что нужно чтобы стать специалистом по кибербезопасности
Специалист по информационной безопасности. Что делает и сколько зарабатывает
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Специалист по информационной безопасности сейчас — этот тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Еще 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берёт готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
Стек инструментов
Вот что нужно попробовать ещё до устройства на работу стажёром:
Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать.
Сколько зарабатывают такие специалисты и насколько они востребованы
Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300–400 тысяч.
Рост в зарплате
Вот типичная картина на сайтах с вакансиями:
Востребованность
Спрос на специалистов по информационной безопасности высокий — только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.
В основном предложения от 150 тысяч в Москве или Санкт-Петербурге. В регионах специалист с опытом в 1–2 года может рассчитывать на 50–120 тысяч.
Работать удалённо предлагают только высококлассным специалистам — например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.
Пример удалённой высокооплачиваемой вакансии
Что почитать по теме
Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами — только на теории дойти до уровня стажёра не получится.
Где учиться на специалиста по ИБ
Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.
Как стать специалистом по кибербезопасности? Страх и ненависть в ИБ
Очередной раз начали появляться новости с аналитикой будто уже в следующие пару лет на рынке будет катастрофическая нехватка специалистов в области информационной безопасности (сократим до аббревиатуры «ИБ»). По версии ХХ в России не хватает уже порядка 30 тысяч специалистов. Звучит перспективно с точки зрения карьеры – низкая конкуренция, иди и работай. Однако, как выглядит карьера ИБшника на Российском рынке?
У меня на этом рынке стаж работы приближается к круглой дате, если не считать профильное образование в этой области и за это время сформировалось устойчивое мнение о рынке ИБ в России и карьере в этой области. Дальше об этом речь и пойдет. Всё описанное дальше скорее для тех, кто решает ворваться (на самом деле достаточно просто шагнуть) в этот рынок или посмотреть на что-то другое.
Часто на разных ресурсах специализацию в области ИБ описывают как нечто сложное, загадочное, неопознанное и романтичное. В основном у всех, кто ещё не знаком с этой областью работа в ИБ ассоциируется непосредственно с хакерами и создается впечатление, что все ИБшники обладают этими навыками (взламывают сайты, крадут пароли, пробивают по IP и т.д.). Из-за этого вход на этот рынок выглядит максимально сложным и кандидату чаще кажется невозможным устроиться на работу ИБшником, не обладая этими знаниями. Однако, реалии таковы, что большинство специалистов ИБ даже не представляет, как это происходит. Более того значительная часть «специалистов» не особо и в ИТ разбираются. От чего же это так?
Рынок ИБ делится так же, как и все остальные рынки на заказчиков и исполнителей. Начнем с описания работы на стороне заказчиков.
Основными заказчиками на рынке ИБ выступают Государственные организации (далее сокращу просто до слова «ГОСы», банки, крупный и средний бизнес. Так сложилось, что половина моего трудового стажа прошла именно в Государственных организациях. О специфики работы в этом секторе можно написать книгу, но, всё же, постараюсь сократить до необходимого минимума.
Начнем с того, что главное задачей в ГОСах в ИБ является не защита от злобных хакеров и вредоносного программного обеспечения, а выполнение законодательных и отраслевых требований, и это является главной проблемой на Российском рынке. Зачастую в этом секторе важнее понимать какие законы в области ИБ существуют, как они трактуются, как они касаются конкретной организации и как их можно обойти закрыть. По факту это работа с «бумажками»: составление внутренней распорядительной документации, регламентов и положений, связанных с государственной и коммерческой тайнами, а также обработке информации, связанной с персональными данными или данными для служебного пользования. Здесь требуется знать как категорировать информацию, какая часть информационной системы к какой категории относится, и какими средствами защиты это должно закрываться (последнее описано курирующими государственными службами), и нужно ли вообще это защищать. При этом при всем, есть ещё отраслевые требования, которые могут быть шире, чем законодательные требования, приказы и положения. В этих секторах нет устоявшегося стандарта расположения блока ИБ в штате организации. ИБшники могут как существовать в блоке ИТ, так и в отдельном управлении. Однако, техническая сторона ИБ (внедрение средств защиты информации, настройка и сопровождение) ложится на блок ИТ (и это не только в ГОСах так). Связано это с тем, что бюджет на информационные системы как на актив ложится именно на блок ИТ. Отсюда возникает другая проблема – бюджет на обеспечение средствами защиты информационной системы организации формируется именно в блоке ИТ. Из-за этого ИБшники и ИТ постоянно воюют за приоритезацию бюджета. При этом, если блок ИБ не сможет донести до руководства ИТ необходимость закупки того или иного решения ИБ, то в бюджетный план на следующий год это и не попадет. У высшего руководства тоже не всегда получается добиться поддержки, потому что в данном случае нужно описывать также экономическую целесообразность закупки того или иного решения (или сервиса). А как показать возможный финансовый ущерб от хакерской атаки, если она в этой организации ещё не возникала? Да и большинство организаций уверены, что их никто не атакует и они никому не нужны. В итоге приходится жить с тем, что имеешь!
Однако, недопонимание встречается не только со стороны ИТ, но и ИБ из-за отсутствия необходимых технических компетенций (а когда им их повышать, если они только что и делают, так это пишут проклятые бумажки): требования законодательства обязуют использовать в информационных системах средства от несанкционированного доступа, которое жрет достаточно много компьютерных ресурсов так ещё и является агентским решением, которое должно устанавливаться на каждую рабочую станцию в организации. А если это предприятие с 4к пользователями, где парк машин с ОС Windows 7 и не потому, что сложно закупить (хотя это тоже требует не мало финансов) новые версии Windows 10, а потому что этот парк компьютеров устаревший и не потянет эту операционную систему, а тут ещё и агент средства защиты информации будет жрать ресурсы как бешеный.
В итоге для того, чтобы внедрить только одно решение уже потребуется обновить парк компьютеров! Просто представьте сколько это денег! А они не у каждого ГОСа есть, а зачастую ещё главная отраслевая компания распоряжается этими финансами, а не само предприятие.
Конечно, это не везде так, но из-за таких ситуаций рабочими обязанностями обычного специалиста являются задачи по маранию бумаги. Не идет речь о работе с какими-то инцидентами информационной безопасности, нет работы с технической составляющей (напомню этим занимаются ИТшники). Отсутствует даже возможность узнать на сколько текущая ситуация в компании расходится со стандартами ИБ. Уже через год такой работы молодой специалист полезет на стенку от скуки, и эта работа будет больше связанна с менеджментом вопросов ИБ, вот такая романтика.
Проработав год в такой компании, единственное, чему вы научитесь, это выполнять требования ИБ в конкретной организации, у вас не появится каких-то специфичных знаний в области ИБ, которые в дальнейшем вам помогут успешно продвигаться по карьерной лестнице (хотя каждый себе сам ставит потолок), расширить кругозор не получится.
Несомненно, вы начнете разбираться в законодательной базе, это полезно. Но для того, чтобы изучить эту базу и понять требуется не так много времени. Для такой работы не требуется специфических знаний в ИБ. Но HR упорно продолжают писать в требованиях, что вы должны знать как работать с различными средствами защиты информации, знать всю законодательную базу, иметь высшее специализированное образование и вообще опыт работы не менее 3-х лет (это всё там даже применить не получится). А ЗП предложат всего 60-80к. Не так давно увидел объявление одной такой крупной компании в Москве:
Наименование такого «прекрасного» работодателя закрасил, но если вдруг кто заинтересовался, то по этому описанию и сами сможете определить.
Не то чтобы это пропасть, можно построить карьеру и в госсекторе, но без связей, скорее всего, за пределами текущей компании вы сможете претендовать только на такую же позицию.
Но за пределами госсектора всё обстоит гораздо лучше. Там не все относятся к ИБ так, будто главная задача — это защититься от законодательных требований. В банках и крупных коммерческих организациях чаще всего уже сформирована финансовая оценка информационных активов компании и выбить бюджет на защиту этих активов у руководства не является сложной задачей. Нет требований к конкретным средствам защиты информации (здесь имеется в виду, что в некоторых государственных компаниях в отраслевых требованиях прописано у какого производителя закупать то или иное решение ИБ). Здесь и руками дадут пощупать и заставят разбирать вопросы легитимности того или иного инцидента ИБ, возникшего в инфраструктуре компании, да и ИТ с ИБ дружат лучше. И в этих секторах подбор специалиста будет уже более узконаправленный: под задачи менеджмента ИБ, сопровождения средств защиты информации, безопасную разработку программного обеспечения организации, поиск уязвимостей в инфраструктуре нанимаются отдельные специалисты, которым не вменяют в задачи делать всё подряд. Но надо учитывать, что большинство компаний не проявляют желания плодить разный парк производителей средств защиты информации (сократим до СЗИ) у себя в инфраструктуре. И это нормально, не всё так хорошо интегрируется с различными СЗИ. Подружить из между собой не всегда решаемая задача. Поэтому не особо надейтесь расширить свой кругозор по линейке производителей, но это и ненужно.
Освоив один класс решений, вы сможете уже интуитивно понять, как работать с решением другого производителя. В таких компаниях вы получите знания как работать с нормативной базой в этом секторе, будь то банк или промышленное производство, поймете, как выглядит модель угроз конкретно для вашего сектора, возможно, даже получите опыт управления проектами ИБ, взаимодействуя с подрядчиками. Такой опыт ценится на рынке, да и уровень зарплат в таких компаниях выше, чем в госсекторе.
На сегодня, пожалуй, всё! В следующей статье я опишу как выглядит работа в компаниях исполнителей, которые оказывают услуги ИБ на рынке и как выглядит возможный карьерный рост начиная с молодого специалиста. Ну и, конечно, уровень зарплат. И уже станет понятно стоит ли вам для себя открывать эту «дверь».
Как стать информационным безопасником?
Хочу в недалёком будущем работать в информационной безопасности. Как правильнее это реализовать? Вижу две траектории: второе высшее/магистратура по профилю или самообразование («Курсера», «Хабр», книги и так далее).
Расскажите о вашем опыте работы в ИБ: что нужно изучить, как правильнее впоследствии «продать» себя потенциальному работодателю? Образование у меня гуманитарное и давно заброшенное, технические трудности не пугают и я к ним готова. На данный момент совмещаю работу в финансах, трейдинг и копирайтинг — всё удалённо. На горизонте 5 лет планируется эмиграция в Европу. Для себя вижу порог входа в профессию в пределах минимум 3 лет. У мужа техническое образование, он руководит отделом DevOps-инженеров, готов помогать и всячески поддерживает моё начинание.
Я не планирую бросать трейдинг, но хочу уйти из финансов: работодатель осенью выводит нас с удалённого формата работы в офис, а в офис я возвращаться больше не хочу. Равно как и искать новую работу в этой сфере тоже не хочу. У меня есть определённые накопления и относительно стабильный доход от трейдинга, поэтому офисную работу брошу без сожалений.
Буду признательна за полезные советы, наводки, рекомендации вузов (если дистанционно — возможно, зарубежных) и описание подводных камней. Если всё же необходимо вузовское образование, в этом году ещё не поздно подать документы на второе высшее, в приоритете — заочное/дистанционное обучение. Если лучше магистратура — морально готова потратить год на подготовку к поступлению.
Дискуссии. Обсуждаем финансовые вопросы и даем советы друг другу
Если цель «войти в айти», то ИБ это не самый лучший путь: зарплаты сильно ниже, чем у разработчиков, знаний нужно существенно больше, вакансий существенно меньше. Если хочется «войти в айти» потому что хайп и деньги, то лучше учить питон и идти разрабатывать или уйти в QA.
Если первые два, то хватит магистратуры или бакалавриата любого вуза, после этого можно пойти в какой-нибудь ФСТЭК даже без собеседования и получать свои 20к в месяц.
Лучше всего изучать все самому, благо БЕСПЛАТНЫХ курсов в интернете достаточно, платные это опять же пустая трата времени, вас там ничему не научат, может дадут какой-то обзор, но точно не больше.
Лучше всего учится на практике, постепенно подтягивая под это теорию, для этого множество площадок есть: hack the box, rootme, ctftime и тд. Обучающие видео и курсы: spbctf, liveoverflow, portswigger academy, hackerdom, курс от ugractf и много других.
Обязательно английский и какой-нибудь язык программирования.
Из теории, в среднем, надо знать устройство операционных систем windows и Linux, на уровне продвинутого пользователя, устройство сетей, принципы работы веб приложений, атаки на них и типичные уязвимости, методв защиты, основы криптографии, основы реверс-инжениринга.
Можно ходить на стажировки, но туда обычно порог вхождения высокий, и с наскока вы отвалитесь на отборе. Из стажировок могу посоветовать summer of hack от digital security.
После пары лет практики и теории можно пытаться подаваться на джунов на скромные зарплаты в различные компании, проходить собеседования, записывать вопросы и после собеседований искать на них ответы, если чего-то не знаешь. Через 5-10 собеседований скорее всего уже получиться устроиться на работу.
Oleg, пробейте, пожалуйста! Вторая сторона такая же
Устроиться на начальную должность в аналитический центр крупного интегратора.
Как правило на такие вакансии не требуются базовые знания. Поэтому вакансии есть всегда.
За 2-3 года вполне реально определиться с вектором развития: руководство проектами, внедрение, чистая аналитика, архитектура и проектирование, аудиты и тд.
Обычно за 2 года младший аналитик становится старшим и начинает вести свои проекты.
идти за каким-то дополнительным образованием в магистратуру совсем не обязательно. я физик по образованию. со старта в ИТ, в том числе безопасностью занимаюсь. Образование дает легкий бонус при устройстве, но крайне мало влияет на общий рост.
как и везде: надо уметь работать и давать тот результат, который от тебя просят. 🙂
Кирилл, но на самом деле почти везде в требованиях к кандидату на должность специалиста по ИБ пишут о профильном образовании, либо о переподготовке в объёме 500 часов.
Ибо нужна большая база в плане понимания технологий и прочих вещей.
Приведу пример, в руководящих документах ЦБ по инф. безопасности есть требование: необходимо обеспечить сетевую изоляцию на втором (канальном) уровне модели OSI.
Не думаю, что человек без хорошей переподготовки можно будет норм работать.
У нас есть случаи что люди учатся на ИТ/ИБ и не все понимают ))) а вы говорите гуманитарий курсы почитал в интернете и безопасник готов ))
Роман, «а вы говорите гуманитарий курсы почитал в интернете и безопасник готов ))»
я этого не говорил. Более того, я сказал, что не обязательно идти за дополнительным образованием. Опять же, потому что «учатся и не понимают»
надо просто начинать работать.
За 2 года, больше 3тысяч часов, вполне можно получить основы и более глубокие знания, достаточные для развития.
В нашем регионе на должность младшего аналитика есть несколько вакансий без требований каких-то навыков в области ИБ
Кирилл, «учатся и не понимают» потому что не работают. Просто так учиться и эти знания не применять такое себе
Script, ну дык о чем и речь. Такое ощущение, что меня игнорируют и читают какого-то другого человека )))
Кирилл, так я с вами и согласилась)
Script, я этот пример привёл для того, чтобы показать, что надо знать базовые вещи:разные устройства работают на разных уровнях, по своим принципам, протоколам и тд )
Я не говорю о том, что специалист по ИБ будет заниматься настройкой коммутаторов/маршрутизаторов )
Igor, «Это замечание дано на основании секретного распоряжения и комментировать я его не буду» ну вот кстати гораздо проще объяснить таким образом, чем разжевывать всем и каждому своё решение. + с большой долей вероятности ваше руководство всегда в курсе, что и зачем сделала СИБ
Во-первых, стоит ответить себе на вопрос – что привлекает в профессии? Если убрать публичный флёр романтики, это обычная инженерно-техническая специальность (Дмитрий Татаров отлично описал варианты). Во внутреннем подразделении – чаще всего наделённом в рабочих процессах контрольно-карательной привилегией. В исполнительской среде – это сервисная, интеграторская, продуктовая деятельность, довольно схожая с ИТ или проектированием. По уровню зрелости отрасль в России отстаёт в развитии от ИТ на 5-7 лет. Отдача от усилий и вложений в сфере ИБ в целом ниже, чем в ИТ, логистике. Это довольно узкий специфический рынок, на котором нужно понимать, зачем вы в него идёте.
Во-вторых, если вы действительно планируете миграцию, традиционная зона ответственности и подход к обеспечению ИБ в России и на Западе несколько отличаются. Исходя из этого, есть смысл смотреть либо крупные международные компании, либо локальные филиалы западных, чтобы усвоить подходы и практики. Также из международных компаний с именем рекрутёры гораздо охотнее предлагают позиции за рубежом.
Соответственно, российское образование по ИБ (или проф. переподготовка 512 часов) вам не очень нужно, оно требуется больше для выполнения требований законодательства, чем для получения реальных знаний. Хотя базу всё равно где-то надо взять! Coursera, HackerU, Udemy – если это комфортно. Для западных компаний важно подтверждение знаний, поэтому дальнейшая профильная сертификация (CompTIA, CEH, CISM) будет полезной, в скобках в принципе в порядке возрастающей сложности.
Далее, полной удалёнкой вы несколько сужаете круг возможных для себя позиций, особенно без опыта в данной сфере. Прям очень сильно. Возможно, разумным подходом будет некое диагональное движение – переход на позицию в ИБ с минимальными требованиями к техническим навыкам: администратор проектов, технический писатель, аккаунт-менеджер, ручной QA. И параллельное движение в выбранную сторону развития с получением профильного образования. Попробуйте посмотреть на компании с гибридным режимом – 1-2 дня в офисе, 3-4 дня из дома.
При отклике на вакансии, чтобы не испугать рекрутёра (а вам при таком переходе скорее всего придётся проявлять активную позицию в поиске работы) – подумайте, как адаптировать CV под нужные для профессии навыки, сделайте какое-то небольшое сопровождение с пояснением, почему и зачем вы идёте в эту сферу.
В любом случае – успехов. Поиск себя – это здорово и важно.