Главная » Лестницы

Карьерная лестница специалиста по информационной безопасности

Содержание
  1. Специалист по информационной безопасности. Что делает и сколько зарабатывает
  2. Кто такой специалист по ИБ сейчас
  3. Чем занимаются специалисты по информационной безопасности
  4. Как стать специалистом по ИБ
  5. Нужен ли технический бэкграунд
  6. Нужен ли английский язык
  7. Что нужно знать для старта работы
  8. Стек навыков
  9. Красноярского края
  10. Профессиограмма
  11. Специалист по защите информации

Специалист по информационной безопасности. Что делает и сколько зарабатывает

Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.

В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.

Разобрался, чем занимается специалист по ИБ, что должен знать и где может работать

Кто такой специалист по ИБ сейчас

Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.

Но есть и более узкие специальности уже внутри сферы:

  • Пентестеры — так называемые «белые», или «этичные» хакеры. Они не взламывают ресурсы бизнеса незаконно. Вместо этого они работают на компании и ищут уязвимости, которые потом исправляют разработчики. Бывает, такие люди трудятся на окладе, или участвуют в программах Bug Bounty — когда бизнес просит проверить их защиту, обещая за найденные баги премию.
  • Специалисты по разработке — такие специалисты участвуют в создании приложений и программ. Проще говоря, изучают архитектуру и готовый код и подсказывают, что здесь может быть ошибка или «форточка» для взлома. Банальный пример — оставить в форме ввода сайта возможность отправить SQL-инъекцию.
  • Специалисты по сетям — они ищут возможные потенциальные и известные уязвимости в аппаратных и сетевых комплексах. Проще говоря, знают, как с помощью Windows, Linux или других систем злоумышленник может попасть в ваш компьютер и установить нужное ПО. Могут как найти возможность взлома, так и создать систему, в которую будет сложно попасть.
Читайте также:  Grubban грюббан табурет лестница

Есть ещё один вариант деления специалистов:

  • Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
  • Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.

Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.

Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.

Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.

Чем занимаются специалисты по информационной безопасности

Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.

Вот типичные задачи специалиста по ИБ:

  • Изучить систему информационной безопасности в компании, разобраться, где есть явные уязвимости.
  • Посмотреть общую ситуацию, узнать, кто в принципе может заинтересоваться взломом компании.
  • Составить программу внедрения защиты. Решить, что исправлять сначала — например, настроить протоколы доступа, прописать скрипты защиты, настроить систему генерации паролей.
  • Разобраться с продуктом — найти уязвимости в коде, составить техническое задание на устранение.
  • Провести оценку системы защиты — провести согласованные атаки на сетевые ресурсы.
  • Проанализировать мониторинг — узнать, кто интересовался системой, какими способами, как часто.
  • Внедрить защиту для особо слабых узлов.

Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.

Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.

Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.

Как стать специалистом по ИБ

Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.

Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.

Нужен ли технический бэкграунд

Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.

Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.

Нужен ли английский язык

На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.

Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.

Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.

Что нужно знать для старта работы

Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:

  • Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.
  • Только сети — если посмотреть на структуру таких курсов, то окажется, что это учеба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
  • Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.

Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.

То есть и законам, и настройкам сети, и хакингу, и защите от взломов.

Стек навыков

Вот примерный список того, что нужно знать и уметь для старта:

  • Настроить сетевой стек.
  • Провести аудит системы, проанализировать, какое место уязвимое.
  • Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
  • Настроить систему мониторинга и систему предупреждения о проблемах.
  • Учитывать человеческий фактор в построении защиты.

Кроме этого, пригодится понимание криптографических и других методов защиты. Плюс разберитесь в нормативно-правовых актах в сфере ИБ, сфере ответственности государственных структур (ФСТЭК, ФСБ, Министерство Обороны, ЦБ).

Источник

Красноярского края

Профессиограмма

Специалист по защите информации

Презентация профессии
Данная профессия является сравнительно молодой и получившей широкое распространения в связи с внедрением компьютерных и сетевых технологий практически во все организациях – от небольших коммерческих фирм до органов госбезопасности.
Современные компании все чаще сталкиваются с необходимостью обеспечить конфиденциальность данных, предотвратить утечку или несанкционированный доступ к информации. Задача по обеспечению комплексной защиты информации ложится на плечи специалиста по информационной безопасности. Который должен провести аудит существующей системы безопасности, проанализировать информационные риски и в соответствии с этим разработать и внедрить мероприятия по обеспечению информационной безопасности компании, в частности, выбрать, установить и настроить технические средства защиты информации.
Процесс защиты информации сопровождается активным составлением нормативно-технической документации. В обязанности специалиста по защите информации также входит постоянный мониторинг системы информационной безопасности и поддержка технических средств ее защиты. Кроме того, сотруднику, ответственному за безопасность информации, приходится обучать других сотрудников соблюдению основ информационной безопасности. Конечно, список требований достаточно серьезен, однако очевидны и преимущества такой сложной профессии – высокая востребованность таких специалистов на рынке труда.
Преимущества профессии: интересная и высокооплачиваемая работа с современными компьютерными технологиями и техникой.
Ограничения профессии: большая нагрузка на зрение; необходимость постоянно заниматься самообразованием.

Тип и класс профессии
Профессия специалиста по защите информации относится типам «Человек – Знаковая система», «Человек – Техника» и, в какой-то степени, «Человек – Человек». Специалист должен уметь разработать и внедрить комплекс защитных систем для различных коммуникационных сетей и электронных баз данных предприятия. Он должен обладать навыками работы с техническими устройствами, применяемыми в сфере защиты информации. Также данный специалист занимается сопровождением программных комплексов безопасности в организации, поэтому от него требуется, в том числе, умение объяснять, оказывать помощь сотрудникам организации в освоении новых программ.
Профессия «специалист по защите информации» относится к классу эвристических, т.к. связана с анализом, исследованиями и испытаниями, контролем и планированием, конструированием и проектированием.

Содержание деятельности
Специалист по защите информации занимается разработкой охранных систем для различных коммуникационных сетей и электронных баз данных, тестирует и совершенствует собственные и посторонние разработки во избежание рисков утечки сведений, представляющих собой государственную или коммерческую тайны, конфиденциальную информацию.
Область профессиональной деятельности специалиста по защите информации включает: объекты информатизации, включая компьютерные, автоматизированные, телекоммуникационные, информационные и информационно-аналитические системы, информационные ресурсы и информационные технологии в условиях существования угроз в информационной сфере; технологии обеспечения информационной безопасности объектов различного уровня, которые связаны с информационными технологиями, используемыми на этих объектах; процессы управления информационной безопасностью защищаемых объектов.
Основные виды деятельности специалиста:
Аудит и мониторинг системы информационной безопасности компании;
Анализ информационных рисков;
Разработка и внедрение мероприятий по обеспечению информационной безопасности компании;
Осуществление выбора целесообразных оптимальных систем и методов защиты;
Установка, настройка и сопровождение технических средств защиты информации;
Оценка процента потенциальной опасности и вероятности произведения атак;
Разработка защитного программного обеспечения;
Ликвидация вредоносных программ и программ-шпионов;
Проведение процедур по восстановлению и исправлению работы поврежденных программ, файлов;
Анализ степени причиненных убытков;
Обучение и консультирование сотрудников по вопросам обеспечения информационной безопасности;
Составление нормативно-технической документации.

Требования к знаниям и умениям специалиста
Для успешного освоения профессии специалиста по защите информации необходимы базовые знания по математике, физике и информатике.

Квалифицированный специалист по защите информации должен знать:

  • методологические и технологические основы обеспечения информационной безопасности;
  • принципы, методы, системы и средства обеспечения информационной безопасности;
  • угрозы и методы нарушения информационной безопасности автоматизированных систем;
  • стандарты по оценке защищенных систем и их теоретические основы;
  • принципиальные отличия требований к системам обеспечения информационной безопасности в различных сферах деятельности;
  • методы и средства реализации защищенных систем;
  • методы и средства верификации и анализа надежности защищенных систем и систем защиты информации в автоматизированных системах;
  • методы проектирования защищенных систем и систем защиты;
  • системы шифрования с открытым ключом, криптографические стандарты;
  • программно-аппаратные методы и средства защиты программ и данных, методы применения программно-аппаратных средств при обеспечении информационной безопасности в операционных системах, СУБД, вычислительных сетях;
  • технические каналы утечки информации, их свойства, методы и средства защиты технических средств от утечки информации по этим каналам;
  • методы организации деятельности подразделений обеспечения информационной безопасности;
  • методы анализа и оценки риска, методы обеспечения физической безопасности, технологические меры поддержания безопасности;
  • основные мероприятия по обеспечению режима секретности;
  • основные правовые понятия, правовые акты РФ в области информационной безопасности;
  • правовые нормы и стандарты, касающиеся лицензирования и сертификации в области информационной безопасности.

Квалифицированный специалист по защите информации должен уметь:

  • применять системный подход к обеспечению информационной безопасности в различных сферах деятельности;
  • решать задачи периодичности и эквивалентности для линейных рекуррентных последовательностей и конечных автоматов;
  • применять аппарат производящих функций и рекуррентных последовательностей для решения перечислительных задач;
  • проводить анализ автоматизированных систем обеспечения информационной безопасности;
  • разрабатывать модели и политику безопасности, используя известные подходы, методы, средства и теоретические основы;
  • применять стандарты по оценке защищенных систем при анализе и проектировании систем защиты информации в автоматизированных системах;
  • реализовывать системы защиты информации в автоматизированных системах в соответствии со стандартами по оценке защищенных систем;
  • применять криптографические методы, необходимые для реализации систем защиты информации;
  • проводить дешифрование простейших шифров, строить математические модели шифров и открытых текстов;
  • практически решать задачи защиты программ и данных: определять и измерять параметры опасных сигналов для технических каналов утечки информации, определять эффективность защиты технических средств от утечки информации, организовывать и проводить мероприятия технического контроля в различных сферах деятельности;
  • применять основные организационные меры обеспечения информационной безопасности в конкретной сфере деятельности;
  • использовать правовые акты в области информационной безопасности в конкретной сфере деятельности.

Требования к индивидуальным особенностям специалиста
Для успешной деятельности в качестве специалиста по защите информации необходимо наличие базовых знаний по информатике, математике, иностранному язык, а также наличие следующих профессионально-важных качеств:

  • креативность, творческое мышление;
  • хорошо развитое внимание (такие его параметры как объем, распределение и концентрация);
  • хорошая память (в особенности словесно-логическая);
  • системность и гибкость мышления, аналитическое мышление;
  • нацеленность на результат;
  • высокая самомотивация на освоение новых знаний;
  • организованность;
  • высокая эмоциональная устойчивость;
  • коммуникабельность, умение работать в команде.

Условия труда
Сегодня сложились благоприятные условия для интенсивного развития и широкого внедрения информационных технологий. Спрос на специалистов по защите информации на рынке труда превышает предложение. Такие специалисты могут работать как самостоятельно, так и в коллективе. Представители данной профессии работают как в государственных, так и в коммерческих предприятиях и могут занимать следующие должности:

  • Администратор, руководитель отдела информационной безопасности;
  • Разработчик систем компьютерной безопасности;
  • Аналитик информационной безопасности;
  • Системный администратор.

Медицинские противопоказания
Медицинские ограничения для специалиста по защите информации:

  • заболевания опорно-двигательного аппарата (полиартрит, остеохондроз, радикулит и т.п.);
  • ограничения двигательных функций рук;
  • некорректируемые нарушения зрения и слуха;
  • серьезные заболевания сердечно-сосудистой системы
  • психические расстройства;
  • расстройства внимания.

Базовое образование
Профессия специалиста по защите информации подразумевает наличие высшего образования.

Пути получения профессии
Получить профессию можно в следующих образовательных организациях: ФГБОУ ВО «Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева», ФГАОУ ВО «Сибирский федеральный университет» (Институт космических и информационных технологий), ФГБОУ ВО «Красноярский государственный аграрный университет».

Области применения профессии
Область профессиональной деятельности специалиста по защите информации включает: сферы науки, техники и технологии, охватывающие совокупность проблем, связанных с обеспечением защищенности объектов информатизации в условиях существования угроз в информационной сфере.

Перспективы карьерного роста
В сфере IT позиция специалиста по защите информации относится к высшему уровню профессионального роста. На более высокой ступени карьерной лестницы могут стоять только начальники отделов или департаментов информационной безопасности.

Источник

Оцените статью
© 2024 Про мебель