ДИ в разных компаниях возлагаются на разных сотрудников. Чаще всего разработка выполняется несколькими работниками.

В такую рабочую группу входит непосредственный руководитель специалиста по защите информации, гендиректор, его зам или советник, а также помощники, сотрудник отдела персонала или кадровой службы, юрисконсульт организации. Иногда участвует и бухгалтерия.

  • Работники отделов персонала отвечают за определение формы документа, применение требований профессионального стандарта при разработке ДИ, организацию процесса разработки.
  • Непосредственный руководитель определяет описание разделов, связанных с требованиями, предъявляемыми к работникам, состав должностных обязанностей.
  • Юрисконсульт проводит проверку документа на соответствие внутренним требованиям, отражение всех юридических аспектов функционирования должности в организации: порядок назначения на должность и увольнения, права и ответственность работника.

Окончательную версию, как правило, формируют специалисты отделов по управлению персоналом и организовывают процедуру согласования и утверждения документа директором предприятия.

Виды ДИ

Должностная инструкция может разрабатываться в форме типовой ДИ, распространяющейся на должности специалистов по защите информации, имеющихся в структуре организаций, входящих в группу компаний. Такая форма может быть использована только в том случае, если требования к должностям, функции, права и ответственность полностью идентичны в этих компаниях.

На сегодняшний момент в компаниях используются как стандартные ДИ, так и иные варианты документов,  позволяющие зафиксировать функции должности, обязанности сотрудника, его права и ответственность.

К числу таких форм может быть отнесено заключение договора, в котором в краткой форме излагаются обязанности сотрудника, а к договору создается отдельное приложение с развернутой информацией, необходимой для стандартизации требований к сотруднику.

Еще одна форма, используемая в организациях для стандартизации требований к сотрудникам, — профиль или стандарт должности.

Цели должности

Целью должности специалиста по защите информации является обеспечение защиты информации от внешних и внутренних угроз, применение современных средств защиты.

К основным задачам специалиста относятся:

  1. Определение рисков и угроз в области защиты информации.
  2. Разработка мер защиты.
  3. Внедрение систем защиты.
  4. Контроль состояния системы защиты информации и предотвращение нарушений в ее работе.
  5. Разработка регламентирующей документации в области защиты информации.

Цели и задачи разработки

Поскольку должностная инструкция не является документом, обязательным для разработки в организации, она может иметь такую форму, какая удобна работодателю. Но какой бы формат не был выбран, он должен решать основную  задачу – определить требования должности к сотруднику и сформировать конкретный перечень обязанностей, которые он будет выполнять на своем рабочем месте.

Нормативные акты

Разработка должностной инструкции данного специалиста может регулироваться не только внешними регламентами, определяющими требования для защиты информации на уровне всего государства.

  • С сентября 2016г. введен в действие профессиональный стандарт для должности «Специалист по защите информации  в автоматизированных системах», который может стать основной для разработки ДИ.
  • Основным внутренним документом, на основании которого может начинаться разработка инструкции, может стать концепция предприятия по безопасности, в которой отражаются все основные требования к защите информации организации.
  • Также для разработки могут использоваться внутренние регламенты по защите персональных данных работников, правила использования персоналом организации информационных средств и баз данных, регламенты по разграничению прав доступа и прочая внутренняя регламентирующая документация, в которой отражаются требования к защите информации предприятия.
  • Ценную информацию для разработки ДИ содержат формализованные бизнес-процессы по функциональным областям, в которых задействован специалист.

Положения должностной инструкции специалиста и инженера по защите информации

Положения должностной инструкции специалиста по защите информации должны содержать всю информацию о должности, включая ее место в общей структуре, требования должности к сотруднику, развернутую информацию об обязанностях, его права и ответственность за достижение требуемых результатов.

Общие

В общие положения вносится информация о названии должности. В соответствии с профессиональным стандартом для специалиста по защите информации предусмотрено две категории: I и II. Однако если предприятие в соответствии  с законодательством не обязано в обязательном порядке применять требования стандарта, то категории сотрудникам могут не присваиваться.

  • В данном разделе инструкции определяется подчиненность специалиста, описывается организационная структура подразделения.
  • Важной информацией, указываемой в этой части ДИ, являются требования к наличию образования, опыту работы и наличию стажа.
  • В соответствии с проф. стандартом,  работник должен иметь высшее образование и степень бакалавра в области информационной безопасности. Опыт работы не требуется, если сотрудник не выполняет ряд обязанностей, информацию о которых можно найти в тексте стандарта. Если же его функционал является достаточно широким, то может потребоваться опыт работы не менее одного года.
  • В части дополнительного образования стандарт рекомендует сотруднику прохождение курсов повышения квалификации в области информационной безопасности.
  • В части доступа сотрудника к работе с информацией, при необходимости и определенном профиле предприятия он должен обладать допуском к государственной тайне.

Обязательное выполнение этих требований необходимо в том случае, если организация обязана оценивать уровень квалификации своих сотрудников на соответствие проф. стандарту.

Должностная инструкция инженера по защите информации

Несмотря на высокую популярность профессии, обилие информационных ресурсов и материалов в открытом доступе рынок испытывает нехватку квалифицированных кадров, особенно связанных с практической информационной безопасностью. В данной статье будет раскрыта тема востребованности специалистов по информационной безопасности, специфика требований и навыков.

Требования к знаниям и навыкам

Специалист по защите информации должен иметь обширные знания:

  • требования государственной законодательной базы в области защиты информации;
  • правила построения систем защиты информации;
  • критерии, по которым оценивается уровень информационной защиты;
  • программно-аппаратные средства, обеспечивающие требуемый уровень защиты информации;
  • каналы «утечки» информации;
  • внутренние регламенты по своей функциональной области деятельности.

К наиболее востребованным навыкам специалиста относятся:

  • умение своевременно выявлять инциденты, связанные с нарушением защиты информации;
  • выбирать правильные способы реагирования на возникающие инциденты;
  • определять и классифицировать риски в области информационной защиты;
  • распределять права доступа пользователей и контролировать выполнение требований компании пользователями при работе с информацией;
  • проводить установку специализированного программного обеспечения;
  • выявлять уязвимые места в системе защиты информации и своевременно их устранять.

Какими знаниями и навыками должен обладать специалист по кибербезопасности

  1. Уметь программировать.
  2. Читать код, выявляя скрытые источники вторжения извне.
  3. Понимать устройство популярного компьютерного «железа».
  4. Обладать аналитическими навыками, заранее просчитывая последствия вносимых в код изменений.
  5. Оперативно оценивать угрозы и выявлять их источники.
  6. Уметь работать с большими объемами данных.
  7. Понимать принципы осуществления различных кибератак, и знать, как от них защищаться.
  8. Знать, как происходит веб-верстка.
  9. Быть знакомыми с базами данных, в частности, с SQL.

Как вы видите, знать нужно много. Но бояться этого не следует, т. к. достаточно пройти хорошие курсы, чтобы получить все необходимые основы и устроиться на интересную и престижную работу в сфере кибербезопасности.

Знания и навыки специалиста по кибербезопасности

Ну а там уже в процессе трудовой практики будут совершенствоваться профессиональные познания и начнет происходить рост от новичка до профессионала.  Карьера, исходя из получаемых навыков и знаний, станет развиваться примерно следующим образом.

Взаимодействие

Специалист по защите информации работает в любым сотрудником организации, использующим в своей работе программные средства и имеющим доступ к документации и информации предприятия.

Во взаимодействие могут быть включены задачи, которые работник решает ежедневно, общаясь с сотрудниками организации:

  • распределение прав доступа к информационным системам компании;
  • установка специализированного программного обеспечения на компьютеры пользователей;
  • выявление нарушений в работе с информацией, допускаемых сотрудниками организации;
  • расследование инцидентов;
  • внедрение правил работы с информацией, доведение до сотрудников требований регламентов по защите информации.

Права и ответственность

Специалист по защите информации отвечает за:

  • сохранность информации предприятия;
  • эффективность выстроенной защиты;
  • своевременное выявление нарушений в системе;
  • качественное устранение нарушений и разработку мер, предупреждающих повторение подобных нарушений.

Права, предоставляемые сотруднику, должны обеспечивать для него возможности:

  • взаимодействовать с любым сотрудником по рабочим вопросам и требовать от них соблюдения требований по информационной безопасности;
  • иметь доступ к первым лицам предприятия и информировать их о выявленных нарушениях в работе систем защиты и невыполнении сотрудниками правил по защите информации;
  • инициировать внедрение новых систем защиты.

Ответственность

Инженер по защите информации несет ответственность:

4.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

4.2. За правонарушения, совершенные в процессе осуществления своей деятельности, – в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

4.3. За причинение материального ущерба – в пределах, определенных трудовым и гражданским законодательством Российской Федерации.

(инженера по телекоммуникациям, администратора телекоммуникационного оборудования)

(профессиональный стандарт “Специалист по защите информации в телекоммуникационных системах и сетях”)

1. Общие положения

1.1. Инженер по защите информации относится к категории специалистов.
1.2. На должность инженера по защите информации принимается лицо, имеющее высшее образование – бакалавриат в области информационной безопасности <2>.
1.3. К работе, указанной в п. 1.1 настоящей инструкции, допускается лицо, имеющее допуск к государственной тайне (при необходимости).
1.4. Инженер по защите информации должен знать:
1) методы контроля функционирования связи сетей электросвязи (СССЭ), их защищенности от несанкционированного доступа (НСД);
2) принципы построения современных сетей электросвязи, математические модели каналов связи, виды модуляции сигналов;
3) функциональное назначение и основные характеристики средств контроля функционирования СССЭ, их защищенности от НСД;
4) организацию и содержание мониторинга функционирования СССЭ, их защищенности от НСД;
5) возможные источники и технические каналы утечки информации;
6) нормативные правовые акты в области связи и защиты информации;
7) возможные угрозы НСД к сооружениям и СССЭ;
8) сетевые протоколы и их параметры настройки;
9) средства и способы обеспечения защиты от НСД к сооружениям и СССЭ, принципы построения средств и систем защиты сооружений и СССЭ от НСД;
10) особенности применения программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты СССЭ от НСД;
11) методы комплексного обеспечения защиты сетей электросвязи;
12) показатели эффективности применяемых программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты СССЭ от НСД;
13) нормативные правовые акты в области защиты информации ограниченного доступа;
14) национальные, межгосударственные и международные стандарты в области защиты информации;
15) руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
16) цели и задачи управления персоналом по обеспечению защиты сетей электросвязи от НСД;
17) методику выработки и реализации управленческого решения по обеспечению защиты сетей электросвязи от НСД;
18) руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
19) критерии комплексной оценки квалификации персонала, обслуживающего сооружения и СССЭ, средства и системы их защиты от НСД;
20) Правила внутреннего трудового распорядка;
21) требования охраны труда и правила пожарной безопасности;
22) ____________________________________.
(другие требования к необходимым знаниям)
1.5. Инженер по защите информации должен уметь:
1) использовать средства мониторинга работоспособности и эффективности применяемых программных, программно-аппаратных (в том числе криптографических) и технических средств защиты СССЭ от НСД;
2) проводить контроль функционирования СССЭ, их защищенности от НСД;
3) определять технические характеристики СССЭ, их защищенности от НСД;
4) оценивать помехоустойчивость и эффективность сетей электросвязи при передаче трафика, оптимизировать их параметры;
5) осуществлять проверки СССЭ, программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты СССЭ от НСД на соответствие заданным требованиям;
6) проводить документационное обеспечение функционирования СССЭ, их защищенности от НСД;
7) осуществлять организацию и проведение монтажа и настройки СССЭ, а также средств и систем защиты СССЭ от НСД;
8) осуществлять организацию бесперебойного функционирования СССЭ, а также средств и систем защиты СССЭ от НСД;
9) использовать встроенные механизмы защиты от НСД в составе СССЭ;
10) устанавливать и настраивать параметры сетевых протоколов, реализованных в телекоммуникационном оборудовании;
11) разрабатывать предложения по совершенствованию и повышению эффективности принимаемых технических мер и проводимых организационных мероприятий по защите СССЭ от НСД;
12) организовывать работы по выполнению требований режима защиты информации ограниченного доступа в сети электросвязи;
13) разрабатывать методические материалы и организационно-распорядительные документы по обеспечению защиты сооружений и СССЭ от НСД;
14) производить постановку задач персоналу по обеспечению защиты СССЭ от НСД и организовывать их выполнение;
15) организовывать контроль выполнения организационно-технических мероприятий по обеспечению защиты СССЭ от НСД;
16) организовывать перераспределение обязанностей и полномочий персонала, обслуживающего сооружения и СССЭ, средства и системы их защиты от НСД;
17) ____________________________________.
(другие навыки и умения)
1.6. Инженер по защите информации в своей деятельности руководствуется:
1) ____________________________________;
(наименование учредительного документа)
2) Положением о _______________________;
(наименование структурного подразделения)
3) настоящей должностной инструкцией;
4) ____________________________________.
(наименования локальных нормативных актов, регламентирующих трудовые функции по должности)
1.7. Инженер по защите информации подчиняется непосредственно
______________________________________.
(наименование должности руководителя)
1.8. __________________________________.
(другие общие положения)

2. Трудовые функции

2.1. Обеспечение защиты от НСД сооружений и СССЭ (за исключением сетей связи специального назначения) в процессе их эксплуатации:
1) мониторинг функционирования СССЭ, защищенности от НСД сооружений и СССЭ;
2) управление функционированием СССЭ, защищенностью от НСД сооружений и СССЭ;
3) управление персоналом, обслуживающим сооружения и СССЭ, а также программные, программно-аппаратные (в том числе криптографические) и технические средства и системы их защиты от НСД.
2.2. _____________________________.
(другие функции)

3. Должностные обязанности

3.1. Инженер по защите информации исполняет следующие обязанности:
3.1.1. В рамках трудовой функции, указанной в пп. 1 п. 2.1 настоящей должностной инструкции:
1) осуществляет использование средств анализа функциональности СССЭ, защищенности от НСД сооружений и СССЭ;
2) осуществляет контроль целостности сооружений и СССЭ, а также программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты СССЭ от НСД;
3) составляет отчеты по результатам проверок, в том числе выявляет инциденты, которые могут привести к сбоям или нарушению функционирования или возникновению угроз безопасности информации, циркулирующей в СССЭ.
3.1.2. В рамках трудовой функции, указанной в пп. 2 п. 2.1 настоящей должностной инструкции:
1) осуществляет определение необходимого состава, особенностей размещения и функциональных возможностей СССЭ, а также программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты СССЭ от НСД;
2) осуществляет организацию и проведение монтажа и настройки СССЭ, а также программных, программно-аппаратных (в том числе криптографических) и технических средств и систем защиты СССЭ от НСД;
3) осуществляет контроль соответствия параметров подсистем защиты СССЭ от НСД установленным требованиям, обеспечение своевременной корректировки настроек СССЭ, средств и систем их защиты от НСД в целях реагирования на выявленные нарушения;
4) выполняет установку и настройку программного обеспечения, необходимого для управления СССЭ и средствами их защиты от НСД;
5) осуществляет разработку и организацию выполнения мероприятий в соответствии с положениями политики информационной безопасности в сети электросвязи;
6) проводит отдельные мероприятия в рамках аттестации на предмет соответствия требованиям по защите сооружений и СССЭ от НСД.
3.1.3. В рамках трудовой функции, указанной в пп. 3 п. 2.1 настоящей должностной инструкции:
1) формирует цели, приоритеты, обязанности и полномочия персонала, обслуживающего сооружения и СССЭ, средства и системы их защиты от НСД;
2) распределяет обязанности и полномочия персонала, обслуживающего сооружения и СССЭ, средства и системы их защиты от НСД;
3) осуществляет проверку уровня квалификации персонала, обслуживающего сооружения и СССЭ, средства их защиты от НСД, в том числе при приеме на работу;
4) осуществляет контроль выполнения персоналом требований инструкций и регламентов по эксплуатации СССЭ, средств и систем защиты СССЭ от НСД;
5) разрабатывает предложения по профессиональному развитию персонала, обслуживающего сооружения и СССЭ, средства и системы их защиты от НСД.
3.1.4. В рамках выполнения своих трудовых функций исполняет поручения своего непосредственного руководителя.
3.1.5. ________________________________.
(другие обязанности)
3.2. __________________________________.
(другие положения о должностных обязанностях)

4. Права

4.1. Инженер по защите информации имеет право:
4.1.1. Участвовать в обсуждении проектов решений, в совещаниях по их подготовке и выполнению.
4.1.2. Запрашивать у непосредственного руководителя разъяснения и уточнения по данным поручениям, выданным заданиям.
4.1.3. Запрашивать по поручению непосредственного руководителя и получать от других работников организации необходимую информацию, документы, необходимые для исполнения поручения.
4.1.4. Знакомиться с проектами решений руководства, касающихся выполняемой им функции, с документами, определяющими его права и обязанности по занимаемой должности, критерии оценки качества исполнения своих трудовых функций.
4.1.5. Вносить на рассмотрение своего непосредственного руководителя предложения по организации труда в рамках своих трудовых функций.
4.1.6. Участвовать в обсуждении вопросов, касающихся исполняемых должностных обязанностей.
4.2. ___________________________.
(другие права)

5. Ответственность

5.1. Инженер по защите информации привлекается к ответственности:
– за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, – в порядке, установленном действующим трудовым законодательством Российской Федерации, законодательством о бухгалтерском учете;
– правонарушения и преступления, совершенные в процессе своей деятельности, – в порядке, установленном действующим административным, уголовным и гражданским законодательством Российской Федерации;
– причинение ущерба организации – в порядке, установленном действующим трудовым законодательством Российской Федерации.
5.2. _______________________________.
(другие положения об ответственности)

6. Заключительные положения

6.1. Настоящая должностная инструкция разработана на основе Профессионального стандарта “Специалист по защите информации в
телекоммуникационных системах и сетях”, утвержденного Приказом Министерства труда и социальной защиты Российской Федерации от 03.11.2016 N 608н, с учетом

_________________________________.
(реквизиты локальных нормативных актов организации)
6.2. Ознакомление работника с настоящей должностной инструкцией осуществляется при приеме на работу (до подписания трудового договора).
Факт ознакомления работника с настоящей должностной инструкцией подтверждается

________________________________.
(подписью в листе ознакомления, являющемся неотъемлемой частью настоящей инструкции (в журнале ознакомления
с должностными инструкциями); в экземпляре должностной инструкции, хранящемся у работодателя; иным способом)
6.3. ____________________________.
(другие заключительные положения)

——————————–
Информация для сведения:
<1> В соответствии с Профессиональным стандартом “Специалист по защите информации в телекоммуникационных системах и сетях”, утвержденным Приказом Министерства труда и социальной защиты Российской Федерации от 03.11.2016 N 608н, иное возможное наименование должности – “инженер по телекоммуникациям”, “администратор телекоммуникационного оборудования”.
<2> Рекомендуется дополнительное профессиональное образование – программы повышения квалификации в области информационной безопасности.

Должностная инструкция техника по защите информации

Должностная инструкция инженера по защите информации

1.1. Техник по защите информации относится к категории специалистов.

1.2. На должность:

– техника по защите информации назначается лицо, имеющее среднее профессиональное образование, без предъявления требований к стажу работы;

– техника по защите информации II категории – лицо, имеющее среднее профессиональное образование и стаж работы в должности техника по защите информации или других должностях, замещаемых специалистами со средним профессиональным образованием, не менее 2 лет;

– техника по защите информации I категории – лицо, имеющее среднее профессиональное образование и стаж работы в должности техника по защите информации II категории не менее 2 лет.

1.3. Назначение на должность техника по защите информации и освобождение от нее производится приказом руководителя предприятия по представлению начальника отдела по защите информации.

1.4. Техник по защите информации должен знать:

– руководящие, методические и нормативные материалы по вопросам, связанным с обеспечением защиты информации;

– специализацию деятельности предприятия, его подразделений и особенности их деятельности;

– методы и технические средства, используемые в целях обеспечения защиты информации;

– требования, предъявляемые к выполняемой работе;

– терминологию, применяемую в специальной литературе по профилю работы;

– принципы работы и правила эксплуатации технических средств получения, обработки, передачи, отображения и хранения информации, аппаратуры контроля, защиты и другого оборудования, используемого при проведении работ по защите информации, организацию их ремонтного обслуживания;

– методы измерений, контроля и технических расчетов;

– порядок оформления технической документации по защите информации;

– инструкции по соблюдению режима проведения специальных работ;

– отечественный и зарубежный опыт в области технической разведки и защиты информации;

– основы организации производства, труда и управления;

– правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.

– (Заполнить).

1.5. Техник по защите информации подчиняется непосредственно начальнику отдела по защите информации.

1.6. На время отсутствия техника по защите информации (отпуск, болезнь, командировка и пр.) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

1.7. (Заполнить).

Должностные обязанности

Техник по защите информации:

2.1. Участвует в работе по обеспечению информационной безопасности научных исследований и технических разработок.

2.2. Осуществляет проверку технического состояния, установку, наладку и регулировку аппаратуры и приборов, их профилактические осмотры и текущий ремонт.

2.3. Выполняет работы по эксплуатации средств защиты и контроля информации, следит за работой аппаратуры и другого оборудования.

2.4. Ведет учет работ и объектов, подлежащих защите, установленных технических средств, журналы нарушений их работы, справочники.

2.5. Готовит технические средства для проведения всех видов плановых и внеплановых проверок, аттестации оборудования, а также в случае необходимости к сдаче в ремонт.

2.6. Проводит наблюдения, выполняет работу по оформлению протоколов специальных измерений и другой технической документации, в том числе отчетной, связанной с эксплуатацией средств и контроля информации.

2.7. Выполняет необходимые расчеты, анализирует и обобщает результаты, составляет технические отчеты и оперативные сведения.

2.8. Определяет причины отказов в работе технических средств, готовит предложения по их устранению и предупреждению, обеспечению высокого качества и надежности используемого оборудования, повышению эффективности мероприятий по контролю и защите информации.

2.9. Участвует во внедрении разработанных технических решений и проектов, оказания технической помощи при изготовлении, монтаже, наладке, испытаниях и эксплуатации проектируемой аппаратуры.

2.10. Выполняет отдельные служебные поручения своего непосредственного руководителя.

2.11. (Заполнить).

Создание и проверка систем защиты данных

Специалист по информационной безопасности должен проводить сбор и анализ материалов организации для принятия мер по обеспечению информационной безопасности, а именно:

  • устанавливать и настраивать технические и программные средства защиты;
  • находить возможные каналы утечки сведений, представляющих государственную, военную, служебную или коммерческую тайну;
  • участвовать в разработке новых средств автоматизации контроля, схем аппаратуры контроля, моделей и систем защиты информации;
  • устанавливать, настраивать и обслуживать технические и программно-аппаратные средства защиты информации

Формирование документации

Разрабатывать и оформлять проектную и рабочую техническую документацию согласно стандартам — еще одна задача безопасника.

  • составлять правила, положения, инструкции и другие организационно-распорядительные документы для управления информационной безопасностью;
  • разрабатывать предложения по совершенствованию и повышению эффективности средств информационной безопасности.

Консультирование сотрудников

Специалист по информационной безопасности также должен проводить консультации с работниками компании, помогать им в решении возникающих проблем:

  • организовывать работу коллектива с учётом требований защиты информации;
  • обеспечивать правовую защиту информации;
  • обследовать объекты защиты, проводить их аттестацию.

Cтатистика

По статистике одного из HR-агенств, специалистам по информационной безопасности в конце 2015 г. предлагали в среднем на 21% больше, чем в январе 2015 г. Это указывает на то, что даже в условиях кризиса квалифицированные специалисты востребованы, более того, рынок ощущает их нехватку.

Действительно, тема информационной безопасности стала как никогда актуальной — это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.

Даже те компании, штат которых укомплектован специалистами по информационной безопасности, нуждаются в квалифицированной оценке зрелости защитных систем, безопасности периметра, веб-приложений и иных элементов инфраструктуры — показательно всё увеличивающееся количество инициаторов BugBounty программ, причём сумма выплат колеблется от $100 до $20000 за уязвимость.

Вакансии

Исходя из данных, представленных на сайтах по размещению вакансий средний уровень заработной платы специалистов по информационной безопасности с опытом 1-3 года находится на уровне 40.000-70.000 рублей.

Это относится к специалистам начальной группы (junior), с малым опытом работы, по профессиональным требованиям и обязанностям это хорошо видно (здесь и далее представлены «усреднённые» показатели): Обязанности:

  • Администрирование межсетевых экранов Cisco ASA и Kerio Connect;
  • Администрирования сервера антивирусной защиты, мониторинг состояния клиентов, удаление вирусов, тонкая настройка защиты;
  • Поиск уязвимостей с помощью специализированного ПО и их устранение;
  • Мониторинг выхода обновлений для ОС, ПО и сетевого оборудования;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Периодический анализ логов.

Требования:

  • Опыт администрирования ОС Windows от 1-го года;
  • Базовые знания ОС Linux от 1-го года, уверенная работа в командной строке;
  • Базовые знания работы сетей. IP адресация, статическая маршрутизация, модели ISO OSI, TCP;
  • Опыт администрирования Active Directory: настройка групповых политик(GPO), управление правами пользователями;
  • Опыт настройки систем защиты от НСД на базе Windows;
  • Опыт настройки антивирусных систем;
  • Опыт разработки сложных конфигураций межсетевого экрана IPTables;
  • Умение настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.

Как видно из описания это скорее системный администратор с уклоном в ИБ, нежели «чистый» безопасник. Какую-то определенную конкретику в навыках выделить сложно. Кто ищет кандидатов — компании любой направленности, выделить область сложно.
Специалисты с опытом 3-6 лет относятся уже к middle. Навыков и опыта требуется больше, но и уровень заработной платы гораздо выше. Эти специалисты, как правило, имеют хороший технический бэкграунд (системное администрирование, поиск узявимостей), хорошо знают приложения, техники и методологию. Этих специалистов условно можно разделить на два направления — нападение и защита. Универсалов на этом уровне (пентестер + специалист по обеспечению ИБ) — практически не бывает в природе (либо это уже уровень senior). Средняя вилка — 70.000-100.000 рублей.

Специалист по защите информации:

Обязанности:

  • Настройка и управление подсистемами безопасности;
  • Управление инцидентами безопасности;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Анализ логов-файлов и журналов событий;
  • Участие в сопровождении IT-инфраструктуры Заказчика: обеспечение информационной безопасности и защиты персональных данных;
  • Мониторинг и контроль функционирования средств обеспечения ИБ;
  • Поддержка работоспособности, администрирование и обеспечение бесперебойной работы специальных средств защиты информации;
  • Внесение изменений в настройки средств обеспечения безопасного межсетевого взаимодействия при обнаружении признаков атаки на ВС;
  • Контроль нештатной активности внутренних пользователей ВС;
  • Анализ инцидентов ИБ и их решение;
  • Проведение аудитов, подготовка организационно-распорядительной документации и отчетов по ИБ.

Требования:

  • Высшее образование (ИТ, информационная безопасность);
  • Знание принципов построения и функционирования сетей и протоколов стека TCP/IP;
  • Знание модели ISO/OSI;
  • Понимание принципов компьютерной и сетевой безопасности, безопасности web- приложений;
  • Знание принципов работы средств обеспечения безопасности (корпоративные антивирусы,WAF, системы обнаружения вторжений и т.д.);
  • Windows и Linux на уровне администратора;
  • Опыт автоматизации (bash, perl, python);
  • Опыт проведения анализа защищенности;
  • Профессиональные знания используемого в инфраструктуре работодателя профильного ПО (от корпоративных антивирусов до DLP/IDS/IPS/SIEM и т.д).

Пентестер: Обязанности:

  • Выполнение тестирования информационных сред и программных продуктов компании;
  • Тестирование информационных систем на отказоустойчивость;
  • Инструментальный анализ информационных систем;
  • Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
  • Тестирование на проникновение;
  • Анализ безопасности исходных кодов программных продуктов.

Требования

  • Опыт работы по выявлению уязвимостей систем;
  • Опыт работы с Burp Suite, Hydra;
  • Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
  • Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
  • Знание принципов построения и работы веб-приложений;
  • Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
  • Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
  • Опыт проведения тестирования на проникновение;
  • Опыт проведения аудита систем ИТ и ИБ.

В требованиях к таким специалистам больше конкретики, заточенной на область применения в той или иной сфере, включая методологии и тип используемого программного обеспечения. Таких специалистов ищут представители e-commerce, финансового сектора, интеграторы, крупные/распределенные ритейл-компании и т.д.
Cпециалисты с опытом работы от 5-6 лет — senior. Как правило это руководящая должность — начальник отдела анализа защищенности; начальник отдела управления информационной безопасности; аналитик; крупный сейл ИБ-вендора; узскопециализированный пентестер. Уровень заработной платы от 120.000 до 200.000 рублей. Людей из этой категории довольно мало, и, как правило, они «на слуху» в отрасли.

Это специалисты, хорошо разбирающиеся в предметной области, и, как правило, имеющие экспертную квалификацию в узкой специализации. Приветствуется опыт выступления на конференциях либо другая общественная активность — значит кандидат следит за трендами и получает своевременную оценку профессионального сообщества. Из требований здесь встречаются следующие:

  • Высшее ИБ/ИТ образование;
  • Наличие сертификатов;
  • Наличие публикаций и статей в предметной области;
  • Опыт публичных выступлений;
  • Знание основных методик, классификаций и международных практик (OSSTMM, OWASP, WASC, NIST SP800-115 и др.);
  • Навыки выявления угроз ИБ на основе сведений об уязвимостях (классификация угроз, формирование рекомендаций по устранению уязвимостей и минимизации бизнес-рисков);
  • Знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов РФ, регулирующих отношения, связанные с защитой информации ограниченного доступа (не относящейся к гостайне), руководящих документов ФСТЭК, ФСБ, в том числе по защите банковской тайны, АСУ ТП, коммерческой тайны, знание СТО БР ИББС, PCI DSS, ISO 27xxx;
  • Английский язык;
  • Наличие лидерских качеств, умение добиваться поставленных целей, инициативность, активность, навыки самоорганизации, ответственность;
  • Умение программировать на одном или нескольких скриптовых языках;
  • Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks и Cisco ASA. и т.д);
  • Экспертные знания в узкоспециализированных системах: (например SCADA/ERP/SS7/Hardware);
  • Опыт разработки собственных средств/утилит/методик;
  • Опыт разработки технической и аналитической документации;
  • Опыт проведения статистических исследований;
  • Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика;
  • Опыт участия в крупных проектах по анализу защищенности или аудиту информационной безопасности.

Требования представлены в усредненном варианте для вышеперечисленных специалистов. Профессиональные навыки соискателя, как правило, известны и таких людей «хантят» не под определенную задачу, а под целый этап или уровень жизнедеятельности компании. Такого рода специалисты востребованы в финансовой сфере, ИТ-интеграторах, ИБ-вендорах, крупных ИТ-компаниях.
Вершина пирамиды (lead) — специалисты с опытом от 10 лет. К этой категории относятся CTO, CISO, системный архитектор, team lead. Уровень зарплаты от 200.000. Как правило, это известные люди в отрасли информационной безопасности, с обширным опытом и связями. Требования/навыки: здесь обычно смотрят на выполненные проекты, направление деятельности. По навыкам могут запросить полный список с предыдущих позиций (а он обычно обширный к этому этапу), либо просто будет указан необходимый результат работы. В случае этих позиций смотрят уже не на знания, а на достижения.

Такие специалисты требуются крупным интеграторам, ИБ-вендорам, крупнейшим технологическим компаниям, финансовой сфере, в государственном секторе.

Различные группы специалистов

Разным профессиям свойственны свои должности. Этти должности отражают квалификацию и уровень опыта конкретного специалиста. Тем не менее, они также важны, когда речь идет о самом рабочем процессе. Позвольте привести пример.

Представьте, что вы являетесь работодателем небольшой начинающей компании. Вы встречаетесь с кандидатами, берете интервью и нанимаете двух человек, оба на должность дизайнера. Тем не менее, один из этих людей имеет десятилетний опыт работы дизайнером в разных компаниях, а другой только что окончил университет, и это для него первая работа. Не стоит говорить, что вы будете платить этим людям разные зарплаты, так, чтобы они соответствовали их опыту, но на этом различия не заканчиваются.

Два новых сотрудника, вероятно, будут выполнять разные задачи, которые подходят для их уровня квалификации и опыта. Кроме того, вы можете сосредоточиться на обучении новичка, и поручить более сложные задачи более опытному дизайнеру.

Новичок будет иметь должность «начинающий дизайнер», в то время как человек с десятилетним стажем работы будет называться «младшим дизайнером» или, возможно, даже «старшим». Как вы можете видеть, эти должности на самом деле имеют довольно существенное значение – это справедливо и для профессии специалист по информационной безопасности. И различия не ограничиваются только зарплатой!

При этом давайте кратко проанализируем три основные группы специалистов по кибербезопасности. Как только вы получите полное представление о том, чем эти три группы отличаются друг от друга (и какие разные обязанности они выполняют и требования к ним), мы сможем перейти к обсуждению зарплаты специалиста по кибербезопасности.

Начинающий специалист по информационной безопасности

Группа начинающих специалистов по кибербезопасности может рассматриваться как наиболее оптимистичная и замотивированная группа из всех трех. Это потому, что большинство людей, попадающих в эту категорию, еще очень молоды и не имеют реального опыта работы. Их мотивация может быть объяснена тем, что в данной области хорошие зарплаты или же заинтересованностью в самой сфере. Почти каждый день появляется множество новых людей, которые хотят работать в данной сфере.

Аналитики кибербезопасности начального уровня получают простые, основанные на обучении задания. Поскольку это абсолютное начало их карьеры, и они прекрасно понимают, что этим новичкам еще предстоит многому научиться. Вот почему некоторые компании даже предлагают программы обучения для новых сотрудников – это действительно хорошая возможность начать свой путь в этой карьере!

Если мы говорим о зарплате начинающего специалиста по кибербезопасности, не все так однозначно. С одной стороны, не важно, где работает начинающий специалист по информационной безопасности зарплата будет очень низкая по сравнению с другими группами, но с другой если удастся найти стабильную долгосрочную работу в компании, которая предоставляет обучение, есть вероятность того, что зарплату платить совсем не будут. Многим начинающим специалистам нужно отработать определенное количество часов в компании для получения университетских кредитов. Часто такие практики не оплачиваются, однако это зависит от компании и университета.

Младший специалист по информационной безопасности

Младший специалист по информационной безопасности будет олицетворять портрет среднего специалиста в этой области, и кого чаще всего люди имеют в виду, когда говорят про специалистов кибербезопасности. Этим людям чаще всего нужна стабильная работа, потому что они точно определились, что готовы посвятить определенный этап жизни этой профессии. Младшие аналитики, в отличие от начинающих аналитиков, чаще всего имеют некоторый опыт работы в этой области – они либо работали уже в компаниях, которые связаны с этой темой, либо участвовали в каких-либо проектах. Как бы то ни было, дело в том, что младшие аналитики обычно уже знают, что они делают.

С точки зрения выполняемой работы, то младшие специалисты выполняют обыкновенные задания, которые им поручают. Эти задачи, как правило, отличаются от того, что дают начинающим аналитикам, и тут больше простора для профессионального творчества. Более того, младшие специалисты по кибербезопасности требуют гораздо меньшего контроля по сравнению со своими менее опытными коллегами – у них больше возможностей принимать самостоятельно решения потенциальных проблем, а затем поэкспериментировать с их реализацией.

Младший специалист по информационной безопасности зарплата… – действительно сложный вопрос, на который однозначно не ответить. Это не уникальная особенность этой профессии – почти во всех сферах деятельности младшая группа специалистов труднее всего поддается анализу. Почему? Ответ – многочисленность.

Поскольку младшая группа находится посередине между начинающей и старшей, неизбежно возникает некоторая путаница относительно того, когда начинающий становится младшим или младший становится старшим. Это в основном из-за того, что нет четко определенных границ, разделяющих группы – все зависит от ситуации, компании и контекста.

И в этой связи зарплата специалиста по информационной безопасности в младшей группе очень сильно варьируется. Следует признать, что это верно для большинства зарплат (все они непостоянны, поэтому они очень подвержены изменениям), но это особенно заметно в младшей группе специалистов.

Старший специалист по информационной безопасности

Последняя группа это старшие специалисты, они не понаслышке знают, что такое информационная безопасность, и имеют большой опыт в данной области.

Старшие специалисты по информационной безопасности часто являются лидерами своих команд. Они осуществляют высококлассную поддержку сетей. Это означает, что они каждый день сталкиваются с задачами, которые довольно сложны и требуют управления целой командой профессионалов. Кроме того, в дополнение к ручному тестированию и решению проблем старшим информационным аналитикам часто поручается обучать новичков в компании. Однако это обычная практика – такие задачи ставятся старшим специалистам и в других профессиях.

Если мы говорим о зарплате старшего аналитика кибербезопасности или зарплаты старшего инженера кибербезопасности, стоит упомянуть, что эти работники получают самую большую сумму в этой отрасли. Это объясняется тем, что они очень хорошо решают проблемы компаний и взамен получают хорошие вознаграждения.

В настоящий момент у вас должно быть хорошее представление обо всех группах специалистов по кибербезопасности и о том, сколько они зарабатывают. Но знать, что зарплата в области кибербезопасность сильно варьируется, недостаточно, надо знать конкретные цифры. И цифры это именно то, что мы собираемся обсудить дальше.

Зарплаты в области кибербезопасность

Позвольте мне вкратце отметить, что представленные ниже оклады – это просто оценки, которые могут измениться в любой момент времени. Их следует использовать в качестве справочного, а не стопроцентного факта.

Начинающий специалист по информационной безопасности

Приступим к вопросу зарплат. Как я уже упоминал ранее, зарплата начинающего специалиста кибербезопасности зависит от нескольких различных переменных – эти переменные могут влиять на изменения цифры, поэтому имейте это в виду.

Очень трудно найти точное, конкретное число, на которое можно ссылаться, Businessinsider.com утверждает, что где бы ни начал работать специалист по информационной безопасности зарплата в среднем начинается с отметки в 80 000 долларов США в год. Это примерно $ 6660 долларов в месяц!

Честно говоря, это получается потрясающая зарплата! Эти оценки основаны на США, где средняя месячная зарплата составляет около 3700 долларов США (на момент написания этой статьи). Если учесть этот факт, зарплата начинающего специалиста кибербезопасности кажется еще более удивительной.

Младший специалист по информационной безопасности

Как я уже писал выше, зарплату данной группы специалистов очень тяжело оценить. Тем не менее, Ziprecruite.com предоставляет конкретную цифру, на которую вы могли бы ссылаться, когда говорите о младшей группе аналитиков.

По данным сайта, младшие специалисты по информационной безопасности должны зарабатывать около 84 600 долларов в год или 7050 долларов в месяц.

Имеет смысл развиваться в данной сфере, особенно если сравнивать этот оклад с уровнем начинающего.

Старший специалист по информационной безопасности

Согласно сайту ZipRecruiter, старший специалист по кибербезопасности может рассчитывать на 121 000 долларов США в год. Это 10,080 долларов США в месяц!

Это огромная разница в зарплате младшего специалиста! Зная это, можно предположить, что старший специалист имеет очень много областей ответственности и требований выше, чем требования младшего.

Востребованность специалистов по защите информации

На сегодняшний день должность специалиста по защите информации является одной из самых востребованных и, маловероятно, что это изменится в течение следующих двадцати или тридцати лет.

Пока существуют классические виды систем, хранящих информацию, нынешние специалисты по защите информации останутся востребованными даже у самых малых компаний, которые стремятся полностью минимизировать попытки взлома информации с ее последующим уводом.

Даже если сменятся системы, в которых хранится информация, специалист по защите информации все равно остается в современном мире востребованным специалистов по информационной безопасности. Так как, несмотря на быстрое развитие технологий, безопасность всегда будет пользоваться спросом.

Конечно, спустя десятилетия, знаний, которыми обладают нынешние специалисты по безопасности, будет недостаточно для ведения плодотворной деятельности выполнения первично ставящихся со стороны начальства задач, но, как и техника, люди развиваются, узнают что-то новое и получают совершенно другие знания.

Cтатистика

По статистике одного из HR-агенств, специалистам по информационной безопасности в конце 2015 г. предлагали в среднем на 21% больше, чем в январе 2015 г. Это указывает на то, что даже в условиях кризиса квалифицированные специалисты востребованы, более того, рынок ощущает их нехватку.
Действительно, тема информационной безопасности стала как никогда актуальной — это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.

Плюсы:

  • востребованность на рынке труда, так как сфера информационной безопасности стремительно развивается, а значит, спрос на специалистов в этой области будет постоянно расти;
  • высокая оплата труда;
  • возможность освоения самых передовых технологий защиты информации;
  • возможность посещать конференции и семинары;
  • общение с разнообразными специалистами, возможность завязать полезные связи.

Минусы:

  • высокая ответственность, так как приходится отвечать за сохранность всей информации компании;
  • возможны частые командировки.

Как стать специалистом по защите информации

Чтобы стать специалистом по защите информации, не обязательно обучаться в каком-либо учебном учреждении. Большинство из известных лиц, работающих в данной области, являются самоучками, которые благодаря своей усидчивости и желанию достигли больших высот и на сегодняшний день могут быть наняты ведущими мировыми корпорациями.

Чтобы получить знания по защите информации, достаточно иметь доступ в интернет и зарегистрироваться на профильных сайтах и форумах, которые нередко ведутся действующими специалистами по защите информации. И, самое главное, необходимо иметь соответствующее желание, которое не уйдет со временем.

Нужен ли технический бэкграунд

Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.

Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.

Нужен ли английский язык

На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.

Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.

Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.

Где учиться

Техническое образование, связанное с математикой, программированием, автоматизацией — обязательное условие. Второе — уверенный английский язык и знание технической терминологии.
Очень полезно посещать семинары и турниры, которые проводят крупные IT-компании. Они позволяют составить представление о том, что происходит в индустрии, и подчас позволяют получить хорошее предложение о работе.
В дополнение к учебе в российском вузе многие проходят дистанционные курсы по критпографии и другим дисциплинам в вузах США — сейчас их можно слушать бесплатно на таких ресурсах, как Coursera и Edx. Такие занятия также помогают подтянуть технический английский.
Впрочем, среди специалистов по безопасности бытует мнение, что технологии хакеров всегда на шаг впереди и постоянно совершенствуются, поэтому учиться надо всегда.

  • Вузы
  • Колледжи
  • Курсы

Прох.балл Бюдж.мест Стоимость Национальный исследовательский ядерный университет «МИФИ»

Национальный исследовательский ядерный университет «МИФИ»

Прох. баллот 96.3 Бюдж. мест 65 мест Стоимость 273 800 р./год 3 программы Национальный исследовательский университет «Высшая школа экономики»

Национальный исследовательский университет «Высшая школа экономики»

Прох. баллот 96.0 Бюдж. мест 85 мест Стоимость 440 000 р./год 2 программы Московский физико-технический институт (национальный исследовательский университет)

Московский физико-технический институт (национальный исследовательский университет)

Прох. балл 94.7 Бюдж. мест 10 мест Стоимость 270 000 р./год 1 программа Московский государственный технический университет им. Н.Э. Баумана (национальный исследовательский университет)

Московский государственный технический университет им. Н.Э. Баумана (национальный исследовательский университет)

Прох. баллот 89.7 Бюдж. мест 48 мест Стоимость 302 533 р./год 2 программы Московский государственный лингвистический университет

Московский государственный лингвистический университет

Прох. балл 88.3 Бюдж. мест 32 места Стоимостьот 170 000 р./год 1 программа Российский экономический университет имени Г.В. Плеханова

Российский экономический университет имени Г.В. Плеханова

Прох. балл 88.0 Бюдж. мест25 мест Стоимость 270 000 р./год 1 программа Все программы в Москве (24) в России (151) Бюдж.мест Срок Стоимость Колледж информатики и программирования Финансового университета при Правительстве Российской Федерации

Колледж информатики и программирования Финансового университета при Правительстве Российской Федерации

Бюдж. мест85 мест Прох. балл 4.4 Стоимость 120 000 р./год 1 программа Колледж автоматизации и информационных технологий № 20

Колледж автоматизации и информационных технологий № 20

Бюдж. мест75 мест Прох. балл 3.3 Стоимость 120 000 р./год 1 программа Колледж приборостроения и информационных технологий МИРЭА — Российского технологического университета

Колледж приборостроения и информационных технологий МИРЭА — Российского технологического университета

Бюдж. мест50 мест Прох. балл 4.9 Стоимость 120 000 р./год 1 программа Московский колледж бизнес-технологий

Московский колледж бизнес-технологий

Бюдж. мест50 мест Прох. баллот 3.4 Стоимость 130 000 р./год 1 программа Московский приборостроительный техникум Российского экономического университета имени Г.В. Плеханова

Московский приборостроительный техникум Российского экономического университета имени Г.В. Плеханова

Бюдж. мест45 мест Прох. балл 4.4 Стоимость 112 200 р./год 1 программа Технологический колледж № 34

Технологический колледж № 34

Бюдж. мест25 мест Прох. балл 3.9 Стоимость 130 000 р./год 1 программа Все программы в Москве (23) в России (88) Начало Срок Стоимость Образовательный центр «Каменный город»

Образовательный центр «Каменный город»

Начало 14 июля Продолж. 1 месяц Стоимость 4 500 р. 1 программа Образовательный портал GeekBrains

Образовательный портал GeekBrains

Начало 16 июля Продолж.от 6 месяцев Стоимостьот 78 000 р. 2 программы Институт развития бизнеса и права

Институт развития бизнеса и права

Началос 21 июля Продолж.от 1 дня Стоимостьот 15 500 р. 3 программы Академия АйТи

Академия АйТи

Началос 23 июля Продолж.от 2 дней Стоимостьот 490 р. 19 программ Центр компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана

Финансовый университет при Правительстве Российской Федерации

Прох. балл 86.0 Бюдж. мест50 местСтоимость 270 000 р./год 1 программа Все вузы в Москве (19) в России (109)

Центр компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана

Началос 27 июля Продолж.от 2 дней Стоимостьот 10 990 р. 7 программ Технологический университет

Технологический университет

Началов любое время Продолж. 16—72 часа Стоимостьот 5 000 р. 1 программа Все программы в Москве (28) в России (38)

Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?

Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.
 
Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.
 
В любом случае рекомендуется изучать международные практики, например,  с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов.

Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.
 
Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.
 
Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.

А какие инструменты используют «безопасники»?

 
Все зависит от того, в каком именно направлении занят специалист, а также от места его работы — коммерческая это организация или государственная. Если говорить о России, то специалистам по информационной безопасности часто приходится работать с сертифицированными ФСТЭК ФСБ инструменты — просто потому, что государственные организации обязаны использовать лишь сертифицированные ПО и железо. Это могут быть отечественные антивирусы, межсетевые экраны, разного рода аппаратное обеспечение.
 
Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.
 
Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.

 
Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:

  • поиск уязвимостей на клиентской части веб-приложений, эксплуатация клиентских уязвимостей, способы защиты;
  • Навыки поиска server-side-уязвимостей, понимание особенностей Bug Bounty;
  • Навыки взлома беспроводных сетей, устройство сетей и способы обеспечения безопасности в них;
  • Навык реверса приложений, поиска и эксплуатации бинарных уязвимостей. Основы криптографических протоколов.

Кстати, в 2016 году на «Хабре» публиковался усредненный список обязанностей и требований пентестеров.
 
Обязанности:

  • Выполнение тестирования информационных сред и программных продуктов компании;
  • Тестирование информационных систем на отказоустойчивость;
  • Инструментальный анализ информационных систем;
  • Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
  • Тестирование на проникновение;
  • Анализ безопасности исходных кодов программных продуктов.

Требования:

  • Опыт работы по выявлению уязвимостей систем;
  • Опыт работы с Burp Suite, Hydra;
  • Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
  • Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
  • Знание принципов построения и работы веб-приложений;
  • Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
  • Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
  • Опыт проведения тестирования на проникновение;
  • Опыт проведения аудита систем ИТ и ИБ.

Как видим, список довольно обширен, и он может быть гораздо большим. Но пугаться не стоит — как правило, потенциальный работодатель стремиться покрыть как максимальный «объём» рынка труда, перед ним не стоит задача «отшить» всех потенциальных кандидатов еще на стадии ознакомления с вакансией. Получить представление о том, что нужно работодателю, можно, ознакомившись с 3-5 реальными вакансиями.
Вот несколько примеров — реальные вакансии на сервисе «Мой круг». 
image

Как строится карьера

На позицию специалиста по ИБ «с нуля» не берут. Сама по себе эта должность — уже карьерный рост для IT-специалиста. Следующим уровнем может быть должность главного специалиста по информационной безопасности, архитектора программного обеспечения либо консультанта.

Интересно!

В России среди претендентов на роль специалиста по информационной безопасности 60% составляют соискатели моложе 30 лет. Большинство из них (87%) — мужчины.

В каких областях можно работать

  • Техник по защите инфокоммуникационных систем
  • Специалист по защите данных
  • Специалист по компьютерной безопасности
  • IT Security Engineer

Где работать в информационной безопасности

Многие специалисты по ИБ начинали свою карьеру как системные администраторы. Эта должность помогает наработать базу, необходимую для работы в направлении информационной безопасности.

Специалисты по информационной безопасности требуются во многих организациях, начиная с банков, больниц и любых учреждений, использующих компьютерные сети (а сейчас это почти любая организация), до фирм, специализирующихся на разработке программного обеспечения.

Источники

  • https://habr.com/ru/company/netologyru/blog/504022/
  • https://zarplatado.ru/dolzhnostnaya-instrukciya-inzhenera-po-zashhite-informacii.html
  • https://checkroi.ru/blog/profession-information-security-cybersecurity-specialist/
  • https://katalog-rus.ru/2018/09/03/dolzhnostnaya-instrukciya-inzhenera-po-zashchite-informacii/
  • http://buduguru.org/profession/17
  • https://ru.bitdegree.org/rukovodstvo/specialist-po-informacionnoj-bezopasnosti/
  • https://glav-inform.ru/kto-takoj-spetsialist-po-zashhite-informatsii/
  • https://habr.com/ru/post/306336/
  • https://www.profguide.io/professions/specialist_in_information_security.html
  • https://netology.ru/blog/05-2020-specialist-ib
  • https://www.ucheba.ru/prof/4849
  • https://www.ucheba.ru/for-abiturients/speciality/55293
  • https://habr.com/ru/company/habr_career/blog/464563/
  • https://StudyInFocus.ru/zashhitnik-informatsii-professiya-spetsialist-po-informatsionnoj-bezopasnosti/
  • https://msk.propostuplenie.ru/profession/Spetsialist-po-informatsionnoy-bezopasnosti/
[свернуть]
Оцените статью
Понравилась статья?
Комментарии (0)
Комментариев нет, будьте первым кто его оставит

Комментарии закрыты.