Профессия специалист по информационной безопасности

Артём Орлов
Профессия специалист по информационной безопасности

Специалист по информационной безопасности (ИБ) строит и внедряет систему защиты в ИТ-инфраструктуру компании или организации, предотвращает и блокирует попытки проникнуть в нее извне. Профессия на стыке программирования, аналитики, администрирования систем и консалтинга. Кстати, недавно центр профориентации ПрофГид разработал точный тест на профориентацию, который сам расскажет, какие профессии вам подходят, даст заключение о вашем типе личности и интеллекте.

Рекомендуем вам пройти Гуманитарий ты или Технарь
Профессия подходит тем, кого интересует информатика (см. выбор профессии по интересу к школьным предметам).

Содержание

Краткое описание

Специалист по информационной безопасности обеспечивает неприкосновенность цифровых данных, предупреждает их потерю или утечку. Он внедряет и поддерживает средства защиты от несанкционированного доступа, настраивает сеть, предотвращает ошибки и возможные баги, разворачивает и запускает мониторинг подключений.

Есть два очень похожих профстандарта:

  • «Специалист по защите информации в автоматизированных системах»;
  • «Специалист по безопасности компьютерных систем и сетей».

Они регламентируют работу специалистов по защите информации в автоматизированных системах и компьютерных сетях соответственно. Даже в профстандартах трудно найти разницу в должностных обязанностях этих двух «безопасников»: судя по официальным документам, оба должны обеспечивать безопасность информации, просто один делает это в автоматизированных системах, второй – в компьютерных сетях и системах. Поскольку практически все компьютерные системы автоматизированные, а автоматизированные системы не работают без управления компьютерами, то на практике обязанности этих двух специалистов сложно разграничить.

Из-за размытых терминов получается путаница и в названиях должностей в вакансиях. Работодатели ищут: специалистов по ИБ, администраторов защиты информации, инженеров обеспечения безопасности компьютерных сетей, есть и другие варианты наименований. На деле оказывается, что им нужен один и тот же специалист – по информационной безопасности.

  • Хотите стать профориентологом всего за 2 месяца?
    Получите полезную профессию, помогающую людям. Курс Эльмиры Давыдовой.

Особенности профессии

Несмотря на все разночтения обязанностей и разнообразие названий должностей, специалист по информационной безопасности – это профи, который внедряет систему защиты в инфраструктуру компании, обеспечивает ее работоспособность и предотвращает попытки проникнуть в нее извне.

У специалистов по информационной безопасности могут быть узкие профили:

  • разработка – специалист по ИБ консультирует девелоперов программ и приложений: он изучает код и архитектуру и подсказывает, где есть уязвимости;
  • пентест (pentest) – специалистов по ИБ такого профиля называют пентестерами, этичными или белыми хакерами; они ищут уязвимости в ресурсах бизнеса, чтобы разработчики устранили их.
  • сети – в этом случае задача специалиста по информационной безопасности – найти уязвимости в сетевом или аппаратном комплексе, чтобы предупредить возможность взлома; «безопасник» сети может создать защищенную от проникновения систему, потому что знает, через какие лазейки в Linux, Windows и других ОС хакеры могут проникать в компьютер и устанавливать вредоносное ПО.

Другой вариант разделения профилей специалистов по ИБ:

  • взлом – это этичные хакеры, которые ищут «слабые места обороны» сетей и программ;
  • строительство – это созидатели, они создают и администрируют систему защиты информации.

Все эти деления условны. В маленькой студии, делающей мобильные приложения, специалист по информационной безопасности чаще всего курирует полный цикл разработки. В большой корпорации он может заниматься только Kubernetes. Обычно работодатели, если не указывают конкретных требований, подразумевают, что специалист по ИБ будет строить и поддерживать систему безопасности.      

Что делает специалист по ИБ

Должностные обязанности специалиста по информационной безопасности в целом сводятся к следующему:

  • аудит существующей системы;
  • настройка и администрирование инструментов защиты и мониторинга;
  • тестирование на уязвимость;
  • написание скриптов автоматизации;
  • обучение и консультации сотрудников компании;
  • составление нормативно-технической документации.

Большинство методов взлома и слабых мест давно известны и описаны в документации ПО. Поэтому основная часть рабочего времени специалиста по ИБ уходит на построение и поддержание защиты от уже хорошо изученных и разобранных по косточкам опасностей. Фактически нужно взять чек-лист, сверяясь с ним, внедрить систему безопасности, протестировать ее, найти баги, исправить их.  

Навыки и знания

Специалист по информационной безопасности должен уметь:

  • Проводить аудит системы на предмет уязвимостей.
  • Настраивать сеть и ее стек.
  • Создавать распределенные инфосистемы.
  • Строить системы ИБ.
  • Настраивать системы мониторинга и оповещения об опасностях.
  • Анализировать код.
  • Разбирать инциденты и принимать защитные меры.
  • Работать с операционными системами, базами данных.
  • Применять технологии и программы защиты от утечки разных видов данных.
  • Автоматизировать рутинные функции (тестирование, ответ на взлом и др.).

Знания:

  • Типы атак на информационные системы.
  • Криптографические и некриптографические методы шифрования.
  • Российское законодательство в сфере ИБ, зоны ответственности госструктур: ЦБ, ФСТЭК, ФСБ, Минобороны (для работы в РФ).
  • Международное законодательство.
  • Отраслевые стандарты ИБ: PCI-DSS, OWASP.
  • SQL.

Специалисту по информационной безопасности уровня middle понадобится знание нескольких языков программирования (JavaScript, C#, Python, C++, Java и др.).

Плюсы и минусы профессии

Плюсы:

  • востребованность на отечественном и международном рынке труда;
  • нет отраслевых ограничений: работать можно и на госслужбе, и на производстве, и в банковской сфере и т. д.;
  • технологии информационной безопасности стремительно развиваются, а значит, спрос на специалистов в этой области будет постоянно расти;
  • высокая оплата труда опытных специалистов;
  • возможность освоить самые передовые технологий и обеспечить собственную ИБ;
  • много разных специализаций – можно подобрать ту, что по душе.

Минусы:

  • высокая ответственность;
  • возможны частые командировки;
  • график может быть ненормированным: если ситуация требует немедленного вмешательства, то работать приходится глубокой ночью или ранним утром;
  • на работе надо постоянно сохранять высокий уровень концентрации внимания. 

Место работы

Специалист по информационной безопасности нужен там, где есть риски взлома ИТ-системы, а это очень большой круг работодателей: от небольших частных предприятий до госструктур, обеспечивающих нацбезопасность. Более конкретно:

  • госкорпорации;
  • министерства и ведомства;
  • спецслужбы;
  • банки;
  • бизнес разного масштаба;
  • облачные сервисы и др.

Словом, «безопасники» нужны в организациях различных форм собственности, имеющих компьютерные сети и нуждающихся в сохранении корпоративных сведений и важной коммерческой информации.

Специалист по ИБ может быть фрилансером и участвовать в программах Bug Bounty (Bug Bounty Program) – это когда сайты или производители ПО просят проверить их защиту, а за найденные уязвимости и баги выплачивают премии (от 50 до 30 000 долларов и больше в зависимости от критичности найденного бага). Актуальные предложения публикуются в интернете, например, здесь https://www.bugcrowd.com/bug-bounty-list/ или https://hackerone.com/bug-bounty-programs. На таких сайтах собирают предложения от бизнесов самого разного масштаба, есть заказы от Chrome OS, Android (программа Android Security Rewards), Amazon (VRP), Booking.com, Clubhouse, Dyson и др. У Google есть постоянно действующая программа поощрений охотников за багами: https://bughunters.google.com/.

Важные качества

Коммуникабельность и умение работать в команде. Создание и наладка систем защиты – это коллективная работа нескольких специалистов: руководителя компании-клиента, аналитика, проектировщиков систем, программистов. Ко всем нужно найти подход и суметь поставить задачу понятным для них языком.

Обучение на специалиста по информационной безопасности

Проще всего войти в профессию с опытом работы в ИТ (например, сисадмином или программистом). Сразу после школы можно выбрать соответствующие программы обучения в вузах, в них недостатка нет. Основные направления подготовки:

  • «Информационная безопасность» 10.03.01.
  • «Информационно-аналитические системы безопасности» 10.05.04.
  • «Информационная безопасность автоматизированных систем» 10.05.03.
  • «Компьютерная безопасность» 10.05.01.

Несколько примеров подходящих профилей:

  • Бакалавриат (4 года обучения):
    • «Безопасность автоматизированных систем в финансово-банковской сфере» (Финуниверситет);
    • «Безопасность компьютерных систем (инновационные технологии компьютерной безопасности)» (МИФИ);
    • «Информационно-аналитические системы финансового мониторинга» (РЭУ им. Плеханова, МИФИ, СибГУ им. Решетнева, УрГЭУ, КБГУ им. Бербекова, ЧГУ им. Ульянова, МГОТУ, ЮФУ – Таганрог);
  • специалитет (5 лет):
    • «Информационная безопасность объектов информатизации на базе компьютерных систем» (СФУ, МИИТ, ЛЭТИ, ПГНИУ, КемГУ, КубГТУ, РГРТУ);
    • «Информационно-аналитические системы безопасности» (УрФУ, ВГУ, ВлГУ);
    • «Информационная безопасность автоматизированных систем критически важных объектов» (МГТУ им. Баумана, РГУНГ им. Губкина, ЮУрГУ, НГТУ, ЧелГУ).

Вообще, можно выбирать любое направление, связанное с математикой, программированием, автоматизацией и безопасностью систем.

Для старта карьеры достаточно будет образования, полученного в колледже, тоже на специальности «Информационная безопасность» 10.02.00, есть разные профили:

  • «Обеспечение информационной безопасности телекоммуникационных систем» 10.02.04;
  • «Обеспечение информационной безопасности автоматизированных систем» 10.02.05;
  • «Организация и технология защиты информации» 10.02.01.

Еще один вариант обучения – онлайн-курсы.

Курсы


Вузы

Курсы по информационной безопасности

Оплата труда

Уровень оплаты труда определяется благосостоянием компании, перечнем должностных обязанностей, опытом работы, степенью развития профессиональных навыков.

Зарплата специалиста по информационной безопасности на декабрь 2024

Россия 50000—120000₽
Москва 50000—150000₽

Информации о зарплатах предоставлена порталом hh.ru.

Ступеньки карьеры и перспективы

Специалист по ИБ начинает работать стажером, дальше переходит на позицию джуниора, миддла, сеньора. Выше – должности начальника отдела или департамента информационной безопасности.

Начать карьеру могут IT-специалисты с неполным или законченным высшим или средним специальным образованием, опытом администрирования средств защиты информации и операционных систем Windows, Linux, Unix и др. Требования работодателей к профессиональным навыкам и умениям начинающих специалистов достаточно серьезные: даже претенденты на сравнительно невысокий доход должны знать законодательство РФ по информационной безопасности, принципы работы сетей и средства криптозащиты, современные программные и аппаратные средства защиты информации, а также технологии обеспечения информационной безопасности. Зарплата, на которую могут рассчитывать молодые специалисты в столице, от 40 тыс.руб.

Следующий уровень – специалист с высшим образованием в сфере информационных технологий или защиты информации, имеющий опыт работы в сфере обеспечения информационной безопасности не менее 2 лет. Помимо этого претенденты должны иметь опыт проведения аудита и оценки рисков системы информационной безопасности, навыки разработки нормативно-технической документации по информационной безопасности, знать международные стандарты защиты информации и владеть английским языком на уровне, достаточном для чтения технической литературы. Специалисты, соответствующие вышеуказанным требованиям, зарабатывают в Москве от 80 тыс. руб.

Примеры компаний с вакансиями специалиста по информационной безопасности

  • Директор Web-Проекта / Project Director
  • Специалист по тестированию (Чатботы)
  • DevOps-инженер (remote/удаленно)
  • IT-специалист
  • DevOps-инженер (remote/удаленно)
  • ИТ-директор

Материал может содержать рекламу. Информация о рекламодателе по ссылкам в статье.

3 комментария
Оценка:
  • Elena46
    Профессия классная!) Муж получил образование вообще не в этой отрасли, но чем старше становился, тем больше понимание приходило, что хочет переобучиться на специалиста по информационной безопасности))) Сейчас конечно деятельность он уже сменил и безмерно рад))))
    Ответить
    5
  • Александр Комаров
    и где же тут "высокая оплата труда" ? Цифры весьма весьма средненькие
    Ответить
    35
  • Андрей Кислов
    Анекдот про степени понравился)
    Ответить
    30