Навыки и требования к специалистам по информационной безопасности



    Несмотря на высокую популярность профессии, обилие информационных ресурсов и материалов в открытом доступе рынок испытывает нехватку квалифицированных кадров, особенно связанных с практической информационной безопасностью.

    В данной статье будет раскрыта тема востребованности специалистов по информационной безопасности, специфика требований и навыков.


    Cтатистика


    По статистике одного из HR-агенств, специалистам по информационной безопасности в конце 2015 г. предлагали в среднем на 21% больше, чем в январе 2015 г. Это указывает на то, что даже в условиях кризиса квалифицированные специалисты востребованы, более того, рынок ощущает их нехватку.

    Действительно, тема информационной безопасности стала как никогда актуальной — это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.

    Даже те компании, штат которых укомплектован специалистами по информационной безопасности, нуждаются в квалифицированной оценке зрелости защитных систем, безопасности периметра, веб-приложений и иных элементов инфраструктуры — показательно всё увеличивающееся количество инициаторов BugBounty программ, причём сумма выплат колеблется от $100 до $20000 за уязвимость.

    Вакансии


    Исходя из данных, представленных на сайтах по размещению вакансий средний уровень заработной платы специалистов по информационной безопасности с опытом 1-3 года находится на уровне 40.000-70.000 рублей. Это относится к специалистам начальной группы (junior), с малым опытом работы, по профессиональным требованиям и обязанностям это хорошо видно (здесь и далее представлены «усреднённые» показатели):

    Обязанности:
    • Администрирование межсетевых экранов Cisco ASA и Kerio Connect;
    • Администрирования сервера антивирусной защиты, мониторинг состояния клиентов, удаление вирусов, тонкая настройка защиты;
    • Поиск уязвимостей с помощью специализированного ПО и их устранение;
    • Мониторинг выхода обновлений для ОС, ПО и сетевого оборудования;
    • Настройка и управление коммутационным оборудованием;
    • Написание скриптов оптимизации управления системами безопасности;
    • Управление инфраструктурой предоставления доступов;
    • Периодический анализ логов.

    Требования:
    • Опыт администрирования ОС Windows от 1-го года;
    • Базовые знания ОС Linux от 1-го года, уверенная работа в командной строке;
    • Базовые знания работы сетей. IP адресация, статическая маршрутизация, модели ISO OSI, TCP;
    • Опыт администрирования Active Directory: настройка групповых политик(GPO), управление правами пользователями;
    • Опыт настройки систем защиты от НСД на базе Windows;
    • Опыт настройки антивирусных систем;
    • Опыт разработки сложных конфигураций межсетевого экрана IPTables;
    • Умение настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.

    Как видно из описания это скорее системный администратор с уклоном в ИБ, нежели «чистый» безопасник. Какую-то определенную конкретику в навыках выделить сложно. Кто ищет кандидатов — компании любой направленности, выделить область сложно.


    Специалисты с опытом 3-6 лет относятся уже к middle. Навыков и опыта требуется больше, но и уровень заработной платы гораздо выше. Эти специалисты, как правило, имеют хороший технический бэкграунд (системное администрирование, поиск узявимостей), хорошо знают приложения, техники и методологию. Этих специалистов условно можно разделить на два направления — нападение и защита. Универсалов на этом уровне (пентестер + специалист по обеспечению ИБ) — практически не бывает в природе (либо это уже уровень senior). Средняя вилка — 70.000-100.000 рублей.

    Специалист по защите информации:

    Обязанности:
    • Настройка и управление подсистемами безопасности;
    • Управление инцидентами безопасности;
    • Настройка и управление коммутационным оборудованием;
    • Написание скриптов оптимизации управления системами безопасности;
    • Управление инфраструктурой предоставления доступов;
    • Анализ логов-файлов и журналов событий;
    • Участие в сопровождении IT-инфраструктуры Заказчика: обеспечение информационной безопасности и защиты персональных данных;
    • Мониторинг и контроль функционирования средств обеспечения ИБ;
    • Поддержка работоспособности, администрирование и обеспечение бесперебойной работы специальных средств защиты информации;
    • Внесение изменений в настройки средств обеспечения безопасного межсетевого взаимодействия при обнаружении признаков атаки на ВС;
    • Контроль нештатной активности внутренних пользователей ВС;
    • Анализ инцидентов ИБ и их решение;
    • Проведение аудитов, подготовка организационно-распорядительной документации и отчетов по ИБ.

    Требования:
    • Высшее образование (ИТ, информационная безопасность);
    • Знание принципов построения и функционирования сетей и протоколов стека TCP/IP;
    • Знание модели ISO/OSI;
    • Понимание принципов компьютерной и сетевой безопасности, безопасности web- приложений;
    • Знание принципов работы средств обеспечения безопасности (корпоративные антивирусы,WAF, системы обнаружения вторжений и т.д.);
    • Windows и Linux на уровне администратора;
    • Опыт автоматизации (bash, perl, python);
    • Опыт проведения анализа защищенности;
    • Профессиональные знания используемого в инфраструктуре работодателя профильного ПО (от корпоративных антивирусов до DLP/IDS/IPS/SIEM и т.д).

    Пентестер:

    Обязанности:
    • Выполнение тестирования информационных сред и программных продуктов компании;
    • Тестирование информационных систем на отказоустойчивость;
    • Инструментальный анализ информационных систем;
    • Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
    • Тестирование на проникновение;
    • Анализ безопасности исходных кодов программных продуктов.

    Требования
    • Опыт работы по выявлению уязвимостей систем;
    • Опыт работы с Burp Suite, Hydra;
    • Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
    • Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
    • Знание принципов построения и работы веб-приложений;
    • Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
    • Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
    • Опыт проведения тестирования на проникновение;
    • Опыт проведения аудита систем ИТ и ИБ.

    В требованиях к таким специалистам больше конкретики, заточенной на область применения в той или иной сфере, включая методологии и тип используемого программного обеспечения. Таких специалистов ищут представители e-commerce, финансового сектора, интеграторы, крупные/распределенные ритейл-компании и т.д.


    Cпециалисты с опытом работы от 5-6 лет — senior. Как правило это руководящая должность — начальник отдела анализа защищенности; начальник отдела управления информационной безопасности; аналитик; крупный сейл ИБ-вендора; узскопециализированный пентестер. Уровень заработной платы от 120.000 до 200.000 рублей.

    Людей из этой категории довольно мало, и, как правило, они «на слуху» в отрасли. Это специалисты, хорошо разбирающиеся в предметной области, и, как правило, имеющие экспертную квалификацию в узкой специализации. Приветствуется опыт выступления на конференциях либо другая общественная активность — значит кандидат следит за трендами и получает своевременную оценку профессионального сообщества.

    Из требований здесь встречаются следующие:
    • Высшее ИБ/ИТ образование;
    • Наличие сертификатов;
    • Наличие публикаций и статей в предметной области;
    • Опыт публичных выступлений;
    • Знание основных методик, классификаций и международных практик (OSSTMM, OWASP, WASC, NIST SP800-115 и др.);
    • Навыки выявления угроз ИБ на основе сведений об уязвимостях (классификация угроз, формирование рекомендаций по устранению уязвимостей и минимизации бизнес-рисков);
    • Знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов РФ, регулирующих отношения, связанные с защитой информации ограниченного доступа (не относящейся к гостайне), руководящих документов ФСТЭК, ФСБ, в том числе по защите банковской тайны, АСУ ТП, коммерческой тайны, знание СТО БР ИББС, PCI DSS, ISO 27xxx;
    • Английский язык;
    • Наличие лидерских качеств, умение добиваться поставленных целей, инициативность, активность, навыки самоорганизации, ответственность;
    • Умение программировать на одном или нескольких скриптовых языках;
    • Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks и Cisco ASA. и т.д);
    • Экспертные знания в узкоспециализированных системах: (например SCADA/ERP/SS7/Hardware);
    • Опыт разработки собственных средств/утилит/методик;
    • Опыт разработки технической и аналитической документации;
    • Опыт проведения статистических исследований;
    • Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика;
    • Опыт участия в крупных проектах по анализу защищенности или аудиту информационной безопасности.

    Требования представлены в усредненном варианте для вышеперечисленных специалистов. Профессиональные навыки соискателя, как правило, известны и таких людей «хантят» не под определенную задачу, а под целый этап или уровень жизнедеятельности компании. Такого рода специалисты востребованы в финансовой сфере, ИТ-интеграторах, ИБ-вендорах, крупных ИТ-компаниях.


    Вершина пирамиды (lead) — специалисты с опытом от 10 лет. К этой категории относятся CTO, CISO, системный архитектор, team lead. Уровень зарплаты от 200.000. Как правило, это известные люди в отрасли информационной безопасности, с обширным опытом и связями.

    Требования/навыки: здесь обычно смотрят на выполненные проекты, направление деятельности. По навыкам могут запросить полный список с предыдущих позиций (а он обычно обширный к этому этапу), либо просто будет указан необходимый результат работы. В случае этих позиций смотрят уже не на знания, а на достижения.

    Такие специалисты требуются крупным интеграторам, ИБ-вендорам, крупнейшим технологическим компаниям, финансовой сфере, в государственном секторе.

    Подводя итоги


    Защита информации для участников рынка становится одной из приоритетных задач. Обеспечить такую защиту только автоматизированными средствами, практически невозможно. Востребованность специалистов в сфере ИБ растет с той же скоростью, с которой развиваются и сами информационные технологии.

    Проблема образования и дальнейшего трудоустройства заключается в извечной проблеме «нет работы, потому что нет опыта, потому, что нет работы…» и читать эту фразу можно по кругу бесконечно. Общепризнанный факт, что диплом сам по себе не дает приоритета. К моменту выпуска бОльшая часть знаний уже не котируется.

    Наиболее быстрый и удачный выход из ситуации – самообразование.
    Support the author
    Share post

    Comments 22

      +1
      Ни слова про Olly, IDA, Hiew. Странная ИБ какая-то…
        +2
        Требования усредненные. АВ сектор тут слабо представлен, но требования обычно чуть выше, даже для т.н. «дятлов».
          0
          Поддерживаю проходил несколько раз интервью на позицию — security officer и всегда спрашивали про опыт работы с radare2/IDA/Olly — IDA просто must have. Просят что-нибудь дизассемблировать на интервью( один раз вообще прям тут же свеже-криптованную адаптацию Zevs`a под android, на почту, письмом скидывают, вообщем интересные интервью на этих позициях.)

          В статье набор требований для junior и middle не похож на настоящий( для западного рынка крайней мере). Тут скорее имелся ввиду админ-безопасник для средне-статистического российского банка.

          Да также про X-Spider, Max-Patrol на западе мало кто слышал. Без обид ребята.
            +5
            Требования и навыки взяты с сайтов по размещению вакансий, что указывают работодатели/HR — то я и указал в статье.
              +2
              И на том спасибо. Жаль плюсик поставить не могу.
          +7

          Боже, на каком я до сих пор дне… сколько еще всего учить. Спасибо за статью.

            0
            Я может быть не увидел, а где РП? У интеграторов Пи-Эмы занимаются проектами, а не «Вершина пирамиды (lead)»…
              +1
              ПиЭмы в общем случае знают только методологию работы с проектом, продвижения проекта по фазам, планирование и бюджетирование. Опять же, как правило, они понятия не имеют о конкретных рисках, угрозах, атаках и защите, и имеют исключительно общее представление об ИБ — на уровне CISM. Менеджер проекта это не техническая должность. Хорошо когда ПиЭм вырос из аналитика ИБ, но это дорога в чистое управление, и путь к утрате любых технических знаний в сфере ИБ.
                0
                Но профессия ПиЭм в ИБ тоже существует… Теперь я понял, что статья ориентирована только на техническую сторону профессий в ИБ. Спасибо за ответ.
              +1
              Выглядит как довольно грустная карьера. Безумные требования по социализации, и связям, дурацкие регламенты, которые надо знать, и умеренная з/п даже спустя годы и годы.
                0
                amarao
                Насколько я понял, Вы работаете в другой стране. Можете на своём опыте (и\или на опыте Ваших знакомых) провести хотя бы какое-то сравнение? Спрашиваю не для того, чтоб поспорить. А чтобы читатели комментария (такие как я) лучше понимали как Вы пришли к своему выводу (может, поэтому кто-то уже минусанул Ваш коммент на момент написания этого текста). Да и вообще, жутко интересно каково это: работать «там» (в смысле — за границей). Хотя, наверное, развёрнутый ответ будет уже претендовать на отдельную статью
                  0
                  Работать спокойно, жить спокойно. Никаких «вставаний с колен» и необходимости «перетерпеть для доказательства величия страны».
                +1
                А смысл быть таким спецом в России, точнее даже в Москве?

                Сколько здесь платят спецам уровня того же Лео Соснина например? При том, что сам Лео в США претендует на суммы вида до 200к$ в год, если я не путаю.
                  +1
                  Кого что интересует. Я знаю не одного человека, который из Питера в Москву не торопится переезжать (на з\п выше). Что уж говорить про иммиграцию (которую мудрые люди советуют не путать с туризмом)
                  –1
                  Может, я делаю неверные выводы. Но мой опыт на такой вывод наталкивает.
                  Не более года назад я размещал (на некоторое время) своё резюме на хедхантере. Мне стоило определённых усилий составить так, чтоб с одной стороны довольно полно описать свои навыки. С другой — не перегружать излишними деталями. Сознательно не стал указывать желаемую з\п — чтоб знать сколько мне могут предложить. Мои ожидания были точно не выше тех расценок, что тут в статье указаны. По должности — начальник отдела или руководитель группы.
                  Итог: за 3 месяца поступали предложения в других городах (Москва, Казань; я из Питера) и на меньшую з\п (относительно той, которая уже была у меня на моём текущем месте работы).
                  В итоге вывод: чем выше должность, тем сложнее найти на неё работу в своём городе, с указанными в стетье з\п. Во всяком случае, просто разместив резюме.
                    –4
                    мы поможем получить и применить нехватающие знания, и как следствие повысить уровень Ваших навыков и востребованность на рынке труда

                    На основании чего сделано заявление? Неужели есть статистика вида: «X клиентов (желающих трудоустроиться на з\п выше текущей) получали з\п=Y(x) прошли наши курсы и теперь получают Z(x). Где Z(x) > Y(x)»?
                      0
                      Это какая-то странная карьера и странные требования.
                      Про криптографию ни слова. Везде сплошной web и системная, прости господи, администрация. Английский в требованиях — только и seniors (а должен быть у выпускника средней школы).Про самостоятельный поиск уязвимостей без сканеров написанных кем-то другим — ни единого слова.

                      Ни IDA, ни отладчиков, ни систем анализа исходного кода нет (даже про клокворк ни слова).
                      Про ассемблер — ни слова. Про embedded и прочий IOT — опять ни слова. SDL нет.
                      Разработка собственных методик/утилит — только на уровне senior(а должен быть junior).

                      Короче, эти вряд ли научат чему то полезному.

                        0
                        Ну надо же как синхронно минусуют, обалдеть можно.
                        Это из за того, что здесь рекламный хаб или вам английские слова перевести?
                        0
                        «Администрирование межсетевых экранов Cisco ASA и Kerio Connect;»
                        У Вас неточность в обязанностях. Kerio Connect — это почтовый сервер.
                        Наверное имелось ввиду Kerio Control.
                          0
                          Взгляд со стороны.
                          Недавно была статья в хабе разработка. Стажер — находка для шпиона https://habrahabr.ru/post/306066/
                          И там в комментариях очень много мыслей на тему что в реальном бизнесе ИБ не особо и нужна, или если и нужна то минимальная т.к. замедляет продуктивность, стопорит скорость разработки внедрения изменений и т.д.
                          В этой же статье пишут что профессия востребована и повсеместно полезна и чем дальше тем все более полезнее.
                          И кому верить в итоге?
                            +1
                            Работа ИБ специалиста очень востребованна. Профессионалов в области ИБ катастрофически не хватает.
                            Сам я пентестер (OSCP+OSCE), живу в Израиле, фактический опыт работы 2 года, Senior, и немного не согласен с автором по поводу требований и навыков.
                            К примеру:
                            1. Высшее ИБ/ИТ образование — никому не нужно если ты мастер своего дела и умеешь говорить правильные слова. Покажи на что ты способен, и скажи сколько ты стоишь.
                            2. Статусы Junior/Middle/Senior зависят не от кол-ва лет работы, а от опыта впринципе. Опять же, на собеседовании не мыкай и не тянись в дальние области своей памяти за ответом. (два года в сфере, тоесть я еще должен быть junior… ага.)
                            Тут должно быть предельно просто: junior — должен уметь пользоваться програмками и скриптиками, senior — должен знать как эти программы работают и быть способным написать такое же с нуля в nano.
                            3. Требования действительно в IT отдел а не в ИБ.
                            4. Узкая специализация? Согласен, но не совсем. Можно сказать так: Junior должен уметь делать 2 + 2, когда Senior должен уметь складывать и вычитать переменные из разных сфер и техник. Тем самым, с опытом работы специализация должна становиться шире а не уже.

                            Зарплаты пентестеров и консультантов ИБ в Израиле:
                            Тут всё зависит от компании в которой работаешь. Если это консалтинг, то выше 5500$ не прыгнешь. Но если это фирма производящая какой-либо продукт (к примеру PayPal, Akamai, General Motors, Sales Force и тому подобные) потолок з/п который мне приходилось слышать +- 10500$ в месяц.
                            Начинающий пентестер до 1 года опыта: 2000$
                            Более опытный 1-3 года: 2500 — $5500 в месяц. Конечно же, зависит от реальных навыков.
                            А теперь интересный факт: стоимость одного часа работы консультанта за границей (включая Россию) начинается с 250$.
                            Тоесть нижняя планка для ИП: 250 * 8 часов * 22рабочих дня = 44k$ в месяц
                            Ах да, меня всегда раздражает упоминание зарплат в какой-либо стране, без учета стоимости на проживание в той же стране.
                            Так, на вскидку (цены в Израиле, цены приведены в рублях по курсу на сегодня):
                            Литр молока: 100р
                            Хлеб: 170р
                            Пачка мальборо: 570р
                            0.5 пива в баре: 500р
                            Съем 2-х комнатной квартиры в ~центре страны: 60,000р
                            Новая Mazda3: 2,000,000р
                            Делайте вывод сами.

                            Статья конечно реклама, но тоже выскажусь.
                            Хочешь чему-то научиться и работать в infosec сфере? Строй самостоятельно лабы, взламывай виртуалки из vulnhub, бери всемирно известные курсы и не спи ночами.
                            Всё.

                            P.S. и да, английский нужен всем.
                              +1

                              Смотрю затронули тему криптографии. Лично я считаю, что ИБ может рекомендовать определенные стандарты шифра для той или иной информации, но сама реализация и т.д должна уходить на отдел криптоаналитиков и криптографов. Т.к из выше описанного я вижу, что специалист ИБ больше относится к проектировке и внедрению систем безопасности. А криптография сама по себе входит в уже готовые системы ИБ.
                              Допустим в компанию решили установить Lotus Notes, программа уже сама по себе обладает шифрованием. И когда ее представляет специалист, то он уже укажет на то, что сообщения и доступ к профилю без id файла — получить затруднительно (все зависит от выбора шифра и его стойкости).


                              Поправьте, если понял что-то не так.

                              Only users with full accounts can post comments. Log in, please.