Как стать специалистом по кибербезопасности? Страх и ненависть в ИБ

Очередной раз начали появляться новости с аналитикой будто уже в следующие пару лет на рынке будет катастрофическая нехватка специалистов в области информационной безопасности (сократим до аббревиатуры «ИБ»). По версии ХХ в России не хватает уже порядка 30 тысяч специалистов. Звучит перспективно с точки зрения карьеры – низкая конкуренция, иди и работай. Однако, как выглядит карьера ИБшника на Российском рынке?


У меня на этом рынке стаж работы приближается к круглой дате, если не считать профильное образование в этой области и за это время сформировалось устойчивое мнение о рынке ИБ в России и карьере в этой области. Дальше об этом речь и пойдет. Всё описанное дальше скорее для тех, кто решает ворваться (на самом деле достаточно просто шагнуть) в этот рынок или посмотреть на что-то другое.


Часто на разных ресурсах специализацию в области ИБ описывают как нечто сложное, загадочное, неопознанное и романтичное. В основном у всех, кто ещё не знаком с этой областью работа в ИБ ассоциируется непосредственно с хакерами и создается впечатление, что все ИБшники обладают этими навыками (взламывают сайты, крадут пароли, пробивают по IP и т.д.). Из-за этого вход на этот рынок выглядит максимально сложным и кандидату чаще кажется невозможным устроиться на работу ИБшником, не обладая этими знаниями. Однако, реалии таковы, что большинство специалистов ИБ даже не представляет, как это происходит. Более того значительная часть «специалистов» не особо и в ИТ разбираются. От чего же это так?


Рынок ИБ делится так же, как и все остальные рынки на заказчиков и исполнителей. Начнем с описания работы на стороне заказчиков.


Основными заказчиками на рынке ИБ выступают Государственные организации (далее сокращу просто до слова «ГОСы», банки, крупный и средний бизнес. Так сложилось, что половина моего трудового стажа прошла именно в Государственных организациях. О специфики работы в этом секторе можно написать книгу, но, всё же, постараюсь сократить до необходимого минимума.


Начнем с того, что главное задачей в ГОСах в ИБ является не защита от злобных хакеров и вредоносного программного обеспечения, а выполнение законодательных и отраслевых требований, и это является главной проблемой на Российском рынке. Зачастую в этом секторе важнее понимать какие законы в области ИБ существуют, как они трактуются, как они касаются конкретной организации и как их можно обойти закрыть. По факту это работа с «бумажками»: составление внутренней распорядительной документации, регламентов и положений, связанных с государственной и коммерческой тайнами, а также обработке информации, связанной с персональными данными или данными для служебного пользования. Здесь требуется знать как категорировать информацию, какая часть информационной системы к какой категории относится, и какими средствами защиты это должно закрываться (последнее описано курирующими государственными службами), и нужно ли вообще это защищать. При этом при всем, есть ещё отраслевые требования, которые могут быть шире, чем законодательные требования, приказы и положения. В этих секторах нет устоявшегося стандарта расположения блока ИБ в штате организации. ИБшники могут как существовать в блоке ИТ, так и в отдельном управлении. Однако, техническая сторона ИБ (внедрение средств защиты информации, настройка и сопровождение) ложится на блок ИТ (и это не только в ГОСах так). Связано это с тем, что бюджет на информационные системы как на актив ложится именно на блок ИТ. Отсюда возникает другая проблема – бюджет на обеспечение средствами защиты информационной системы организации формируется именно в блоке ИТ. Из-за этого ИБшники и ИТ постоянно воюют за приоритезацию бюджета. При этом, если блок ИБ не сможет донести до руководства ИТ необходимость закупки того или иного решения ИБ, то в бюджетный план на следующий год это и не попадет. У высшего руководства тоже не всегда получается добиться поддержки, потому что в данном случае нужно описывать также экономическую целесообразность закупки того или иного решения (или сервиса). А как показать возможный финансовый ущерб от хакерской атаки, если она в этой организации ещё не возникала? Да и большинство организаций уверены, что их никто не атакует и они никому не нужны. В итоге приходится жить с тем, что имеешь!


image


Однако, недопонимание встречается не только со стороны ИТ, но и ИБ из-за отсутствия необходимых технических компетенций (а когда им их повышать, если они только что и делают, так это пишут проклятые бумажки): требования законодательства обязуют использовать в информационных системах средства от несанкционированного доступа, которое жрет достаточно много компьютерных ресурсов так ещё и является агентским решением, которое должно устанавливаться на каждую рабочую станцию в организации. А если это предприятие с 4к пользователями, где парк машин с ОС Windows 7 и не потому, что сложно закупить (хотя это тоже требует не мало финансов) новые версии Windows 10, а потому что этот парк компьютеров устаревший и не потянет эту операционную систему, а тут ещё и агент средства защиты информации будет жрать ресурсы как бешеный.


В итоге для того, чтобы внедрить только одно решение уже потребуется обновить парк компьютеров! Просто представьте сколько это денег! А они не у каждого ГОСа есть, а зачастую ещё главная отраслевая компания распоряжается этими финансами, а не само предприятие.


Конечно, это не везде так, но из-за таких ситуаций рабочими обязанностями обычного специалиста являются задачи по маранию бумаги. Не идет речь о работе с какими-то инцидентами информационной безопасности, нет работы с технической составляющей (напомню этим занимаются ИТшники). Отсутствует даже возможность узнать на сколько текущая ситуация в компании расходится со стандартами ИБ. Уже через год такой работы молодой специалист полезет на стенку от скуки, и эта работа будет больше связанна с менеджментом вопросов ИБ, вот такая романтика.


Проработав год в такой компании, единственное, чему вы научитесь, это выполнять требования ИБ в конкретной организации, у вас не появится каких-то специфичных знаний в области ИБ, которые в дальнейшем вам помогут успешно продвигаться по карьерной лестнице (хотя каждый себе сам ставит потолок), расширить кругозор не получится.


Несомненно, вы начнете разбираться в законодательной базе, это полезно. Но для того, чтобы изучить эту базу и понять требуется не так много времени. Для такой работы не требуется специфических знаний в ИБ. Но HR упорно продолжают писать в требованиях, что вы должны знать как работать с различными средствами защиты информации, знать всю законодательную базу, иметь высшее специализированное образование и вообще опыт работы не менее 3-х лет (это всё там даже применить не получится). А ЗП предложат всего 60-80к. Не так давно увидел объявление одной такой крупной компании в Москве:


image


Наименование такого «прекрасного» работодателя закрасил, но если вдруг кто заинтересовался, то по этому описанию и сами сможете определить.


Не то чтобы это пропасть, можно построить карьеру и в госсекторе, но без связей, скорее всего, за пределами текущей компании вы сможете претендовать только на такую же позицию.


Но за пределами госсектора всё обстоит гораздо лучше. Там не все относятся к ИБ так, будто главная задача — это защититься от законодательных требований. В банках и крупных коммерческих организациях чаще всего уже сформирована финансовая оценка информационных активов компании и выбить бюджет на защиту этих активов у руководства не является сложной задачей. Нет требований к конкретным средствам защиты информации (здесь имеется в виду, что в некоторых государственных компаниях в отраслевых требованиях прописано у какого производителя закупать то или иное решение ИБ). Здесь и руками дадут пощупать и заставят разбирать вопросы легитимности того или иного инцидента ИБ, возникшего в инфраструктуре компании, да и ИТ с ИБ дружат лучше. И в этих секторах подбор специалиста будет уже более узконаправленный: под задачи менеджмента ИБ, сопровождения средств защиты информации, безопасную разработку программного обеспечения организации, поиск уязвимостей в инфраструктуре нанимаются отдельные специалисты, которым не вменяют в задачи делать всё подряд. Но надо учитывать, что большинство компаний не проявляют желания плодить разный парк производителей средств защиты информации (сократим до СЗИ) у себя в инфраструктуре. И это нормально, не всё так хорошо интегрируется с различными СЗИ. Подружить из между собой не всегда решаемая задача. Поэтому не особо надейтесь расширить свой кругозор по линейке производителей, но это и ненужно.


Освоив один класс решений, вы сможете уже интуитивно понять, как работать с решением другого производителя. В таких компаниях вы получите знания как работать с нормативной базой в этом секторе, будь то банк или промышленное производство, поймете, как выглядит модель угроз конкретно для вашего сектора, возможно, даже получите опыт управления проектами ИБ, взаимодействуя с подрядчиками. Такой опыт ценится на рынке, да и уровень зарплат в таких компаниях выше, чем в госсекторе.


На сегодня, пожалуй, всё! В следующей статье я опишу как выглядит работа в компаниях исполнителей, которые оказывают услуги ИБ на рынке и как выглядит возможный карьерный рост начиная с молодого специалиста. Ну и, конечно, уровень зарплат. И уже станет понятно стоит ли вам для себя открывать эту «дверь».

Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 23

    0
    Спасибо большое за статью. Как я понимаю, продолжение следует :) Вот что я для себя на данный момент уяснил:
    Хочешь «ручками поработать», иди в ИТ
    У ИБ-шников работа, так или иначе, сводится к закрыванию дыр «на бумаге», такова уж их нелёгкая доля
      0

      С другой стороны, нехватка технарей-безопасников покруче, чем у саповцев, особенно хороших технарей. Печалька в том, что спрос чаще всего среди интеграторов, штатный технарь-безопасник зачастую похож на неуловимого Джо, чем на редчайшего единорога.
      И получается парадоксальная ситуация, вроде бы ИБ обложено требованиями и правилами, но с технической стороны, вроде как это все еще нехоженая территория, где нет диктаторов правил.

        0
        Если мы говорим про компании, которые пришли к ИБ не из-за бизнеса, а из-за требований, то да. По поводу техспецов: на самом деле они очень нужны в блоке ИБ, где и почему объясню в продолжении статьи.
          0
          В ИБ нужны и спецы в нормативных документах (методисты), и технари.
          Потому что одно дело — установить и настроить тот же Secret Net, и другое — грамотно описать систему защиты так, чтобы у регуляторов не было вопросов во время проверок.
          И даже те компании, которые пришли к ИБ из-за бизнеса в какой-то момент ищут хорошего методиста, чтобы упорядочить весь процесс.
          А знание нормативных документов (а еще лучше — тонкостей правоприменения, которые неизвестны даже юристам) этому очень помогает.
        0

        По поводу устаревшего парка — очень тяжело объяснить руководству, особенно старой закалки, с какой стати оборудование закупленное всего-лишь 5-6 лет назад, уже "устарело" и все нужно менять. Особенно если речь о производстве — огромное количество всяких CNC и проч. до сих пор работает на Windows XP, и закупались станки с расчетом амортизации на десятилетия. Так что их тоже можно понять.

          0

          Очевидно же. Если жизнь дорога вам, держитесь подальше от (торфяных болот) гос сектора

            0
            Чуть в сторону:
            где парк машин с ОС Windows 7 и не потому, что сложно закупить (хотя это тоже требует не мало финансов) новые версии Windows 10, а потому что этот парк компьютеров устаревший и не потянет эту операционную систему

            С чего вдруг-то? Правильно настроенная W10 на том же железе будет производительнее W7, при этом «из коробки» имеет куда больше функционала.
              0

              Не будет, проходили уже.
              7-ка нормально вертится на компах с 1-2 Гигами ОЗУ.
              10-ка на ПК с 4 Гигами ОЗУ весьма печальное зрелище.

                0
                Вы просто не умеете её готовить. У меня у ребёнка комп с двумя гигами и десяткой — нормально на ней всё крутится и вертится, вполне себе даже в игры играет. У x86 W7 и W10 даже системные требования одинаковые, а правильно настроенная W10 по тестам быстрее семёрки на одном и том же железе.
                Какими руками на четырёх гб ОЗУ можно устроить из 10ки печальное зрелище — можно только догадываться.
                  0
                  Дадите рецептик?
                    0
                    Я знаю, что тут эту ссылку не любят, но вот:
                    github.com/spinda/Destroy-Windows-10-Spying/releases
                    буквально в одну кнопку W10 становится пушистой.
                    Ну или вот тут человек двигает свои скрипты:
                    habr.com/ru/post/521202
                    Хотя я с ним не согласен, так как он не отключает телеметрию.
                    upd: последний скрипт всё-таки реально продвинутей DWS, но телеметрию всё-таки надо отключать, я даже так не считаю, а вовсе уверен. Так что в принципе можно совместить оба метода, только обязательно точку восстановления системы сделайте.
                      0
                      Присойденяюсь к Вам, т.к. на 4GB временами тоже тупит. Желательно не скрипт…
                  0

                  К сожалению, 10 чересчур самостоятельная, я про установку обновлений. Как известно, рабочие компьютеры могут вообще не выключаться, работают и работают, про них периодически вообще забываешь. А потом с такими «чудо-обновлениями» что-то, да отвалится. Так что, может и производительнее, но есть свои неприятные моменты

                    0
                    Так обновления отключаются на раз, причём даже без какого-либо нарушения EULA. Я вот вообще не понимаю этой — причём крайне распространённой — претензии к W10 по части самостоятельности в плане обновлений, нагуглить как это отключить можно за секунду.
                    0
                    С чего вдруг-то? Правильно настроенная W10 на том же железе будет производительнее W7, при этом «из коробки» имеет куда больше функционала.

                    замените винду на парк старых МФУ, которые работают только через smb1 и получите аналогичные траты + непомерную нагрузку на техподдержку по перенастройке всех ресурсов

                      0
                      Давайте не выворачивать ситуацию — в изначальном посыле ничего подобного не было.
                      Так-то у меня одна контора вообще сидит на XP, ибо там крайне узкоспециализированный софт, который в принципе не работает на версиях выше, а покупать новый — выйдет совершенно неподъёмная сумма.
                        0

                        Лично я изначальный посыл именно так и понял, что неожиданное требование к безопасности может быть отвергнуто одним только бюджетом и объемом работ. И больше того, сам лично столкнулся с таким, как раз с парком старых МФУ работающих исключительно на smb1, где помимо аховых трат на новую технику надо было еще перелопатить сетевые папки. И видели бы вы лица ребят из техподдержки в момент озвучивания проблемы и путей ее решения.

                          0
                          Эм, так smb1 в W10 и сервере от 12 и выше включается на раз, или я не уловил сути проблемы?
                            0

                            Проблема в том, что теперь smb1 нужно повсеместно закрывать т.к. имеет серьезные уязвимости (привет от wannacry), а устаревшие МФУ очень редко имеют новые прошивки для использования хотя бы smb2. Конечные устройства могут вынуждать вас понизить уровень защиты или нарушать требования ИБ.
                            Т.е. одна только партия в каких-нибудь 50 стареньких МФУ вам может создать много головной боли и пустых переговоров, как с начальством, так и с техподдержкой, а сколько подобных моментов — неуправляемые коммутаторы, нехватка квалификации админов, конфликт приоритетов в бюджете фирмы, политические дрязги, криворукость интеграторов… и это все в перспективе, что появится очередной zero day и владельцам фирмы снова придется открывать кошелек.

                              0
                              Ну вы же понимаете, что это вырожденный случай?
                              Я вот, например, во все времена сетевое сканирование загонял в почту, на устаревших (и даже не очень) МФУ иногда это был целый и не очень увлекательный квест (например, по одному из моих случаев есть статья в kb HP), но это стоит того вот в том числе, чтобы потом не решать подобные проблемы.
                    0
                    Статья интересная, но не сказать, что опыт разносторонний даже по ГОСам. Я ИТшник, но занимался вопросами безопасности и плотно работал с безопасниками. Некоторые действительно в основном занимаются проверками соответствия нормативным документам и работают в основном с бумажками. Но есть и группы товарищей, в задачи которых входит настройка и контроль средств защиты, генерация и контроль ЭЦП, технические проверки функционала установленных систем. Тут уже технические навыки более, чем нужны.
                    Это я к тому, что очень по-разному бывает.
                      0
                      Действительно — бывает по-разному. Бывает, что нужно аттестовать систему и забирать ИТшника на эти процедуры не имеет смысла, так как там в основном работы по установке СЗИ и приведения их настроек в соответствие с требованиями на изолированном сегменте. Это не требует понимания ИБ и не касается бизнеса. Установить антивирус, НСД и крипту энтерпрайз решения задача не из самых сложных и сопровождения в дальнейшем не требует. Если мы говорим не об изолированном сегменте, то, скорее всего, ИТ блок не разрешит выполнять подобные процедуры без контроля со своей стороны.
                      0
                      «Не так давно увидел объявление одной такой крупной компании в Москве:»

                      Так эти требования, как раз, легко объясняются — они взяты из профстандарта «Главный специалист по информационной безопасности». Только в профстандарте «Главный специалист» равно «Директор по безопасности», а в тех самых ГОСах главный специалист — самый что ни на есть рядовой сотрудник (ниже завсектором в табели о рангах)

                      Такой вот терминологический парадокс

                      Only users with full accounts can post comments. Log in, please.