company_banner

Специалист по информационной безопасности. Что делает и сколько зарабатывает

    Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.

    В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.

    Кто такой специалист по ИБ сейчас


    Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.

    Но есть и более узкие специальности уже внутри сферы:

    • Пентестеры — так называемые «белые», или «этичные» хакеры. Они не взламывают ресурсы бизнеса незаконно. Вместо этого они работают на компании и ищут уязвимости, которые потом исправляют разработчики. Бывает, такие люди трудятся на окладе, или участвуют в программах Bug Bounty — когда бизнес просит проверить их защиту, обещая за найденные баги премию.
    • Специалисты по разработке — такие специалисты участвуют создании приложений и программ. Проще говоря, изучают архитектуру и готовый код и подсказывают, что здесь может быть ошибка или «форточка» для взлома. Банальный пример — оставить в форме ввода сайта возможность отправить SQL-инъекцию.
    • Специалисты по сетям — они ищут возможные потенциальные и известные уязвимости в аппаратных и сетевых комплексах. Проще говоря, знают, как с помощью Windows, Linux или других систем злоумышленник может попасть в ваш компьютер и установить нужное ПО. Могут как найти возможность взлома, так и создать систему, в которую будет сложно попасть.

    Есть ещё один вариант деления специалистов:

    • Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
    • Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.

    Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.

    Специалист по информационной безопасности сейчас — этот тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.

    Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.

    Чем занимаются специалисты по информационной безопасности


    Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.

    Вот типичные задачи специалиста по ИБ:

    • Изучить систему информационной безопасности в компании, разобраться, где есть явные уязвимости.
    • Посмотреть общую ситуацию, узнать, кто в принципе может заинтересоваться взломом компании.
    • Составить программу внедрения защиты. Решить, что исправлять сначала — например, настроить протоколы доступа, прописать скрипты защиты, настроить систему генерации паролей.
    • Разобраться с продуктом — найти уязвимости в коде, составить техническое задание на устранение.
    • Провести оценку системы защиты — провести согласованные атаки на сетевые ресурсы.
    • Проанализировать мониторинг — узнать, кто интересовался системой, какими способами, как часто.
    • Внедрить защиту для особо слабых узлов.

    Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.

    Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Еще 10% — это что-то новое, что ещё не прописали в методичках и документации.
    Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берёт готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.

    Как стать специалистом по ИБ


    Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.

    Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.

    Нужен ли технический бэкграунд


    Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.

    Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.

    Нужен ли английский язык


    На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.

    Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.

    Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.

    Что нужно знать для старта работы


    Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:

    • Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.
    • Только сети — если посмотреть на структуру таких курсов, то окажется, что это учёба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
    • Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.

    Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.

    То есть и законам, и настройкам сети, и хакингу, и защите от взломов.

    Стек навыков


    Вот примерный список того, что нужно знать и уметь для старта:

    • Настроить сетевой стек.
    • Провести аудит системы, проанализировать, какое место уязвимое.
    • Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
    • Настроить систему мониторинга и систему предупреждения о проблемах.
    • Учитывать человеческий фактор в построении защиты.

    Кроме этого, пригодится понимание криптографических и других методов защиты. Плюс разберитесь в нормативно-правовых актах в сфере ИБ, сфере ответственности государственных структур (ФСТЭК, ФСБ, Министерство Обороны, ЦБ).

    Стек инструментов


    Вот что нужно попробовать ещё до устройства на работу стажёром:

    • Linux — сделайте свою сборку, почитайте о популярных уязвимостях самой системы и внутренних программ.
    • Windows — пригодится умение настраивать как пользовательские, так и серверные решения. Знать, как проводить атаки через обновления, подмену драйверов или служебных утилит.
    • DLP — попробуйте популярные технологии защиты утечек данных. Проще говоря, это программы, которые умеют блокировать запись на флешку или отправку в соцсети или на почту определенных видов данных. Например, Sophos или McAfee DLP
    • IDS — системы выявления сетевых атак. Такие инструменты, если их грамотно настроить, сообщат о срабатывании определённого правила. Например, попытки неавторизованного доступа или повышения прав определённого пользователя.
    • SIEM — система, которая в реальном времени анализирует события в сетевых устройствах и реагирует при появлении настроенного правила. Проще говоря, смотрит, изменилось ли что-то в настройках, и если да — делает то, что придумал специалист по ИБ. Можно потрогать решения Splunk, IBM и LogRhythm.
    • Kubernetes. Если вы умеете разворачивать кластер Kubernetes, работать с конфигурацией и сетевой безопасностью, то шансы устроиться стажером в любую облачную компанию повышаются в разы.

    Ещё пригодится знание методологий. Разберитесь в том, как работает DevSecOps. Это современная философия, которая позволяет внедрять защиту на любом этапе разработки продукта. Пригодится, если вы будете работать специалистом по ИБ в компании, занимающейся созданием продуктов.

    Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать.

    Сколько зарабатывают такие специалисты и насколько они востребованы


    Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300–400 тысяч.

    Рост в зарплате


    Вот типичная картина на сайтах с вакансиями:

    • Начинающий специалист в Москве зарабатывает порядка 50-60 тысяч — это стажёр без опыта работы.
    • Junior-позиция — есть вакансии по 60–80 тысяч.
    • Полноценный специалист по информационной безопасности с опытом 1-2 года — 100–150 тысяч.
    • Специалист с опытом в 3-5 лет — 150–200 тысяч.
    • Руководитель — 200 тысяч и выше.

    Востребованность


    Спрос на специалистов по информационной безопасности высокий — только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.

    В основном предложения от 150 тысяч в Москве или Санкт-Петербурге. В регионах специалист с опытом в 1–2 года может рассчитывать на 50–120 тысяч.

    Работать удалённо предлагают только высококлассным специалистам — например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.


    Пример удалённой высокооплачиваемой вакансии

    Что почитать по теме


    Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами — только на теории дойти до уровня стажёра не получится.


    Где учиться на специалиста по ИБ


    Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.

    Вы научитесь:

    • выстраивать процесс выявления уязвимостей на всех этапах разработки;
    • определять, откуда ждать угроз, как их минимизировать и расследовать последствия атак;
    • изучите необходимые нормы законодательства, чтобы действовать в рамках закона.


    Материал подготовил Дмитрий Кузьмин.
    Нетология
    Университет современных профессий

    Комментарии 25

      +1
      в методичках и документации

      То есть где-то есть методичка «Как выстроить ИБ для чайников»?

      примерный список того, что нужно знать и уметь для старта

      Поправьте меня, если я ошибаюсь, но с таким списком знаний и умений дорога далеко не в стажёры, а в миддлы как минимум.

      что нужно попробовать ещё до устройства на работу стажёром

      Опять же, с таким багажом знаний и умений идти стажёром на 50к? Сомнительно.

      Кстати, если сопоставить разделы «Рост в зарплате» и «Востребованность», то можно заключить, что на рынке нужны исключительно специалисты с опытом 2-3 года. Так что посыл статьи «вот так легко можно стать стажёром от ИБ» выглядит немного лукавым)
        +2
        В свое время на это вот все клюнул и получил образование специалиста по ИБ (ИТМО БИТ).

        Тоже думал буду пентестером, системным программистом, сетевиком, и вообще мистер роботом. На самом деле все техническое — это только самообучение и не иначе, таких знаний ни в одном универе не дадут.

        А что дают в универе по иб? Зубрить тонны макулатуры про модели угроз, всякие РД (БИТ, АС, НСД, КД и тонны других упоротых аббревиатур), классификаторы, процессы аттестации-лицензирования и прочая не относящаяся к технарям фигня.
        Ну и основные занятия ИБшника (в понимании наших преподавателей) — писать всякие регламенты, политики (бумажные, не в компьютере), составлять журналы учета журналов учета журналов итд.

        На что похоже это образование? Ну, смесь менеджмента с правоведением и синдромом вахтера — причем эти знания не применимы нигде кроме России и если есть цель перебраться зарубеж это пустая трата времени.

        Где-то треть моих одногруппников таки работает в итоге спецами по ИБ. Самые толковые (буквально три человека) как раз работают пентестерами, крутыми сетевиками, и системными инженерами — но тут надо понимать что они ВСЕМУ ЭТОМУ ОБУЧИЛИСЬ САМОСТОЯТЕЛЬНО И НА ГОЛОМ ЭНТУЗИАЗМЕ, а образование — лишь корочка.
        Остальные — да, работают в сфере ИБ. Чем они занимаются? Пишут бумажки. Тоннами. Мегатоннами. К айти это отношения почти не имеет.

        И еще один пример. У меня есть друг, не окончивший даже двух курсов высшего образования. Совершенно не айтишник — скорее смесь бандита, вышибалы, и чОткого пацанчика. Устроился по блату несколько лет назад в крупную гос компанию ИБшником (не имея к этому никакого отношения) — уже год как начальник отдела ИБ там. Знаний — ноль.

        А вот лично я хоть и имею красный по ИБ, ни дня в этой сфере не работал. Сначала программистом, потом вообще ушел в компьютерную графику и переехал зарубеж работать в большую корпораху по этой теме.

        Делайте выводы.)))
          0

          Ну потому что выбор неосознанный. Так же и с программированием. Надо немного ответственней к выбору профессии подходить, чтоб потом не стенать на хабре)
          «Делайте выводы» — я сделал такой, что кое кто не смог никуда, кроме как в бюрократическую галеру, и остался обижен)
          Не удивлюсь, если потом и графика так же выгорит

          +1
          То, что в универах дают как «специалист по защите информации» не включает в себя ничего (по диагонали читал) из перечисленного, и при этом совпадает с требованиями госов (бумажки всякие, чтобы жопу прикрыть в первую очередь).
          Средняя ЗП в регионе — от минималки до 23к на лет 5 назад.
            +1
            Плюс можно стать невыездным если по дурости устроишься в какую клоаку типа ФСТЭК.

            Жена (тоже ИБшник по образованию) лет 5 назад туда сходила на собеседование чисто по приколу — требования волшебные: и глубокие знания в операционных системах, и программирования, и гостов со всеми руководящими документами, и жнец и на дуде игрец, но зарплата предлагалась 17 тысяч плюс 5 лет невыезда из-за секретности с допусками.

            Скажем дружно «На**р нужно».
              0
              У вас жена хотя бы на собеседование сходила.
              Я на 4 (из 5) курсе понял всю безысходность и пошел устраиваться джуном программистом без всякого опыта работы — и то больше платили, и работать научили.
              Специальность адово бесполезна даже сейчас, имхо.
                0

                Чет мягко говоря пиздежь)
                Однокурсник работал там, спокойно выезжал.

              –4
              1. Сидит в жире и пишет бессмысленные комментарии. Отвечает неспешно, задерживая задачу на разработку на пару недель;
              2. Рассказывает на встречах что безопасности много не бывает и нужно ещё что-нибудь запретить;
              3. Втихую накатывает политики безопасности после чего где то, что то перестаёт работать, а потом тихо сидит в комментах системы багтреккига и смотрит как разработчики ругаются с техподдержкой.

              Простите, статью не читал, но Вы заголовком наступили на больную мазоль. Наверно где то есть разумные специалисты по ИБ, а мне просто не везёт :-(.
                +2
                Возможно, просто не стоит одного и того же человека сажать и безопасностью разработки заниматься, и политики накатывать? Тогда у него наверняка появится больше времени отвечать на комменты в жире. Вы же, наверно, будучи разработчиком циски не конфигурите?
                  0
                  Блин, тебе и с кармой не везёт, чувак ((((
                  +3
                  В данную специальность необходимо «прийти» из администраторов/программистов, кто углублялся в тематику сетей, защиту, шифрование, работу api. Приходить на данную вакансию после университета не самая лучшая идея, имхо.
                    +3
                    У меня дикий испанский стыд от этой статьи.Я понимаю что деньги не пахнут и можно любую хрень написать, ладно народ в теме только вздохнёт увидев это. Но знай, если какой-то бедный ребёнок наткнётся на эту дрянную лживую агитку и сломает себе жизнь, попадая в наше ИБ болото и особенно если свяжется с секреткой- его жизнь будет на твоей совести, автор!
                      +1
                      Сходит молодёжь на такие вот курсы… а потом я на семинаре спрашиваю у студента, обучающегося на безопасника: «какие типы DDoS атак знаешь?», а он отвечает: «да мне это нафиг не надо! У меня однокурсник поднял свой стартап вообще без этих знаний и гребёт деньги лопатой».
                      Действительно.jpg
                        0
                        Главный бэкграунд для ИБ-спеца — посидеть в тюрьме за хакерство.
                        Привет Митнику.
                          +2
                          Ага, а потом от тебя будут как от прокаженного бежать.Не в этой стране сударь, не в этой.
                          +2

                          Дикая дичь а не пост.

                            +1

                            Очень интересное мнение.
                            Действтельно, знания ит, разрабботки, опыт работы с windows и unix не нужна некоторым ит безопасникам.
                            Но это очень специфические безопасники, их предел — ходить проверять формальные правила типа ПК должен быть не подключен к интернету, в лучшем случае — писать подобные бумажки, после 10 лет опыта.
                            И конечно же, такой безопасник не имеет никакого отношения к реальной безопасности сетей, сайтов, мобильных приложений, интернета вещей и ПК. Потому что каким образом он сможет создавать и внедрять политики безопасности, если он не сможет осознать даже возможные угрозы?

                              +2
                              Какая хорошая статья. Захотелось вот сходить на такие курсы, а тут читаю автора, потом комментарии и все, уже раздумала идти в сферу ИБ.
                                0

                                Толпа хейтеров не смогла с образованием пробиться в жизни, устроиться как следует — виноват институт. Не дал, не научил, не показал, не рассказал, а может чтобы преуспеть надо самому сраку от дивана оторвать и начать чего-то делать? я вот наоборот знаю многих успешных примеров, но там люди не стали бумажными кротами. Поработали, набрали опыта, параллельно подтянулись по IT и вот щас уже работают повыше.

                                  0
                                  И это всё ещё называется специалист по ИБ?
                                    0

                                    Ну да, а в чем проблема?
                                    В понимании масс студентов формируется шаблон, что ибшник это бумажная работа. Хотя много где не так.

                                      0
                                      Может добавите деталей каких то, чем такие спецы занимаются? Я свой опыт выше написал, работа с бумажками и зарплата от 12к до 20к.
                                        0
                                        пример 1.
                                        мой товарищ поработал на бумажках, пока сидел работал с бумагой параллельно изучал ИБ по иностранным ресурсам)
                                        в итоге после 3-4 летнего опыта в ИБ какого-то банка ушел работать в один дата-центр, заниматься облачной безопасностью) в подробности работы я не вникал. скажу лишь, что деньги там другие, бюрократии минимум.
                                        пример 2.
                                        там где я работал раньше, компании связанная с авиа строением)
                                        я объединял все сразу
                                        -бумаги (тратил на документы не более 10минут, т.к. все было зашаблонено)
                                        -полностью отвечал за МСЭ и антивирусное ПО. иными словами администрирование этого всего, от создания и прописывания политик, до устранения сбоев в системе)
                                        пример 3.
                                        рандомный парень с хабра, отписался где-то в постах по ИБ или КБ не помню.
                                        кароче занимался ИБ в общих чертах, бумажки в основном. Потом когда дернули рубильник компании а-ля taxcom и утвердились цифровые подписи ему было вверено разобраться «что и как». Он с головой залез в криптографию, прочитал пяток толстых зарубежных книг по этой теме и вот итог — щас работает в разработке по этой теме)
                                        я не знаю как в других регионах, в МСК и СПб вариантов развития по этой теме много.
                                          0
                                          Ну т.е. никому не помогло то, что дают в универах, всему пришлось учиться самому.
                                          Более того, 2 и 3 вариант ваще к ИБ отношения не имеют, ну разве что очень частично и сбоку.

                                          От этого и грустно же, что дают какое то образование, но в реальности нужно не оно. Пять лет (нынче наверное 4?) потратить на то, что никому не надо — грустная история.
                                            0
                                            2 и 3 вариант ваще к ИБ отношения не имеют, ну разве что очень частично и сбоку.

                                            нет чувак, как раз 2 и 3 и чистейшая ИБ, просто на аппаратно-программном уровне) а вот бумаги ФСТЭКовские задрюкивать это уже прикладное. в такую безопасность на уровне бумажек много ума встроится не нужно.
                                            я бы взял подкованного технаря, его учить не требуется в таком количестве. а вот подтягивать чела шарящего документы, но 0-вого в технике уже труднее.
                                            Ну т.е. никому не помогло то, что дают в универах, всему пришлось учиться самому.

                                            ну как сказать, общие алгоритмы ИБ, понимание на уровне как это должно быть, значение каких то фундаментальных вещей/документов объяснили в универе) в 3 примере, у чувака очень жестко был уклон в криптографию, с его слов, и довесом — математика сильно была подточена на крипту. так что тут универ помог)
                                            а насчет программ и прочего, зачем учить в универе? ну во всех компаниях разный подход. Ну а так, концепция такая — 4 года общий профиль ИБ, потом можно в магистратуру — там уже конкретно разбирать будут и аппаратно программный комплекс, и методы, и политики, и тд. (ВАЖНО! ЗАВИСИТ ОТ ИНСТИТУТА), но насчет магистратуры опять же скажу так, по опыту, мне показалось, что я примерно за пол года усвоил на практике на работе больше, чем 2г в магистратуре) но я не учился в ней. я бакалавриат закончил.

                                            От этого и грустно же, что дают какое то образование, но в реальности нужно не оно.
                                            а где не так?
                                            с производством та же история — учат одному, на практике выясняется — что все иначе, все не так.
                                            более менее отрасль, которая коррелируется с инстами — медицина. все остальное посредственно, тупа для диплома и формирования общего понимания)

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.