Информационная безопасность (ИБ, англ. Information Security, сокр. InfoSec) – набор методов для защиты данных от несанкционированного доступа или изменений как при хранении, так и при передаче с одного компьютера на другой.
На практике внимание специалистов ИБ акцентируется на одном из компонентов безопасности данных: конфиденциальность, целостность и доступность. Так, при хранении медицинской информации мы сосредотачиваемся на конфиденциальности
. Для финансовых транзакций важнее всего
целостность
– ни один перевод денег не должен неправильно зачисляться или списываться. Чтобы гарантировать
доступность
информации в пресс-релизах, правительства обеспечивают минимальное время простоя своих веб-сайтов и систем.
Развитие технологий порождает проблемы безопасности. По оценкам Cybersecurity Ventures, к 2021 г. в отрасли ИБ будет открыто 3.5 млн вакансий, а глобальные расходы на цифровую безопасность превысят 1 трлн долл. По данным MIT Technology Review, из кандидатов, претендующих на соответствующие должности, менее четверти имеют нужную квалификацию.
Обязанности специалиста по ИБ могут различаться, но роль можно свести к простой формуле: защищать данные компании от взлома. Рассмотрим списки популярных специальностей в сфере ИБ.
Читайте также: Значение слова «кардиолог»
- Технические специальности ИБ
- Отчасти имеет смысл
- Менять пароль каждую неделю
- Не пользоваться облачными сервисами
- Менеджерские специальности ИБ
- С чего начать обучение информационной безопасности?
- Технический бэкграунд специалиста по информационной безопасности
- Навыки специалиста по кибербезопасности
- Нетехнический бэкграунд
- Книги
- Сертификаты
- Зарплата специалистов по кибербезопасности
Технические специальности ИБ
- Специалист по проникновению (пентестер)
отвечает за проверку приложений, систем и сетей на наличие уязвимостей. - Специалист по инфраструктурной безопасности
отвечает за анализ требований к безопасности систем организации, а также за установку и настройку решений безопасности в корпоративных сетях. - Инженер по безопасности приложений
обеспечивает безопасность на всех этапах жизненного цикла разработки программного обеспечения, включая этапы проектирования, кодирования и разработки, тестирования и развертывания. - Инженер по облачной безопасности
занимается вопросами безопасности цифровых облачных платформ. - Реверс-инженер
анализирует вредоносные программы, чтобы понять, как они работают, как их можно идентифицировать и устранить. - Направление комплаенс
(англ. compliance, досл. пер. согласие, соответствие) обеспечивает безопасность работы внутренних компьютерных систем, серверов и сетевых подключений. - DevSecOps
занимается интеграцией тестирования безопасности в конвейеры непрерывной интеграции и непрерывной доставки. - CISO (Chief Information Security Officer)
– руководитель, ответственный за безопасность информации и данных организации. - Аудитор ИБ
проводит проверку компьютерных систем, которые могут подвергаться атаке. - Специалист по форензике
(компьютерной криминалистике) собирает улики с компьютеров, сетей и других устройств хранения данных для расследования случаев цифровых преступлений. - Технический пресейл по ИБ
объединяет технические знания и навыки продаж, чтобы предоставлять консультации текущим и потенциальным клиентам. - Технический писатель по ИБ
сотрудничает с аналитиками реагирования на инциденты, с инженерами и специалистами по анализу угроз для документирования технической информации.
Отчасти имеет смысл
Менять пароль каждую неделю
На самом деле достаточно раз в месяц, при условии, что пароли длинные, сложные и отдельные для каждого сервиса. Лучше прислушиваться к советам банков, потому что они меняют требования к паролям по мере роста возможностей вычислительной техники. Сейчас слабый криптоалгоритм перебирается брутфорсом за месяц, отсюда и требование к частоте смены пароля.
Правда, оговорюсь. Парадоксально, но требование менять пароли раз в месяц содержит угрозу: человеческий мозг устроен так, что при необходимости постоянно удерживать в голове новые коды, начинает выкручиваться. Как выяснили киберэксперты, каждый новый пароль пользователя в этой ситуации становится слабее предыдущего.
Выход — использовать сложные пароли, менять их раз в месяц, но использовать для хранения специальное приложение. А вход в него тщательно защищать: в моём случае это шифр из 18 символов. Да, приложения грешат тем, что содержат уязвимости (см. пункт про приложения ниже). Приходится выбирать лучшее и следить за новостями о его надёжности. Более безопасного способа удержать в голове десятки надёжных паролей я пока не вижу.
Не пользоваться облачными сервисами
История с индексацией Google Docs в поиске «Яндекса» показала, насколько пользователи заблуждаются относительно надёжности такого способа хранения информации. Для совместного доступа я лично использую облачные серверы компании, потому что знаю, насколько они защищены. Это не значит, что бесплатные публичные облака — абсолютное зло. Просто перед тем, как выложить документ на «Google Диск», озадачьтесь тем, чтобы зашифровать его и поставить пароль на доступ.
Менеджерские специальности ИБ
- Администратор средств защиты информации
помогает организации внедрять лучшие решения в соответствии с их потребностями в безопасности. - Менеджеры по безопасности
управляют политикой ИБ организации. - Директор по информационной безопасности
(англ. chief information security officer) – менеджер исполнительного уровня, который направляет стратегию, деятельность и бюджет для защиты информационных активов предприятия.
Диплом высшего образования по информационной безопасности требуется лишь в государственных учреждениях. В других случаях достаточно прохождения программ сертификации, специальных курсов и самостоятельного освоения компетенций.
С чего начать обучение информационной безопасности?
Несмотря на то что тема обучения в сфере информационной безопасности уже поднималась многими авторами, интерес читателей не угасает. Выпускники школ определяются со специальностью, профессионалы из других отраслей приходят в ИБ и задумываются об обучении, матерые специалисты повышают квалификацию, а руководители предприятий хотят, наконец, разобраться, за что они платят деньги. Благодаря часто мелькающим извещениям об утечках персональных данных и кражах денег со счетов безопасностью озаботились очень многие. Информационные технологии входят во все сферы нашей жизни, а где есть информация, там появляется и угроза, поэтому спрос на квалифицированных специалистов растет. Меня регулярно спрашивают: кому и зачем нужно обучение информационной безопасности? Раньше я отвечала каждому лично, но когда вопросов стало много, пришла идея написать обзорную статью.
Кому и зачем?
Информационной безопасности учатся не только студенты профильных специальностей, но и ИБ-профессионалы, сотрудники ИТ-подразделений, а также все, кто работает за компьютером. Все чаще обучение азам информационной безопасности требуется для личных нужд, даже в школах проходят открытые уроки на эту тему.
Каковы мотивы учащихся?
В первую очередь азы информационной безопасности нужно знать для защиты своих персональных данных. В быту мы постоянно сталкиваемся с попытками людей узнать о нас чуть больше, чем того требует ситуация: в детском саду у родителей спрашивают информацию о социальном положении семьи, в магазине узнают номер телефона и адрес электронной почты, мошенники пытаются заполучить ПИН-код и номер карточки.
Пройти обучение основам информационной безопасности, а может быть и посетить узкоспециализированные курсы, будет полезно непрофильным специалистам, занимающимся защитой информации. Часто работа по информационной безопасности «сваливается» на человека без должного образования. Например, системные администраторы в небольших организациях занимаются парольной политикой, настройкой и обслуживанием антивирусов, раздачей ключей электронной подписи.
Выпускники школ, а иногда и взрослые люди, состоявшиеся профессионалы, решают связать свою жизнь с информационной безопасностью и построить карьеру в этой области. В зависимости от уже имеющегося образования сроки обучения могут сильно разниться (от сотен часов до шести лет и более). Более подробно варианты обучения будут рассмотрены ниже.
Информационная безопасность относится к динамично меняющимся отраслям. Проходить повышение квалификации, а также заниматься самообразованием в этой сфере нужно регулярно. Даже за год нормативная база меняется существенно, не говоря уже о том, что постоянно появляются новые средства защиты информации.
Новости о взломах корпоративных сетей и масштабных утечках не оставляют равнодушными руководителей предприятий, а также служб безопасности. Некоторые из них желают самостоятельно изучить вопрос и разобраться, чем заняты их специалисты. Так как продукт нашего с вами труда невозможно потрогать руками и очень сложно оценить, возникают резонные сомнения в справедливости оплаты труда профессионала и оценке его эффективности.
Если руководители сами хотят узнать, что же такое «токен» и какие опасности подстерегают базу данных клиентов, то остальные сотрудники обычно не горят желанием просвещаться в области информационной безопасности. Однако обучение каждого, кто работает за компьютером, азам информационной безопасности очень важно: предприятию чаще всего угрожают ошибки и разглашение данных по неосторожности, а не промышленный шпионаж и социальная инженерия.
Читайте также: Должностная инструкция секретаря нотариуса
Где и сколько стоит?
Вузы
Их достаточно, причем не только в столице, но и во многих крупных городах обучают специалистов по защите информации. Стоимость обучения зависит от ценовой политики учебного заведения. Для регионов примерный диапазон цен следующий: аспирантура от 35 тыс. руб. в год (заочная) до 180 тыс. руб. в год (очная), бакалавриат, специалитет – 80 тыс. руб. за семестр, магистратура – 90 тыс. руб. за семестр, среднее профессиональное образование – 40 тыс. руб. за семестр.
Учебные центры
Преимущество у тех центров, курсы которых согласованы со ФСТЭК России и ФСБ России: документы об обучении в таких центрах требуются для проведения некоторых видов работ по защите информации. Стоимость одного курса ориентировочно 60 тыс. руб. (продолжительность обычно не более одной рабочей недели).
Внутри организации
Обучение проводят сотрудники, которые непосредственно заняты защитой информации на предприятии или приглашенные специалисты (второе – реже). В некоторых случаях проведение обучения обязательно, например при работе с персональными данными. Стоимость обучения равна стоимости рабочего времени специалистов, которые ведут обучение, а также тех, кто обучается.
Дома
Обучаться дома можно по книгам, журналам, блогам, платным и бесплатным онлайн-курсам. Сейчас Интернет предоставляет поистине безграничные возможности – узнать азы информационной безопасности можно абсолютно бесплатно.
Сколько времени?
В табл. 1 указаны доступные на сегодняшний день варианты профессионального обучения, начиная от среднего профессионального до аспирантуры и курсов повышения квалификации.
Чему учат специалистов по информационной безопасности?
Прежде всего их обучают:
- знать и уметь применять технологии защиты информации;
- проектировать систему защиты информации;
- устанавливать и настраивать средства защиты информации;
- писать нормативные акты по ИБ;
- разбираться в законодательстве по ИБ.
Чему нужно научить простых сотрудников (неспециалистов)?
Читайте также: Артёмовский колледж точного приборостроения
В первую очередь необходимо научить:
- правилам информационной безопасности на рабочем месте (работа с почтой, ведение переговоров, ответы на телефонные звонки, общение с клиентами, составление договоров);
- правилам информационной безопасности в быту.
В вузах студенты изучают: электронику и схемотехнику, углубленно физику и математику, программирование, дисциплины о системах связи, криптографию, технические средства защиты информации, организационно-правовое обеспечение ИБ.
В табл. 2 приведены предметы, по которым проходили обучение специалисты в 2010–2011 гг. Был взят мой диплом («информационная безопасность телекоммуникационных систем», 2011 г.) и диплом супруга («компьютерная безопасность», 2010 г.). Вузы разные. Срок обучения в обоих случаях составил 5,5 лет.
Как можно видеть, несмотря на кажущееся сходство специальностей, совпадает лишь 27 предметов. При этом одна из специальностей («компьютерная безопасность») направлена на углубленное изучение математики, вторая («информационная безопасность телекоммуникационных систем») – физики. Из чего можно сделать вывод, что специальности при их схожести все-таки неравнозначны и стоит дополнительно изучить учебный план перед поступлением. Если же времени на получение высшего образования по информационной безопасности нет, то названия учебных дисциплин помогут определиться с методами самообразования. Из приведенной выше таблицы видно, что специалист по защите информации в первую очередь является инженером и должен хорошо разбираться в информационных технологиях.
Многие спрашивают: как выбрать учебники и профессиональную литературу? Мне кажется, что чем учебник свежее, тем лучше. Написанное 10 лет назад имеет уже скорее историческую, чем практическую ценность, технологии и законодательство меняются стремительно. Также следует обратить внимание на квалификацию автора. К сожалению, сейчас книги пишут слишком многие, зачастую не обладая практическим опытом. Стоит отметить, что если вас интересует законодательство по ИБ, то вы можете искать учебники среди юридической литературы.
Заключение
Осветить тему обучения в сфере информационной безопасности в одной статье – дело неблагодарное. Я хотела бы дать вам информацию для размышления, некоторые идеи. Для изучения основ информационной безопасности необходимо в первую очередь определиться с целью учебы, имеющимся свободным временем и доступными финансовыми ресурсами. Достаточно ли будет отучиться в вузе? Думаю, что нет. Нужно постоянное, непрекращающееся самообразование.
Технический бэкграунд специалиста по информационной безопасности
Для начала надо освоить основы Computer Science.
Программирование, языки разметки, кодирование
- В зависимости от специфики направления: будет полезно, как знание низкоуровневых языков C++ и Java, так и скриптовых Python, PHP, JavaScript для обеспечения безопасности веб-приложений.
- Ассемблер и дизассемблеры.
- Навыки регулярных выражений (regex).
- Linux / MAC bash-скрипты.
Операционные системы и управление базами данных
- Операционные системы Windows, UNIX и Linux.
- Управлением базами данных SQL- и NoSQL-типа.
Cети
- Конфигурация системы и сети.
- TCP/IP, компьютерные сети, маршрутизация и коммутация.
- Сетевые протоколы и инструменты анализа пакетов.
- Брандмауэр, протоколы обнаружения и предотвращения вторжений.
- Знание PacketShaper, балансировщика нагрузки и прокси.
- Виртуальные частные сети.
Навыки специалиста по кибербезопасности
- Программирование.
- Проверка программного кода на уязвимости и вторжения.
- Познание в аппаратной части, в т.ч. серверного оборудования.
- Аналитика данных и способность до наступления угроз просчитать вероятность их появления и пути распространения.
- Работа с большими объемами данных.
- Знание “инструментария” существующих в мире кибератака, их специфики и мер по их отражению.
- Умение работать с БД, а именно SQL.
Багаж знаний у кибербезопасника должен даже на старте работы быть немалым, а уж потом просто обязан постоянно расширяться. Ниже мы расскажем подробнее, где их можно получить.
Нетехнический бэкграунд
Люди с опытом в управлении проектами, техническом письме, праве или функциях физической безопасности, могут получить квалификацию для работы в области кибербезопасности, отточив некоторые навыки и получив необходимые сертификаты. Однако первоначально нужно получить фундаментальные знания в области ИТ.
- CompTIA IT Fundamentals certification представляет собой введение в базовые знания и навыки в области ИТ, которые помогают профессионалам решить, подходит ли им карьера в сфере ИТ. Это также первая сертификация, которую вам нужно пройти для вашей карьеры в области безопасности, если вы не имеете технического образования. Сертификат Security + откроет двери в индустрию информационной безопасности.
Порядок получения сертификатов для работы в ИБ.
Книги
- Security in Computing (англ.) – обзор компьютерной безопасности с акцентом на сетях, операционных системах и программных устройствах.
- Crafting the InfoSec Playbook (англ.) – как разрабатывать собственные средства обнаружения инцидентов и аналитики угроз.
- Gray Hat Hacking (англ.) – тактики реверс-инжиниринга, этичные способы взлома серверов и браузеров, деловая сторона этичного взлома.
- Информационная безопасность. Защита и нападение – подробное объяснение проведения аудитов безопасности и тестов на проникновение для различных систем, а также современных решений для маршрутизации, беспроводной связи и других направлений развития ИБ.
Сертификаты
Для тех, у кого нет опыта или знаний в области ИТ, получение серии сертификатов от CompTIA подготовит к первой работе в ИБ. А для тех, кто уже в сфере IT, сертификация – верный способ перейти в сферу кибербезопасности,продвинуться по карьерной лестнице или даже перейти в международную компанию в области ИБ.
- Этичный хакер (CEH) – показывает, что вы понимаете и знаете, как искать слабые места и уязвимости в целевых системах, и используете те же знания и инструменты, что и злонамеренный хакер, но законным образом для оценки состояния безопасности целевой системы. Эта сертификация наиболее выгодна для тех, кто уже работает в сфере программирования и хочет получить работу в сфере безопасности..
- Сертифицированный менеджер по информационной безопасности (CISM) позволяет управлять и разрабатывать системы информационной безопасности в приложениях корпоративного уровня или передовых методах обеспечения безопасности.
- Сертифицированный специалист по информационной безопасности (CISSP) показывает, что вы обладаете знаниями и техническими навыками, необходимыми для разработки, руководства и управления стандартами, политиками и процедурами безопасности.
Поиск по HeadHunter показывает, что на рынке есть около 90 открытых вакансий, которые требуют или предпочитают кандидатов, имеющих сертификат CISSP. Заработная плата в среднем составляет 190 000 руб.
Зарплата специалистов по кибербезопасности
Данные по Москве на 30 июня 2020 года:
Для сравнения данные по Самарской области на 30 июня 2020 года:
