Стоит ли идти на информационную безопасность?

Кем вы сможете работать по окончании факультета информационной безопасности и где набрать опыт? Есть ли смысл учиться на безопасника, если вы живете в маленьком городе? Обо всем этом расскажет Сергей Кручинин — руководитель образовательных проектов GeekBrains. Этот человек руководит работой деканов всех 8 факультетов GeekUniversity и согласует учебные планы.

— Сергей, начнем с главного. Специалист по информационной безопасности — это широкое понятие. Чему конкретно вы учите?

— Прежде всего хочу сказать, что программа факультета разработана практикующими специалистами. Особая благодарность Никите Ступину — специалисту по информационной безопасности Mail.Ru и декану нашего факультета. Мы будем делиться со студентами лучшими практиками безопасности, которые уже используются в Mail.Ru Group.

Чтоб никто не запутался, надо понимать, что в сфере информационной безопасности (ИБ) есть «бумажная» и практическая работа. «Бумажные» специалисты следят, отвечает ли система безопасности — по документам — требованиям закона. На деле в ней может быть полно дыр, которые никто не ищет и не устраняет, но в документации — все по стандарту.

Мы делаем упор не на «бумажную», а на практическую безопасность веб-приложений, сетей, оборудования и данных. Наши студенты изучат методы и технологии взлома, инструменты хакеров, работу систем, которые предстоит защищать. Все эти знания необходимы для поиска и закрытия уязвимостей.

С «бумажной» стороной ИБ наши студенты тоже кратко познакомятся: научатся составлять регламенты и инструкции для сотрудников предприятия. Стандарты и документация ни в коем случае не бесполезны, но нельзя подменять ими реальную защиту.

— Почему в GeekUniversity выбрали именно такой путь?

— Практическая безопасность важнее. Сильному бизнесу интересен прежде всего результат. Я бы советовал начинать с практики еще и потому, что она скорее приведет вас в молодую и прогрессивную IT-команду.

На «бумажные» вакансии чаще идут люди 40–50 лет с особым типом мышления, вузовским образованием и опытом работы в госучреждениях. Они смотрят на вещи формально.

Во время аудита они задают вопросы типа «Есть ли у вас система обнаружения вторжений?». Или, чтобы что-то проверить, просят у клиента пароль от root-а.

Наш выпускник без пароля посмотрит на среднестатистической машине, что ему нужно, и сам поменяет пароль, если потребуется.

В GeekUnivestity мы готовим специалистов, которые будут востребованы в Mail.Ru Group и аналогичных компаниях — смогут участвовать в обеспечении безопасности крупного почтового сервиса, например.

— Кстати, специалистов по каким направлениям безопасности берут в компанию Mail.Ru Group?

— Среди приоритетов — продуктовая безопасность (Application Security), есть даже открытая вакансия. Специалисты в этой области умеют находить уязвимости веб-сервисов, нейтрализовывать инъекции SQL, OS Command injection и другое.

Также востребованы специалисты по инфраструктурной безопасности.

Их компетенции: защита на уровне сети (L3, L4, TCP/IP, фаерволы), безопасность операционных систем (контроль за обновлением пакетов и ядра), парольные политики, сканирование периметра — перечислять можно долго.

— Для тех, кто только знакомится с терминологией, — что такое инъекции в веб-сервисах?

— Это когда вместо ожидаемых приложением данных, таких как идентификатор сообщения, злоумышленник вбивает нужную ему команду, а скрипт ее выполняет. Мошенник получает доступ к конфиденциальным данным или даже к машине, на которой найдена уязвимость.

— Какие еще угрозы вы учите находить?

— Бинарные, криптографические. Видов уязвимостей много. Одной только веб-безопасности посвящены первые две четверти учебного года.

Это очень важное направление, потому что бизнес из оффлайна переходит в онлайн, а пользовательские данные идут в веб и в облака. Еще 10 лет назад такси заказывали только по телефону.

Теперь — в основном через сервисы типа Uber и Яндекс.Такси. И главный вопрос — насколько защищен веб-сервис, которому ты доверяешь свои данные.

Если разработчики сайта не позаботились о безопасности, более-менее продвинутый пользователь может прочитать чужие сообщения, посмотреть фотографии и так далее. Есть набор веб-уязвимостей, рассчитанных на беспечность программиста. Мы объясняем студентам, как злоумышленники находят и эксплуатируют такие уязвимости, к чему это может привести и как это предотвратить.

Знать такие вещи полезно и веб-разработчикам, и руководителям проектов, и всем, кто хочет защищать конфиденциальные данные посетителей своего сайта. Либо нужно привлекать специалиста-практика, который проведет аудит. Выявить угрозы — это меньше чем полдела. Нужно еще придумать, как их устранить, а потом проследить, чтобы защита работала.

Кроме веб-безопасности наши студенты подробно изучают сетевую безопасность. Эти направления частично связаны, потому что есть угрозы, которые затрагивают не только серверную, но и клиентскую часть сервиса.

Например, некоторые сайты, в том числе крупных организаций, не шифруют трафик. Это позволяет перенаправлять его на подставные машины и перехватывать все, что пользователи хотели отправить на сервер.

— А если человек живет в маленьком городе, где нет передовых IT-компаний? Вот он выучился на безопасника-практика. Кем ему работать?

— Стек технологий, который мы преподаем, завязан и на системное администрирование, и на другие смежные с ИБ области. Если человек старательно учится, у нас он станет специалистом широкого профиля. Сейчас объясню подробнее.

Хороший безопасник должен уметь админить. Если вы посмотрите на резюме специалистов по информационной безопасности, у многих в карьере был этап сисадминства.

Наши студенты плотно изучают Linux. Кто раньше не работал с этой операционной системой, прежде всего научится ставить ее на виртуальной машине. Дальше студенты осваивают работу в терминале, установку программного обеспечения и решение базовых задач.

Еще мы учим работе с сервисами: как поднять сервер Nginx или Apache, базу СУБД, настроить DNS-сервер BIND и почту. Нужно только помнить, что знания не приходят автоматически после оплаты обучения — придется прикладывать усилия.

— Строить и настраивать сети — тоже учите?

— Да. Сетевой инженер — еще одна профессия, с которой перекликается работа безопасника. Надо уметь как минимум настраивать сетевые фильтры, закрывать порты, отслеживать активные соединения.

При изучении компьютерных сетей студенты отработают практические навыки на тренажере Cisco Packet Tracer. Мы его выбрали ради наглядности, но умение работать с оборудованием Cisco — еще и бонус к резюме.

Краеугольная тема сетевой безопасности — TCP/IP. Это модель передачи данных по сети. С разными ее реализациями админы и безопасники работают постоянно. Мы рассказываем, что такое протоколы канального и сетевого уровня, как они работают, зачем нужен MAC-адрес. Мало кто в этом разбирается, хотя именно на канальном уровне выстроены многие типы атак.

Дальше мы объясняем, как устроен интернет, как работает провайдерская сеть и как настроить сеть предприятия — тоже на примере оборудования Cisco.

— Вернемся к ситуации «выпускник не хочет переезжать из маленького города». Где работать?

— Начнем с того, что везде есть провайдеры. Нашего выпускника они с удовольствием возьмут сетевым инженером. Причем это будет сетевой инженер с очень хорошим пониманием безопасности.

В карьерном плане у него будет преимущество перед людьми, которые раньше только прокладывали сети: обжимали витую пару и бегали с ней по чердакам. Нашему инженеру-безопаснику будет проще дорасти до руководителя.

У провайдеров есть сайты и какие-то сервисы — здесь тоже можно себя проявить.

Следующий момент — везде нужны сисадмины. Если в компании нет отдельного специалиста по информационной безопасности, его обязанности выполняет системный администратор. И снова — наш выпускник получает преимущество перед админами, которые изучали безопасность сами и поверхностно.

От себя лично добавлю, что если у вас есть возможность переехать в Москву или Санкт-Петербург и поработать в крупной местной или международной компании, оно того стоит. У нас есть студенты, которым это уже удалось.

— А как насчет работы с приложениями? Ведь безопасник должен еще и софт держать под контролем.

— Да, мы учим дизассемблированию и анализу приложений, чтобы студенты могли выявлять вредоносный код.

Нужно понимать, что злоумышленники и те, кто с ними борются, используют одни и те же инструменты. «Черные» (плохие) хакеры анализируют программное обеспечение и ищут уязвимости, которыми можно воспользоваться. «Белый» (этичный) хакер ищет ошибки, чтобы закрыть дыры в безопасности.

Мы учим исследовать код. Если программист был неосторожен, при определенных условиях программа может выдать конфиденциальные данные. Например, отправить пользователю кусок оперативной памяти, где хранятся пароли, закрытые ключи и другие интересные вещи.

Мы также учим программировать на языке Python. С ним удобно автоматизировать задачи или писать свои инструменты анализа данных. Эти навыки выводят безопасника на более высокий профессиональный уровень.

Еще у нас есть курс «Операционные системы». Он рассказывает об архитектуре ОС, о том, как отличаются угрозы безопасности в Linux, DOS, Windows, и другое.

Мы объясняем, что такое пространство ядра и пространство пользователя, как работает память, почему одно приложение в современных операционных системах не может изменить данные другого приложения. Чем процесс отличается от потока.

Ближе к концу курса — в четвертой четверти — студенты знакомятся с темой бинарных уязвимостей.

— Ты упомянул, что составлению регламентов и работе с документами студенты тоже учатся.

— Мы рассказываем о взаимодействии с силовыми и контролирующими структурами — ФСТЭК и ФСБ. Учим, когда и как применять предусмотренные законом РФ стандарты безопасности.

Есть и еще один важный момент. Мы учим основам социальной инженерии. Потому что злоумышленник никогда без нужды не идет сложным путем. Прежде чем что-то ломать, он пробует выманить пароль или другую нужную информацию у пользователя. Мы рассказываем, как учесть подобные схемы при составлении инструкций для сотрудников компании.

— То есть вы готовите «универсального солдата» безопасности?

— Мы готовим человека, который умеет взламывать и защищать. Необходимо понимать методы взлома, чтобы грамотно выстроить информационную систему.

Хороший безопасник обладает теми же навыками, что и злоумышленник. Но применяет их не в корыстных и/или преступных целях, а чтобы защитить систему и, в конечном итоге, — пользователей.

Взломать можно что угодно — это вопрос времени и ресурсов. Но обход хорошо выстроенной защиты может нападающего попросту разорить.

— Как расставлены приоритеты между изучаемыми направлениями?

— Главный упор на веб-безопасность. К ней примыкают сетевая инженерия и системное администрирование. По остальным направлением мы даем базовые знания, которые можно развивать в зависимости от интересов учащегося.

— Где студенту-безопаснику набирать практический опыт? Какие достижения он по итогам учебы сможет записать себе в резюме? И как прокачаться самому?

— Угрозы можно моделировать. Для этого есть специальные инструменты. Начинать лучше с простых вещей: берем и ставим на сайт «глючное веб-приложение» — bWAPP (buggy web application). Оно изначально создано небезопасным, чтобы на нем «этичные хакеры» тренировались находить и блокировать уязвимости.

Еще есть DVL — специальный Linux-дистрибутив с преднамеренными ошибками настройки.

Такие инструменты очень полезны, но они могут студентам быстро надоесть, поэтому мы заготовили более интересные испытания. Например, состязания типа Capture the flag.

Вы получаете доступ к удаленной машине, но заранее не знаете ее уязвимостей и должны их найти. Победы в таких конкурсах и соревнованиях на рынке ценятся — их можно смело записывать в резюме.

Взломать серьезный тренажер не легче, чем реальный сайт.

Также стоит участвовать в конкурсах типа Bug Bounty. Это когда организация предлагает вознаграждение тем, кто найдет уязвимости в продукте. Мы расскажем, как участвовать в подобных программах. Если у вас прокаченный аккаунт на hackerone, вам будут рады в крупных компаниях, в том числе зарубежных.

Еще наш студент может предлагать владельцам сайтов услуги аудита: находить и закрывать уязвимости. Главное — договориться с хозяином сайта заранее, потому что грань между «черным» и «белым» хакерством очень тонка и за непрошеную помощь можно попасть под статью.

— Есть ли смысл предлагать аудит безопасности тем, кто о ней не беспокоится? Бывает, уязвимость видна даже неспециалисту, но ее никто не устраняет…

— Пробовать стоит. Некоторым действительно бесполезно писать, но есть и те, кто не задумывался о проблеме.

Я одному владельцу сайта объяснил, что он использует HTTP, а пора бы уже на HTTPS перейти, потому что иначе пароли пользователей передаются по незащищенному каналу связи. И человек прислушался.

Если сайт приносит доход, владелец заинтересован в его развитии и, скорее всего, пойдет на диалог.

— Вот человек победил в конкурсе, провел кому-то аудит, но еще не работал в штате. При поиске работы это проблема?

— Нет. Наш выпускник целый год провел с GeekBrains и Mail.Ru Group. Он уже представляет себе работу безопасника в крупной компании, знает весь стек технологий и собрал стартовое портфолио. С точки зрения среднестатистического работодателя это немало.

— Будет чем блеснуть на собеседовании…

— Само собой. Не исключено, что выпускник будет разбираться в каких-то вопросах лучше будущего руководителя.

— Сергей, спасибо огромное! Теперь у меня целостная картина, чему и зачем учат на факультете информационной безопасности. Если у читателей остались вопросы — надеюсь, они их зададут в х. А мы с тобой еще найдем время так же подробно поговорить о другом факультете — искусственного интеллекта.

— О новом факультете и о направлении Data Science действительно многое можно рассказать. Так что до следующего раза.

Источник: https://geekbrains.ru/posts/geekteam_it_security

Профессия — специалист по информационной безопасности

• Кем стать?
• Где учиться?
• Как расти?
• Что пробовать?

ico 14.09.2017

Понятие «информационная безопасность» стало актуальным с развитием интернета. Виртуальный мир стал во многом похож на реальный: уже сейчас люди общаются в интернете, читают книги, смотрят фильмы, покупают товары и даже совершают преступления. А если есть киберпреступники, значит, должны быть и специалисты, которые занимаются безопасностью объектов в сети. Это специалисты по информационной безопасности.

Почему стоит уделять внимание защите информации?

Представьте, что хакер знает все данные кредитной карты. С помощью этой информации он сможет украсть деньги с карты, не отходя от своего домашнего компьютера. Теперь представьте, что хакеру удалось взломать систему безопасности целого банка. В этом случае размер кражи вырастает в сотни раз. Киберпреступники ради финансовой выгоды могут вывести из строя социальные сети, интернет-сервисы, автоматизированные системы в коммерческих и государственных структурах. Пользователи не смогут зайти на сайт, а владелец сайта будет нести финансовые и репутационные потери, пока сайт не заработает снова. Хакеры могут выкрасть ценную информацию: личные фотографии известного человека, засекреченные военные документы, чертежи от уникальных изобретений. Становится ясно, что ни одна организация или отдельный человек не защищены от кражи важной для них информации, поэтому IT-компании и крупные организации уделяют большое внимание ее защите.

Специалист по информационной или компьютерной безопасности – это сотрудник компании, который обеспечивает конфиденциальность данных компании и отдельных пользователей, занимается укреплением безопасности информационных систем, предотвращает утечки информации.

Чем специалист по информационной безопасности занимается на работе? ✎ Настраивает многоуровневую систему защиты информации (логины и пароли, идентификацию по номерам телефона, по отпечатку пальца, по сетчатке глаза и др.) ✎ Исследует составные части системы (сайта, сервиса, автоматизированной системы в компании) на наличие уязвимостей ✎ Устраняет выявленные поломки и уязвимости ✎ Устраняет последствия взломов, если они произошли ✎ Разрабатывает и внедряет новые регламенты по обеспечению защиты информации ✎ Проводит работу с пользователями системы, чтобы объяснить важность и виды защитных мер ✎ Ведет документацию ✎ Готовит отчеты по состоянию IT-систем ✎ Взаимодействует с партнерами и поставщиками оборудования в сфере обеспечения безопасности

Специалист по компьютерной безопасности работает в команде программистов, системных администраторов, тестировщиков и других IT-специалистов. По мнению самих безопасников, они охраняют тыл и прикрывают спины других отделов, которые занимаются развитием IT-инфраструктуры.

Какие универсальные компетенции нужны безопаснику в работе?

✔ Аналитический склад ума ✔ Умение видеть и решать проблему ✔ Терпеливость ✔ Стрессоустойчивость ✔ Умение работать под давлением ✔ Методичность ✔ Любознательность ✔ Постоянное саморазвитие ✔ Обучаемость ✔ Умение работать в команде ✔ Умение принимать решения ✔ Внимательность к деталям

Должность специалиста по информационной безопасности предполагает высокие риски и постоянный стресс. Они несут основную ответственность в случае нарушения системы безопасности.

Из-за того, что технологии взлома и методы работы злоумышленников постоянно меняются, специалисту по информационной безопасности приходится заниматься постоянным самообразованием, следить за новостями в своей области и за новинками в программных и аппаратных средствах защиты, читать техническую литературу на английском языке.

И хотя безопасники – это, в первую очередь, высококлассные технические специалисты, им необходимо развитие коммуникативных навыков. Им приходится много работать с другими сотрудниками организации, чтобы повышать корпоративную культуру в области защиты данных.

Средняя заработная плата

Должность специалиста по информационной безопасность оплачивается относительно высоко в связи с высоким уровнем ответственности:

✔ 50 000 – 150 000 в месяц

Где учиться

Чтобы стать специалистом по информационной безопасности, необходимо разбираться как в hard, так и в soft, то есть, уметь работать с комплектующими и с программами. Поэтому начинать свое образование следует еще в школе, тренируясь собирать и разбирать компьютер, устанавливать новые программы и работать паяльником.

Получить образование по направлению «Информационная безопасность» (10.00.00) можно как в колледжах, так и в вузах. Колледжи готовят специалистов по техническому обслуживанию систем безопасности. А в вузах — более квалифицированных инженеров, системных архитекторов, аналитиков информационной безопасности

• Вузы:
• Колледжи:
• Где работать
• ✔ В крупных организациях

• Академия Федеральной службы безопасности РФ (АФСБ) • Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) • Московский Авиационный Институт (МАИ) • Московский государственный лингвистический университет (МГЛУ) • Московский городской педагогический университет • Московский государственный технический университет им. Н.Э. Баумана (МГТУ) • Московский государственный технический университет гражданской авиации (МГТУ ГА) • Московский государственный университет геодезии и картографии (МИИГАиК) • Московский государственный университет путей сообщения (МИИТ) • Национальный исследовательский ядерный университет «МИФИ» (МИФИ) • Национальный исследовательский университет «МИЭТ» (МИЭТ) • Московский университет МВД РФ имени В. Я. Кикотя (МосУ МВД) • Московский политехнический университет (Московский государственный машиностроительный университет «МАМИ») • Московский государственный университет информационных технологий, радиотехники и электроники (МИРЭА) • Московский технический университет связи и информатики (МТУСИ) • Московский физико-технический институт (университет) (МФТИ) • Московский энергетический институт (технический университет) (МЭИ) • Российский государственный гуманитарный университет (РГСУ) • Российский экономический университет имени Г. В. Плеханова (РЭУ) • Технологический университет • Финансовый университет при Правительстве РФ • Западный комплекс непрерывного образования (бывший ПК № 42) • Колледж автоматизации и информационных технологий № 20 (КАИТ № 20) • Колледж градостроительства, транспорта и технологий № 41 (КГТТ № 41) • Колледж декоративно-прикладного искусства имени Карла Фаберже (КДПИ им. Карла Фаберже) • Колледж космического машиностроения и технологий ТУ (ККМТ ТУ) • Колледж Международного универститета природы, общества и человека «Дубна» (Колледж МУ ПОЧ «Дубна») • Колледж предпринимательства № 11 (КП № 11) • Колледж связи № 54 (КС № 54) • Колледж современных технологий имени Героя Советского Союза М. Ф. Панова (бывший Строительный техникум № 30) • Московский государственный образовательный комплекс (бывший МГТТиП) • Образовательный комплекс сферы услуг (ОКСУ) • Политехнический колледж № 8 имени дважды Героя Советского союза И. Ф. Павлова (ПК № 8) • Политехнический техникум № 2 (ПТ № 2) Специалист по информационной безопасности востребован: ✔ Банках ✔ IT-компаниях Например, Kaspersky Lab, Центробанк РФ, КРОК, ФСБ РФ Иногда для работы в сфере информационной безопасности требуется специальная форма допуска к государственной тайне, что накладывает определенные ограничение на сотрудника, в том числе невыезд за границу.

1. Востребованность
2. Ольга Биккулова, специалист ЦТР «Гуманитарные технологии»
3. Если вы хотите получать свежие статьи о профессиях, подпишитесь на нашу рассылку.
4. Вернуться к списку статей

Востребованность специалистов по информационной безопасности на рынке труда сегодня крайне высока. Это связано с тем, что почти каждая компания сталкивается проблемой компьютерных угроз.

Источник: https://proforientator.ru/publications/articles/professiya-spetsialist-po-informatsionnoy-bezopasnosti.html

Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?

  Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.   

Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).

Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.    Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать. Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:

Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности.

А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде.

Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.

  Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.  

Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки.

Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие.

В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.

 

Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.

Источник: https://habr.com/ru/company/moikrug/blog/464563/

Стоит ли идти учиться на информационную безопасность?

Был это год 2000, я был старшеклассником и ходил на подготовительные курсы в Московский авиационный институт. Хотел получить техническую специальность, желательно связанную с компьютерами. На мое счастье, моя приятель Леша, с которым мы ходили на подготовительные курсы – рассказал мне про специальность «Информационная безопасность», на 4 факультете.

— О, то, что нужно, — подумал я и подал документы туда. Специальность была новая и называлась «Комплексная защита объектов информатизации».  Можно сказать, что я безопасник первой волны. 🙂

О том, как и чему учился, сейчас рассказывать не буду. На это можно потратить не один час. А хотел я рассказать о том, чему там меня не научили. Не знаю как сейчас, а тогда, я – молодой специалист по информационной безопасности, не знал чем же мне заниматься?

Это сейчас более-менее понятно: есть персональные данные, все более-менее разобрались со средствами защиты информации и их применением. Из нас же готовили безопасников по защите государственной тайны с упором в ПЭМИН и криптографию. Один из наших краснодипломников писал проект по работе фаервола Check-Point. Куда уж дальше ехать?

1. Стать программистом, обладающим видением и навыками безопасного программирования. Сюда же относится разработка средств защиты информации, безопасное программирование, поиск бэкдоров в ПО и т.п.
2. Стать техническим специалистом по настройке средств защиты, включая пен-тесты, и прочие хаки.
3. Стать аналитиком и заниматься бумажками. Делать аудиты на соответствие стандартным и законам, проектировать системы защиты персональным данным, оценивать риски, писать приказы, политики и инструкции и т.п.

Зарплаты по данным пунктам уменьшаются от начала к концу, а карьерные перспективы — увеличиваются. Главное, это верить в себя и не отворачиваться от своей мечты, как эта девушка:

Училась на архитектора. Лучшие 6 лет в моей жизни. Учеба безумно нравилась, была отличницей, всё получалось, хотела пойти работать по профессии.

Но на последнем курсе меня знакомый поманил работать в дизайн-агентство. Мол, интереснее, зарплата больше, что ты будешь два года за копейки рабочку чертить. Я повелась, пошла туда работать дизайнером — и застряла.

Четвёртый год уже там работаю и понимаю, что упустила всё к чертям. Мои одногруппники, которые после универа работали за копейки помощниками архитекторов, сейчас сами уже архитекторы с опытом, нормальной зарплатой, делают классные штуки. А я… в 22 дизайнер, в 26 дизайнер и в 35 буду дизайнером.

В архитектуру возвращаться поздно, я уже все забыла, только если с нуля всё вспоминать и снова идти за копейки работать. Хожу на нелюбимую работу, делаю какую-то ерунду, работаю плохо, хожу в постоянной депрессии. Держит только зарплата: в среднем по городу выше, чем у многих.

Но свою истинную мечту я профукала окончательно.

Источник: http://ddudko.ru/1/

О работе специалиста по информационной безопасности

– Чем занимаются специалисты по информационной безопасности1?
– Прежде всего хочется сказать о довольно странном стереотипе: первая ассоциация со словами «информационная безопасность» — какие-то страшные хакеры, которые куда-то влезают или что-то ломают. Возможно, я сейчас кого-то разочарую, но подавляющее большинство инцидентов информационной безопасности — это потеря данных из-за отсутствия резервных копий. Да и все остальные, как правило, тоже связаны с самой обычной человеческой глупостью во всех ее проявлениях.

Работа специалиста по информационной безопасности состоит в попытках предугадать и по возможности предотвратить глупости, которые могут привести к разглашению, искажению или уничтожению информации.

Это цикличный процесс: разрабатывается методика, пишутся инструкции, все это начинает как-то работать, потом проводится аудит (проверка), насколько хорошо данная процедура отвечает предъявляемым требованиям, и по результатам вносятся изменения в методику.

Простейший пример: заказчику нужно понять, насколько надежно в его компании организовано хранение информации.

Кстати, внешний жесткий диск — это устройство, которое я рекомендую вообще всем. Комплект из диска и USB-«корыта» (USB-контейнер — прим. сайта) к нему можно купить за три-четыре тысячи рублей, а это вполне приемлемая сумма даже для домашнего пользователя.

– Специалист по информационной безопасности проделывает эту работу в одиночку?
– В небольших компаниях всеми вопросами, связанными с ИТ, обычно занимается один специалист, чья должность, как правило, называется «системный администратор».

В более крупных компаниях предусмотрены отдельные должности методистов и аудиторов информационной безопасности: методисты разрабатывают регламенты и следят за их внедрением, аудиторы проверяют их актуальность и соблюдение. Если эти специалисты хорошо сработались, они прекрасно дополняют друг друга.

– В каких отраслях могут работать специалисты по информационной безопасности?
– Практически везде. Да, в первую очередь вспоминаются банки, чуть менее очевидны силовые структуры, а, например, сфера медицины не так очевидна, хотя там хранится и обрабатывается информация о пациентах, и нельзя допускать ее потерю или утечку.

– Какое высшее образование нужно получить, чтобы стать специалистом по информационной безопасности?
– Когда я нанимаю сотрудников, то смотрю не столько на вуз, сколько на то, чему человек смог там научиться.

А когда у кандидата уже есть опыт работы хотя бы порядка трех-пяти лет, на диплом никто и смотреть не станет, зато подробно расспросят, над чем он работал, какие задачи возникали и как он их решал.Однако у большинства моих коллег либо физико-математическое, либо техническое образование.

При этом я встречал людей, которые учились по специальности «информационная безопасность», но, насколько я понял из их рассказов и видел на практике, эта специальность ближе к архивному делу и имеет не так много общего с современным понятием информационной безопасности.

Сам я учился на факультете вычислительной математики и кибернетики МГУ. Оказались ли полезными полученные знания? Определенно да. Хотя, например, программирование (которому, с моей точки зрения, хорошо не учат нигде) и криптографию (наука о защите информации посредством шифрования и цифровых подписей) я изучал самостоятельно.

– Как студенту или выпускнику найти работу в области информационной безопасности?
– Люди приходят по-разному.

Некоторые начинают карьеру со скандальных историй, когда, например, во времена студенческой молодости человек куда-то влез и что-то сломал.

Но вообще на перспективных студентов идет самая настоящая охота, когда работодатели чуть ли не соревнуются за право нанять молодого специалиста.

– Какой карьерный рост может быть у специалиста по информационной безопасности?
– Как и у большинства ИТ-специалистов: руководитель группы, отдела, более крупных структурных подразделений. Высшая точка — технический директор или IT директор.

– Сколько получает специалист по информационной безопасности?
– Хороший вопрос. Отвечу так: в Москве для хорошего специалиста 100 тысяч рублей в месяц — далеко не предел.

– Какие компетенции необходимы специалисту по информационной безопасности?
– Пожалуй, я могу выделить только одно качество, без которого не могу представить никого из своих коллег: любопытство. Именно им обусловлено желание что-то понять, изучить, попробовать на практике. Если для удовлетворения любопытства нужны какие-то дополнительные знания, это опять же мощнейший стимул их получить.

– От чего можно устать в вашей профессии?
– Больше всего раздражает основная причина возникновения инцидентов — пресловутая человеческая глупость во всех ее проявлениях.

Типичный пример: человек получает спам с предложением заработать много денег и переходит по ссылке, ни на секунду не задумавшись, почему отправители этого сообщения не воспользовались своим уникальным способом заработка сами.

А в результате на компьютере оказывается троян, считающий биткойны для злодеев — то есть деньги человек зарабатывает, но не для себя.

– Чем может заняться специалист по информационной безопасности, решивший попробовать себя в чем-то новом?
– Обычно такие люди уходят в разработку: становятся архитекторами (специалистами по созданию проекта программного обеспечения, которые определяют и детализируют внешние и внутренние свойства системы — прим. сайта) либо тестировщиками. По сути они продолжают делать то, что и делали раньше: отлавливают ошибки либо еще до написания программного кода, либо сразу после.

– Существует ли какая-либо возможность еще в школе получить опыт, который в будущем поможет стать специалистом по информационной безопасности?
– Разумеется. Например, можно попробовать убедить своих друзей регулярно делать резервные копии.

Вроде бы все понимают, что оборудование может выйти из строя, особенно такое сложное, как современный жесткий диск, но почему-то считают, что на их компьютерах нет ничего важного, вплоть до того момента, когда теряют, например, уникальные фотографии.

В общем, я не сомневаюсь, что впечатлений будет масса.

Еще один вариант — самостоятельно выяснить, какую информацию о пользователях собирают поисковые службы и т. н. «социальные сети», а также подумать, что из этого им знать совершенно не следует, и сделать так, чтобы больше не давать им такую информацию.

– Что вы могли бы посоветовать почитать и/или посмотреть тем, кто хочет больше узнать об информационной безопасности?
– Прежде всего — изучить программирование. Для этого рекомендую выпущенный в 2016 году учебник «Программирование. Введение в профессию» от Андрея Викторовича Столярова, который преподает на факультете вычислительной математики и кибернетики МГУ.

В настоящий момент выпущены два тома, которые доступны на сайте автора.Также могу порекомендовать книги Брюса Шнайера — американского криптографа, известного прежде всего как создатель нескольких хороших криптоалгоритмов.

«Прикладная криптография» не требует от читателя знаний за пределами школьной программы, а посвященная практическим аспектам «Секреты и ложь» ближе к публицистике, чем к научному труду.

Еще один автор, которого хотелось бы упомянуть — Мао Венбо, автор учебника «Современная криптография: теория и практика». Рекомендовать его школьникам я не готов, а вот студентам курса так третьего — очень даже.

К сожалению, хорошего русского перевода мне не попадалось, поэтому, думаю, есть смысл читать его в оригинале. Да, обойтись без знания английского не получится — это язык профессионального общения в среде ИТ в целом и ИБ (информационной безопасности — прим. сайта) в частности.

Ну и самое главное — использовать по назначению голову, то есть думать и сопоставлять информацию из разных источников, а не бездумно кидаться на какие-то методы и технологии просто потому, что они модные.

Впрочем, это справедливо не только для направления информационной безопасности, но и для всей индустрии ИТ в целом: нам здесь нужны люди, которые не просто что-то знают, а постоянно следят за состоянием дел в отрасли и актуализируют свои знания.

И, думаю, именно такая способность, такое умение постоянно учиться еще долго будут определяющими факторами.

Источник: https://intalent.pro/interview/o-rabote-specialista-po-informacionnoy-bezopasnosti.html

Почему не стоит учиться на специалиста по информационной безопасности?

В свете происходящих на Украине событий, хотелось бы написать о политической ситуации в стране, своих выводах и взглядах на происходящее, но профессиональный блог не лучшее для этого место. По этой причине оставим политические взгляды для личного общения и рассмотрим такую сферу деятельности как информационная безопасность.

Не так давно были замечены несколько статей о том, как важна безопасность для компаний, а  рынку не хватает специалистов по информационной безопасности и защите информации. Вот одна из таких статей.

Как специалиста данной сферы, меня заинтересовало действительно ли это так? По моему субъективному мнению, это имеет мало общего с реальностью. А реальность такова, что статистика по количеству соискателей на одну вакансию и уровню заработной платы за первый квартал 2013 года на Украине для специалистов по информационной безопасности совсем не радует.

Ссылка на отчет.

Как видно, специалисты по информационной безопасностиодна из самых низко оплачиваемых специализаций в ИТ. И я бы даже сказал, что эта информация не только не радует, но и даже угнетает.

Радует, только то, что аутсорсинг ИТ – это одна из не многих отраслей, которая все еще жива на Украине.

Совсем печально было бы пойти учиться, например, по призванию на учителя географии и получать 200 долларов.

Так почему же получается ситуация, когда с одной стороны много шума про взломы, необходимость защиты ресурсов компаний и недостаток специалистов, а с другой относительно низкие заработки и единичные вакансии?

Даже если каждая кафедра готовит по несколько групп в год, и не забыть про заочников, то это около 500 человек в год. Не так уж и много для страны с населением 45 млн. человек.

Когда я заканчивал КПИ в 2010 году, то по специальности «Защита информации в компьютерных системах и сетях» выпуск магистров стационара был около 15 человек. Совсем не много.

Если говорить о квалификации, то вот учебный план бакалавров по специальности «защита информации». В нем я не нашел некоторых дисциплин, которые учил, но тем не менее он дает представление о том, что учит студент данной специальности первые 4 года.

А магистры учатся 6 лет. В учебном плане присутствует большинство дисциплин, которые учат будущие программисты на факультете прикладной математики и тем более на факультете информатики и вычислительной техники в КПИ.

Так что, какой-то критичной разницы в программах и их сложности я не заметил.

Теперь давайте посмотрим, какое количество соискателей претендует на одну вакансию (по данным портала rabota.ua) среди специалистов по информационной безопасности эта цифра – 15. Больше только на должность CIO/CTO — 21. В то время как для программистов этот показатель доходит до 1.   

Понимаю, что выборка может не на 100% отражать действительность, но тем не менее она показывает, что отличие — на порядок.

Теперь давайте сравним зарплату специалиста информационной безопасности и программиста.

Опытный специалист по информационной безопасности получает 1000-1500 долларов. Опытный программист в 2-2,5 раза больше.

Руководитель информационной безопасности получает 1,5 – 3 тыс. долларов и практически никогда больше. Заработная плата тим. лидера программистов стартует с 2 500 и ставка может достигать 5, и даже 7 тыс. долларов. Не так давно знакомые искали даже линейного программиста с очень специфичными знаниями  на 7 000 долларов.  

Тем, для кого деньги не последний пункт в мотивационной программе, стоит задуматься на кого учиться… Но обязательно учесть, что рынок перегрет и продержится ли он с таким ростом еще 5 лет, пока Вы будете учиться сказать сложно. Но мы не о программистах, а о специалистах по информационной безопасности.

Спрос на специалистов и уровень их заработной платы диктуется интересом компаний к этим специалистам. А состояние компаний – состоянием того или иного сегмента рынка.

Очевидно, что самые большие службы безопасности в банках, страховых компаниях, холдингах и аудиторских компаниях. Но сейчас на Украине эти компании, мягко говоря, не в выигрышном положении. Но может возникнуть резонный вопрос – почему же заработная плата специалистов по безопасности не была огромной до 2008 года, когда банки были на коне?

Вторая причина – это сервисная ориентированность подразделений безопасности. Они попросту не зарабатывают компании деньги, а тратят их. И любой собственник не сильно жалует тех, кто деньги тратит.

В этом случае, что бы показать свою полезность, сотрудникам безопасности нужно или пугать ТОПов страшилками (это у нас риски), или раздувать инциденты безопасности, либо уповать на требования регуляторов, международные стандарты и стандарты материнских компаний, обязательные к выполнению.

А отсутствие жестких требований и стандартов по информационной безопасности, незначительная ценность информации и как следствие бессмысленность ее защиты, личные договоренности директоров с другими участниками рынка и отсутствие у компаний каких-то реально важных коммерческих тайн, дающих им конкурентное преимущество (за исключением черной бухгалтерии) для большинства компаний, позволяет либо переложить функции информационной безопасности на ИТ, либо взять одного специалиста по безопасности на которого и переложить на него все обязанности целиком.

Дополнительной «радостью» сотрудников информационной безопасности является подчинение физической безопасности в компании или ИТ подразделению.

Первый вариант наводит тоску и печаль, потому как в большинстве своем сотрудники физической безопасности это выходцы из силовых структур и очень плохо знакомы с информационными технологиями в принципе, не говоря о том, что бы понимать их архитектуру и применять их возможности.

А самым действенным методом считается «термо-ректальный криптоанализ» и другие приемы психо-физического воздействия. Хотя и нужно отметить, что среди них есть очень сильные психологи и переговорщики. Особенно, бывшие сотрудники «Альфы» и «ГРУ». Уровень подготовки высочайший.

Но, тем не менее, такие специалисты крайне редко бывают на переднем рубеже информационных технологий.

Второй вариант – это подчинение ИТ директору. Тут все несколько легче с одной стороны и сложнее с другой. Эти люди хорошо знакомы с ИТ технологиями и обладают знаниями о информационной безопасности.

Но их основная задача обеспечить работоспособность систем, а не их безопасность. И при выборе между безопасностью и скоростью внедрения приоритет, скорее всего, будет отдан скорости внедрения в ущерб безопасности.

Есть еще примеры подчинения безопасности аудиту, карточному бизнесу и пр. Но в целом более чем в 70% компаний, информационная безопасность не подчиняется на прямую главе правления или директору. Что в свою очередь ставит очень много дополнительных вопросов (если не палок в колеса) сотрудникам информационной безопасности.

Даже в тех случаях, когда подчинение у информационной безопасности на прямую руководителю компании, и он всячески выражает свою поддержку задачам безопасности, в первую очередь руководство в реальности будет опекать зарабатывающие бизнес процессы компании, и только вслед за этим поддерживающие. Я считаю, что это правильный подход (нет поступления денег в компанию – нет компании, тогда и безопасность станет не нужна). Но нужно иметь виду, что направление информационной безопасности будет во втором эшелоне по важности, а скорее всего еще дальше.

К этому стоит добавить необходимость сотрудников информационной безопасности заниматься задачами, которые могут противоречить принципам некоторых людей. Это анализ действий сотрудников, сбор информации, подготовка служебных записок, проведение расследований и пр.

•  Если рассматривать карьерные перспективы то тут тоже, все радужно до определенного уровня. После руководителя информационной безопасности вы можете стать:
• — Руководителем всей безопасности в компании.
• — Советником главы правления.
• Если сильно напрячься, то можно возглавить ИТ подразделение.

Стоит учесть, что для курирования всей безопасностью в приоритете сотрудники физической безопасности. Экономическая же безопасность, как правило, выделена отдельно. А претендентов на должность ИТ директора зачастую, в достаточном количестве и с более профильными знаниями.

1. К этому стоит добавить, что после 40 лет специалисты по информационной безопасности востребованы все меньше, так как требуется постоянно следить за технологиями, которые  изменяются.
2. В других странах СНГ ситуация примерно аналогична, только Москва обеспечивает больший уровень заработной платы.
3. Что же делать в данной ситуации?

Можно рассматривать вариант обучения данной специальности на Украине (желательно на бюджете, пока такая возможность есть), сдачу международных сертификатов и отъезд на работу в США, Австралию или Великобританию.

Тут появляется много вопросов с рабочей визой и поиском работы, но и уровень заработной платы совсем другой  – в среднем около 100 000 долларов в год. Это хорошая оплата даже относительно уровня жизни в этих странах.

Второй вариант – это становиться сильным технарем прикладного уровня и работать удаленно, тоже на западных заказчиков.

Кроме того, светлые головы с хорошим образованием в данной сфере и уклоном в технологии начинают быть востребованы на Украине международными компаниями, например, «Самсунг» перенесла много вопросов связанных с безопасностью в украинский офис. Но оплату, как вы понимаете, Самсунг, оставила не слишком отличными от средне украинских в области.

Третий вариант – это целенаправленно учиться и уходить на темную сторону силы. Теневой рынок взломов постоянно растет, появилось много электронных валют, многие банки выходят в онлайн. Но нужно понимать, что с ростом рынка растет и ответственность за преступления данного типа.

Ну и есть еще вариант сразу сделать выбор в пользу другой сферы. Где нет описанных выше вопросов, но скорее всего, есть другие…

Источник: https://bis-expert.ru/blog/5365/43561