Start-365.ru

Работа и Занятость
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Менеджер по информационной безопасности

Навыки и требования к специалистам по информационной безопасности

Несмотря на высокую популярность профессии, обилие информационных ресурсов и материалов в открытом доступе рынок испытывает нехватку квалифицированных кадров, особенно связанных с практической информационной безопасностью.

В данной статье будет раскрыта тема востребованности специалистов по информационной безопасности, специфика требований и навыков.

Cтатистика

По статистике одного из HR-агенств, специалистам по информационной безопасности в конце 2015 г. предлагали в среднем на 21% больше, чем в январе 2015 г. Это указывает на то, что даже в условиях кризиса квалифицированные специалисты востребованы, более того, рынок ощущает их нехватку.

Действительно, тема информационной безопасности стала как никогда актуальной — это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.

Даже те компании, штат которых укомплектован специалистами по информационной безопасности, нуждаются в квалифицированной оценке зрелости защитных систем, безопасности периметра, веб-приложений и иных элементов инфраструктуры — показательно всё увеличивающееся количество инициаторов BugBounty программ, причём сумма выплат колеблется от $100 до $20000 за уязвимость.

Вакансии

Исходя из данных, представленных на сайтах по размещению вакансий средний уровень заработной платы специалистов по информационной безопасности с опытом 1-3 года находится на уровне 40.000-70.000 рублей. Это относится к специалистам начальной группы (junior), с малым опытом работы, по профессиональным требованиям и обязанностям это хорошо видно (здесь и далее представлены «усреднённые» показатели):

Обязанности:

  • Администрирование межсетевых экранов Cisco ASA и Kerio Connect;
  • Администрирования сервера антивирусной защиты, мониторинг состояния клиентов, удаление вирусов, тонкая настройка защиты;
  • Поиск уязвимостей с помощью специализированного ПО и их устранение;
  • Мониторинг выхода обновлений для ОС, ПО и сетевого оборудования;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Периодический анализ логов.

Требования:

  • Опыт администрирования ОС Windows от 1-го года;
  • Базовые знания ОС Linux от 1-го года, уверенная работа в командной строке;
  • Базовые знания работы сетей. IP адресация, статическая маршрутизация, модели ISO OSI, TCP;
  • Опыт администрирования Active Directory: настройка групповых политик(GPO), управление правами пользователями;
  • Опыт настройки систем защиты от НСД на базе Windows;
  • Опыт настройки антивирусных систем;
  • Опыт разработки сложных конфигураций межсетевого экрана IPTables;
  • Умение настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.

Как видно из описания это скорее системный администратор с уклоном в ИБ, нежели «чистый» безопасник. Какую-то определенную конкретику в навыках выделить сложно. Кто ищет кандидатов — компании любой направленности, выделить область сложно.

Специалисты с опытом 3-6 лет относятся уже к middle. Навыков и опыта требуется больше, но и уровень заработной платы гораздо выше. Эти специалисты, как правило, имеют хороший технический бэкграунд (системное администрирование, поиск узявимостей), хорошо знают приложения, техники и методологию. Этих специалистов условно можно разделить на два направления — нападение и защита. Универсалов на этом уровне (пентестер + специалист по обеспечению ИБ) — практически не бывает в природе (либо это уже уровень senior). Средняя вилка — 70.000-100.000 рублей.

Специалист по защите информации:

Обязанности:

  • Настройка и управление подсистемами безопасности;
  • Управление инцидентами безопасности;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Анализ логов-файлов и журналов событий;
  • Участие в сопровождении IT-инфраструктуры Заказчика: обеспечение информационной безопасности и защиты персональных данных;
  • Мониторинг и контроль функционирования средств обеспечения ИБ;
  • Поддержка работоспособности, администрирование и обеспечение бесперебойной работы специальных средств защиты информации;
  • Внесение изменений в настройки средств обеспечения безопасного межсетевого взаимодействия при обнаружении признаков атаки на ВС;
  • Контроль нештатной активности внутренних пользователей ВС;
  • Анализ инцидентов ИБ и их решение;
  • Проведение аудитов, подготовка организационно-распорядительной документации и отчетов по ИБ.

Требования:

  • Высшее образование (ИТ, информационная безопасность);
  • Знание принципов построения и функционирования сетей и протоколов стека TCP/IP;
  • Знание модели ISO/OSI;
  • Понимание принципов компьютерной и сетевой безопасности, безопасности web- приложений;
  • Знание принципов работы средств обеспечения безопасности (корпоративные антивирусы,WAF, системы обнаружения вторжений и т.д.);
  • Windows и Linux на уровне администратора;
  • Опыт автоматизации (bash, perl, python);
  • Опыт проведения анализа защищенности;
  • Профессиональные знания используемого в инфраструктуре работодателя профильного ПО (от корпоративных антивирусов до DLP/IDS/IPS/SIEM и т.д).

Пентестер:

Обязанности:

  • Выполнение тестирования информационных сред и программных продуктов компании;
  • Тестирование информационных систем на отказоустойчивость;
  • Инструментальный анализ информационных систем;
  • Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
  • Тестирование на проникновение;
  • Анализ безопасности исходных кодов программных продуктов.

Требования

  • Опыт работы по выявлению уязвимостей систем;
  • Опыт работы с Burp Suite, Hydra;
  • Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
  • Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
  • Знание принципов построения и работы веб-приложений;
  • Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
  • Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
  • Опыт проведения тестирования на проникновение;
  • Опыт проведения аудита систем ИТ и ИБ.

В требованиях к таким специалистам больше конкретики, заточенной на область применения в той или иной сфере, включая методологии и тип используемого программного обеспечения. Таких специалистов ищут представители e-commerce, финансового сектора, интеграторы, крупные/распределенные ритейл-компании и т.д.

Cпециалисты с опытом работы от 5-6 лет — senior. Как правило это руководящая должность — начальник отдела анализа защищенности; начальник отдела управления информационной безопасности; аналитик; крупный сейл ИБ-вендора; узскопециализированный пентестер. Уровень заработной платы от 120.000 до 200.000 рублей.

Людей из этой категории довольно мало, и, как правило, они «на слуху» в отрасли. Это специалисты, хорошо разбирающиеся в предметной области, и, как правило, имеющие экспертную квалификацию в узкой специализации. Приветствуется опыт выступления на конференциях либо другая общественная активность — значит кандидат следит за трендами и получает своевременную оценку профессионального сообщества.

Из требований здесь встречаются следующие:

  • Высшее ИБ/ИТ образование;
  • Наличие сертификатов;
  • Наличие публикаций и статей в предметной области;
  • Опыт публичных выступлений;
  • Знание основных методик, классификаций и международных практик (OSSTMM, OWASP, WASC, NIST SP800-115 и др.);
  • Навыки выявления угроз ИБ на основе сведений об уязвимостях (классификация угроз, формирование рекомендаций по устранению уязвимостей и минимизации бизнес-рисков);
  • Знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов РФ, регулирующих отношения, связанные с защитой информации ограниченного доступа (не относящейся к гостайне), руководящих документов ФСТЭК, ФСБ, в том числе по защите банковской тайны, АСУ ТП, коммерческой тайны, знание СТО БР ИББС, PCI DSS, ISO 27xxx;
  • Английский язык;
  • Наличие лидерских качеств, умение добиваться поставленных целей, инициативность, активность, навыки самоорганизации, ответственность;
  • Умение программировать на одном или нескольких скриптовых языках;
  • Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks и Cisco ASA. и т.д);
  • Экспертные знания в узкоспециализированных системах: (например SCADA/ERP/SS7/Hardware);
  • Опыт разработки собственных средств/утилит/методик;
  • Опыт разработки технической и аналитической документации;
  • Опыт проведения статистических исследований;
  • Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика;
  • Опыт участия в крупных проектах по анализу защищенности или аудиту информационной безопасности.

Требования представлены в усредненном варианте для вышеперечисленных специалистов. Профессиональные навыки соискателя, как правило, известны и таких людей «хантят» не под определенную задачу, а под целый этап или уровень жизнедеятельности компании. Такого рода специалисты востребованы в финансовой сфере, ИТ-интеграторах, ИБ-вендорах, крупных ИТ-компаниях.

Вершина пирамиды (lead) — специалисты с опытом от 10 лет. К этой категории относятся CTO, CISO, системный архитектор, team lead. Уровень зарплаты от 200.000. Как правило, это известные люди в отрасли информационной безопасности, с обширным опытом и связями.

Требования/навыки: здесь обычно смотрят на выполненные проекты, направление деятельности. По навыкам могут запросить полный список с предыдущих позиций (а он обычно обширный к этому этапу), либо просто будет указан необходимый результат работы. В случае этих позиций смотрят уже не на знания, а на достижения.

Такие специалисты требуются крупным интеграторам, ИБ-вендорам, крупнейшим технологическим компаниям, финансовой сфере, в государственном секторе.

Подводя итоги

Защита информации для участников рынка становится одной из приоритетных задач. Обеспечить такую защиту только автоматизированными средствами, практически невозможно. Востребованность специалистов в сфере ИБ растет с той же скоростью, с которой развиваются и сами информационные технологии.

Проблема образования и дальнейшего трудоустройства заключается в извечной проблеме «нет работы, потому что нет опыта, потому, что нет работы…» и читать эту фразу можно по кругу бесконечно. Общепризнанный факт, что диплом сам по себе не дает приоритета. К моменту выпуска бОльшая часть знаний уже не котируется.

Наиболее быстрый и удачный выход из ситуации – самообразование.

Должностная инструкция специалиста по защите информации

Должностная инструкция специалиста по защите информации

Общие положения

1.1. Специалист по защите информации относится к категории специалистов, принимается на работу и увольняется с нее приказом руководителя предприятия по представлению начальника отдела по защите информации.

1.2. На должность специалиста по защите информации I категории назначается лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее [значение] лет; на должность специалиста по защите информации II категории — лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации либо других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее [значение] лет; на должность специалиста по защите информации — лицо, имеющее высшее профессиональное (техническое) образование, без предъявления требований к стажу работы.

Читать еще:  Менеджер по оценкам рисков

1.3. Специалист по защите информации непосредственно подчиняется [вписать нужное].

1.4. В своей деятельности специалист по защите информации руководствуется:

— законодательными и нормативными документами по вопросам обеспечения защиты информации;

— методическими материалами, касающимися соответствующих вопросов;

— правилами трудового распорядка;

— приказами и распоряжениями директора предприятия (непосредственного руководителя);

1.5. Специалист по защите информации должен знать:

— законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;

— специализацию предприятия и особенности его деятельности;

— технологию производства в отрасли;

— оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;

— систему организации комплексной защиты информации, действующей в отрасли;

— методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;

— методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;

— технические средства контроля и защиты информации, перспективы и направления их совершенствования;

— методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;

— порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;

— достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;

— методы и средства выполнения расчетов и вычислительных работ;

— основы экономики, организации производства, труда и управления;

— основы трудового законодательства Российской Федерации;

— правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты;

1.6. Во время отсутствия специалиста по защите информации (командировка, отпуск, болезнь и пр.) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащее выполнение возложенных на него обязанностей.

Функции

На специалиста по защите информации возлагаются следующие функции:

2.1. Обеспечение комплексной защиты информации, соблюдения государственной тайны.

2.2. Участие в обследовании, аттестации и категорировании объектов защиты.

2.3. Разработка организационно-распорядительных документов, регламентирующих работу по защите информации.

2.4. Определение потребности в технических средствах защиты и контроля.

2.5. Проверка выполнения требований нормативных документов по защите информации.

Должностные обязанности

Для выполнения возложенных на него функций специалист по защите информации обязан:

3.1. Выполнять сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.

3.2. Проводить сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

3.3. Анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывать предложения по их совершенствованию и повышению эффективности этой защиты.

3.4. Участвовать в обследовании объектов защиты, их аттестации и категорировании.

3.5. Разрабатывать и готовить к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.

3.6. Организовывать разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.

3.7. Давать отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.

3.8. Участвовать в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивать их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.

3.9. Определять потребность в технических средствах защиты и контроля, составлять заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролировать их поставку и использование.

3.10. Осуществлять проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

Права

Специалист по защите информации имеет право:

4.1. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.

4.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.

4.3. Получать от руководителей структурных подразделений, специалистов информацию и документы, необходимые для выполнения своих должностных обязанностей.

4.4. Привлекать специалистов всех структурных подразделений предприятия для решения возложенных на него обязанностей (если это предусмотрено положениями о структурных подразделениях, если нет — с разрешения руководителя предприятия).

4.5. Требовать от руководства предприятия оказания содействия в исполнении своих должностных обязанностей и прав.

Ответственность

Специалист по защите информации несет ответственность:

5.1. За неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

5.2. За совершенные в процессе осуществления своей деятельности правонарушения — в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

5.3. За причинение материального ущерба — в пределах, определенных трудовым, уголовным и гражданским законодательством Российской Федерации.

Скачать должностную инструкцию: Должностная инструкция специалиста по защите информации

Общий каталог всех должностных инструкций тут: Список разделов Должностных Инструкций!

Общий каталог описания должностей тут: Список типовых должностей!

КА «Кадровый метод»«>КА «Кадровый метод» — это современное кадровое агентство по быстрому и эффективному поиску, подбору персонала. Наше агентство по подбору персонала окажет услуги по рекрутингу необходимого Вам персонала. Ищем и подбираем топ персонал (топ менеджеров, директоров, управленцев высшего звена), персонал среднего звена, IT специалистов, менеджеров продаж, линейный персонала, бухгалтеров, врачей, стилистов, .
Информацию для работодателей по услугам поиска и подбора персонала Вы можете найти на данной странице. На странице «Акции» Вы можете узнать о наших последних акциях и спецпредложениях для Заказчиков (работодателей). На странице каталога должностных инструкций, прочитать какая должна быть должностная инструкция и скачать базовые варианты ДИ.
Если Вам интересен запрос ищу работников, то мы Вам подберем персонал, а соискателям поможем найти работу! Осуществим поиск сотрудников и поиск работников для Вас в сжаты сроки.
Для Вашего удобства мы создали раздел «Подбор персонала по профессиям» в котором мы разместили подробную информацию по основным позициям популярных заявок от Заказчиков поиска и подбора, но с привязкой к конкретному названию вакансии, к примеру секретарь, менеджер по продажам, товаровед, удаленный менеджер по продажам, менеджер по закупкам, топ персонал, руководители и т.д., а также раздел «Поиск и подбор (рекрутинг) персонала по специализациям»
Для соискателей созданы 3 полезных раздела, а именно «Как составить резюме», «Советы соискателю» и «Открытые вакансии». Соискателю станет найти работу проще! Наши советы соискателям работы помогают найти работу, если прочитать внимательно все статьи! Подписка на рассылку наших новых вакансий на странице «Подписка на новые вакансии»

Состав службы информационной безопасности

Штат любого подразделения определяется исходя из необходимости решения задач, поставленных перед таким подразделением. Функции службы информационной безопасности (ИБ) могут очень сильно различаться от предприятия к предприятию. ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» устанавливает, что при необходимости следует предусмотреть наличие контактного лица, занимающегося вопросами ИБ внутри организации, к которому могут обращаться заинтересованные сотрудники. Во многих организациях назначается менеджер по ИБ, на которого возлагается общая ответственность за разработку и реализацию безопасности и за поддержку определения мер и средств контроля и управления. Однако, на основании положений того же ГОСТ, обязанности в отношении поиска ресурсов и реализации мер и средств контроля и управления часто вменяются отдельным менеджерам. Общепринятой практикой является назначение владельца для каждого актива, который несет ответственность за его повседневную защиту.

Таким образом, к функциям менеджера по ИБ (или соответствующей службы, если позволяют размеры организации) относятся вопросы координации деятельности «заинтересованных сотрудников», в том числе «владельцев активов, ответственных за их повседневную защиту». Кроме того, координация проблем ИБ должна включать в себя сотрудничество и участие менеджеров, пользователей, администраторов, разработчиков прикладных программ, аудиторов и персонала, занимающегося безопасностью, а также специалистов в области страхования, правовых аспектов, кадровых ресурсов, информационных технологий или менеджмента риска.

Формулировки, содержащиеся в ГОСТе, определяют необходимость наличия в организации очень серьезного менеджера, обладающего достаточно глубокими знаниями бизнеса предприятия и навыками эффективной коммуникации как по вертикали (от топ-менеджмента до рядовых исполнителей), так и по горизонтали (с представителями разных областей бизнеса и сервисных структурных подразделений). Неудивительно, что профессиональный стандарт менеджера по ИБ не разработан. Специалисты, способные выполнять эту роль, должны иметь очень высокую стоимость. Если это не так, то скорее всего на позиции руководителя службы ИБ находится «зицпредседатель Фунт», основная функция которого принимать на себя последствия неисполнения требований по защите информации иными работниками предприятия.

В некоторых организациях в состав служб ИБ включают так называемых администраторов средств защиты информации, то есть лиц, в должностные обязанности которых входит функция внесения изменений в настройки таких средств. Руководитель такой службы ИБ не имеет никакого отношения к понятию «Менеджер по ИБ» из рассматриваемого выше ГОСТа, но, к счастью, и «зицпредседателем» он уже не будет являться. Он скорее будет выполнять роль старшего мастера, то есть инженера, но не менеджера по ИБ.

Читать еще:  Менеджер по рекламе навыки

Казалось бы, вот оно реальное место и роль службы ИБ в структуре бизнеса организации. Тем более, что такое понимание роли службы ИБ закладывается в некоторых отраслевых стандартах по обеспечению информационной безопасности. Вот и соответствующие профессиональные стандарты на таких специалистов по компьютерной безопасности разработаны и приняты (приказы Минтруда России от 15.09.2016 № 522н, 01.11.2016 № 598н и № 599н, 03.11.2016 № 608н, 09.11.2016 № 611н). И плевать на это непонятное иностранное слово «менеджмент». Мы по традиции пойдем своим путём. Зачем нам управлять ИБ, мы сейчас навнедряем всяческих средств защиты информации и в полном соответствии с профессиональным стандартом будем их обслуживать. Чем вам не безопасность?

Но в настоящее время сложно встретить какое-либо ПО или средство вычислительной техники, которое бы не включало в себя реализацию тех или иных функций защиты информации. В то же время так называемые выделенные средства защиты информации, то есть такие компоненты информационной инфраструктуры, основной функцией которых является реализация каких-либо мер защиты информации, но не её обработка, либо оказывают существенное влияние на функционирование средств обработки информации, либо начинают предоставлять какие-нибудь информационные сервисы. Например, современные межсетевые экраны способны осуществлять перенаправление информационного потока на основании распознавания приложения, которое формирует этот поток. Эта функция активно используется для решения задач оптимизации использования мощностей серверного оборудования.

Таким образом, между администраторами средств защиты информации, находящимися в структуре службы ИБ, и сотрудниками ИТ-подразделений постоянно возникает конфликт интересов, который, как правило, выводится на уровень топ-менеджмента организации и вызывает у них совершенно справедливое раздражение. Конфликт интересов в большинстве случаев решается на основании субъективных соображений, то есть на основании величины административного ресурса (уровня приближенности к топ-менеджеру) руководителей подразделений безопасности и ИТ. Вне зависимости от принятого решения первопричина конфликтной ситуации не устраняется, что создает постоянную напряженность во взаимоотношениях служб ИТ и ИБ.

А рецепт решения проблемы прост. Не включайте в состав службы ИБ специалистов, обеспечивающих функционирование сервисов. Любых сервисов. Служба ИБ, как и все прочие подразделения, потребляет сервисы, предоставляемые ИТ-подразделениями. Последние являются исполнителями по предоставлению сервисов, связанных с бесперебойным функционированием средств защиты информации, работникам службы ИБ, но не наоборот. Да и профессиональный стандарт специалиста по компьютерной безопасности включен в раздел специалистов по связи, информационных и коммуникационных технологий, а не обеспечения безопасности. Специалист по компьютерной безопасности должен, в соответствии со своим профессиональным стандартом, уметь обслуживать, настраивать (администрировать) и даже разрабатывать средства защиты информации и информационные системы в защищенном исполнении, а также оценивать их эффективность с точки зрения затрат на их содержание, производительности, поддерживаемых и реально задействованных функциональных возможностей. Это все нужно, но это функции службы ИТ, ведь для службы ИБ средства защиты информации являются такими же инструментами, как для бухгалтера какая-нибудь «1С-Бухгалтерия». Разве администрирование бухгалтерской информационной системы осуществляется силами бухгалтеров?

Служба ИБ не является сервисным структурным подразделением, в её функции не входит предоставление иным подразделениям сервисов ИБ, что бы не понималось под этим понятием. Реализация мероприятий по обеспечению ИБ осуществляется всеми сотрудниками организации от топ-менеджера до рядового работника, что прописывается в их должностных обязанностях и закрепляется в трудовых договорах. На службу же ИБ или, в зависимости от размеров организации, на менеджера по ИБ возлагаются функции организатора и координатора. Служба ИБ — это управляющее структурное подразделение, а не сервисное.

Определённая часть экспертного ИБ-сообщества может мне возразить, что передача функции администрирования средств защиты информации в ИТ-подразделения снизит уровень защищенности организации, так как администраторы ИС выйдут из-под контроля. Спешу возразить, что уровень защищенности организации определяется не только уровнем обеспечения конфиденциальности информации, но прежде всего показателями эффективности и непрерывности бизнеса. Из этих соображений целесообразно назначение ответственности за надежность всех элементов информационной инфраструктуры предприятия одному лицу, а не размывать ответственность за совокупный риск нарушения непрерывности функционирования ИС наличием элементов, за которые отвечают разные подразделения, которые подчиняются порой разным топ-менеджерам. А решение вопроса контроля администраторов ИС лежит в плоскости организационных мероприятий, а не выстраивания искусственных ограничений их трудовой деятельности. Каждый работник ИТ-подразделения должен обладать абсолютным пониманием, что любое их «доброе дело», совершенное в обход установленного порядка, не останется безнаказанным. И самое большое наказание последует за попытку сокрытия фактов своей деятельности. Потертый лог — серьезнейший инцидент ИБ, за которым должны следовать самые серьезные управленческие решения.

Организационные мероприятия могут быть реализованы только по схеме сверху вниз. Совершенно не обязательно подчинять службу ИТ менеджеру по ИБ, но руководитель организации должен требовать исполнения ИБ-политик от всех работников, в том числе от службы ИТ. Служба ИБ может помочь сформулировать правила безопасной работы с информацией в подразделениях, а также предоставить соответствующим руководителям сведения о нарушениях установленных правил, но требовать исполнения этих правил от подчиненных должен кто-то один. Принцип единоначалия не должен нарушаться. Нежелание руководителя подразделения или руководителя организации вникать в вопросы ИБ, сваливая их в полном объеме на службу ИБ, не приводит ни к чему хорошему.

В настоящее время у большинства владельцев бизнеса возникает мысль о необходимости обеспечения информационной безопасности, но понимание того, что служба ИБ в принципе нужна, идет рука об руку с полнейшим недопониманием, зачем она нужна. В результате в штатной структуре организации возникают искусственные новообразования без понятных владельцам бизнеса задач. Если менеджер по ИТ организации достаточно разумен и пользуется уважением руководства, то сервисы ИТ в службу ИБ передаваться не будут. В таком случае сотрудники подразделения ИБ занимаются клепанием инструкций, положений, регламентов и прочих документов, которые призваны, в случае какой-нибудь проверки, показать, что на предприятии работа в области информационной безопасности ведётся. С этой же целью на службу ИБ возлагается задача по сочинению ответов на запросы по вопросам защиты информации от регуляторов или особо активных граждан. Хуже всего то, что практически все нормативные документы по обеспечению ИБ в организации пылятся на полках. Большинство сотрудников не то что не исполняет их положения, но порой не подозревает об их существовании. А причина в том, что эти инструкции должны быть разработаны не службой ИБ, а самим линейным бизнес-подразделением, под чутким руководством его руководителя, несущего ответственность за функционирование соответствующего бизнеса-процесса и эффективное использование вверенных ему активов. Менеджер по ИБ и подчиненные ему эксперты службы ИБ могут помочь, подсказать, разъяснить, разжевать, но не сделать этот документ вместо владельца бизнес-процесса. Иначе документ будет пылиться на полке.

Поразительно, но очень многих работников подразделений «информационной безопасности» устраивает положение дел, когда они и прочие бизнес-подразделения предприятия работают сами по себе, в разных реальностях. При этом предприятие может долго и счастливо существовать, занимать свою нишу на рынке и приносить прибыль своему владельцу. Все как бы при деле. Каждый занимается своим делом, конфликтов нет, бизнес не испытывает давления со стороны службы ИБ, а она сама работает в стол. Такая видимость бурной деятельности устраивает и руководство организации, которое видит, пусть и непонятный, но хоть какой-то результат в виде «планов по формированию планов» и многотомных отчетов по их исполнению. Устраивает она и остальных работников предприятия, которые уверены, что функция защиты информации благополучно реализуется без их участия. Но ещё больше такое положение дел устраивает нарушителей всех мастей, от банальных «несунов» собственности предприятия, до мошенников, которые щипают потихоньку, но не выходят «за рамки». И идиллия будет длиться ровно до того момента, пока такая организация не попытается выйти из отведенной ей ниши рынка или не появится некто, кому приглянется имеющийся у предприятия кусок.

Разумеется, спектр способов воздействия на организацию довольно широк, и далеко не ограничивается использованием только киберугроз, но стоимость влияния на жертву именно через бреши в ИБ стремительно снижается и, как следствие, всё чаще встречается. Служба ИБ, созданная без чёткого понимания руководством целей и задач своего существования, не в состоянии защитить организацию в случае целенаправленной атаки, хотя может долго и счастливо ежегодно обосновывать свой бюджет предоставлением никому не понятного сервиса защиты от гипотетических нарушителей, напоминая при этом больше шайку гопников, крышевавших ларьки в

Что же можно порекомендовать руководителю предприятия, который уже ощутил потребность в защите своих информационных активов, но не знает с какой стороны подступиться к этому вопросу? Безусловно, невозможно объять необъятное, включить в круг своих постоянных обязанностей еще и функцию по обеспечению информационной безопасности сложно, но ЭТО ПРИДЕТСЯ СДЕЛАТЬ! Какая бы по численности служба ИБ ни была включена в штат предприятия, это не снимет с руководителя организации ответственности за информационную безопасность. Приняв и осознав то, что ИБ придется заниматься, причем заниматься лично, руководителю организации будет значительно легче привить это понимание остальным работникам предприятия, и в первую очередь его руководящему составу. В этом случае служба ИБ будет комплектоваться экспертами-аналитиками, которые помогут руководителям всех уровней иерархии выполнять эти новые обязанности. Чем выше уровень экспертов по ИБ, тем больше обязанностей и полномочий в части управления ИБ может быть делегировано им от руководителей бизнес-подразделений. Важно понять, что сотрудники службы ИБ принимают на себя обязанности и полномочия, которые им делегировали руководители, то есть они фактически исполняют функции руководителей в части обеспечения ИБ. Было бы странно, если бы какая-либо функция руководителя высокого ранга была делегирована специалисту только с инженерными компетенциями. Менеджер по ИБ — редкая птица на рынке труда, но они есть, хотя система высшего образования их еще пока не производит.

Читать еще:  Менеджер по ипотеке обязанности

О работе специалиста по информационной безопасности

– Чем занимаются специалисты по информационной безопасности 1 ?
– Прежде всего хочется сказать о довольно странном стереотипе: первая ассоциация со словами «информационная безопасность» — какие-то страшные хакеры, которые куда-то влезают или что-то ломают. Возможно, я сейчас кого-то разочарую, но подавляющее большинство инцидентов информационной безопасности — это потеря данных из-за отсутствия резервных копий. Да и все остальные, как правило, тоже связаны с самой обычной человеческой глупостью во всех ее проявлениях.

Работа специалиста по информационной безопасности состоит в попытках предугадать и по возможности предотвратить глупости, которые могут привести к разглашению, искажению или уничтожению информации. Это цикличный процесс: разрабатывается методика, пишутся инструкции, все это начинает как-то работать, потом проводится аудит (проверка), насколько хорошо данная процедура отвечает предъявляемым требованиям, и по результатам вносятся изменения в методику.

Простейший пример: заказчику нужно понять, насколько надежно в его компании организовано хранение информации. Аудит проходит в два этапа: на первом — смотрим документы и сопоставляем их с общепринятыми практиками (использование надежных накопителей, их хранение и ротация), на втором — смотрим, как соблюдаются описанные требования (не пытается ли кто-то использовать флешку вместо внешнего жесткого диска).

Кстати, внешний жесткий диск — это устройство, которое я рекомендую вообще всем. Комплект из диска и USB-«корыта» (USB-контейнер — прим. сайта) к нему можно купить за три-четыре тысячи рублей, а это вполне приемлемая сумма даже для домашнего пользователя.

– Специалист по информационной безопасности проделывает эту работу в одиночку?
– В небольших компаниях всеми вопросами, связанными с ИТ, обычно занимается один специалист, чья должность, как правило, называется «системный администратор».

В более крупных компаниях предусмотрены отдельные должности методистов и аудиторов информационной безопасности: методисты разрабатывают регламенты и следят за их внедрением, аудиторы проверяют их актуальность и соблюдение. Если эти специалисты хорошо сработались, они прекрасно дополняют друг друга.

– В каких отраслях могут работать специалисты по информационной безопасности?
– Практически везде. Да, в первую очередь вспоминаются банки, чуть менее очевидны силовые структуры, а, например, сфера медицины не так очевидна, хотя там хранится и обрабатывается информация о пациентах, и нельзя допускать ее потерю или утечку.

– Какое высшее образование нужно получить, чтобы стать специалистом по информационной безопасности?
– Когда я нанимаю сотрудников, то смотрю не столько на вуз, сколько на то, чему человек смог там научиться. А когда у кандидата уже есть опыт работы хотя бы порядка трех-пяти лет, на диплом никто и смотреть не станет, зато подробно расспросят, над чем он работал, какие задачи возникали и как он их решал.Однако у большинства моих коллег либо физико-математическое, либо техническое образование. При этом я встречал людей, которые учились по специальности «информационная безопасность», но, насколько я понял из их рассказов и видел на практике, эта специальность ближе к архивному делу и имеет не так много общего с современным понятием информационной безопасности.

Сам я учился на факультете вычислительной математики и кибернетики МГУ. Оказались ли полезными полученные знания? Определенно да. Хотя, например, программирование (которому, с моей точки зрения, хорошо не учат нигде) и криптографию (наука о защите информации посредством шифрования и цифровых подписей) я изучал самостоятельно.

– Как студенту или выпускнику найти работу в области информационной безопасности?
– Люди приходят по-разному. Некоторые начинают карьеру со скандальных историй, когда, например, во времена студенческой молодости человек куда-то влез и что-то сломал. Но вообще на перспективных студентов идет самая настоящая охота, когда работодатели чуть ли не соревнуются за право нанять молодого специалиста.

Кроме этого, студенту доступно множество других способов обратить на себя внимание, из которых я бы выделил участие в разработке свободного программного обеспечения — в частности, применительно к информационной безопасности оно может состоять в поиске уязвимостей. Денег это первое время не приносит, но репутацию формирует.

– Какой карьерный рост может быть у специалиста по информационной безопасности?
– Как и у большинства ИТ-специалистов: руководитель группы, отдела, более крупных структурных подразделений. Высшая точка — технический директор или IT директор.

– Сколько получает специалист по информационной безопасности?
– Хороший вопрос. Отвечу так: в Москве для хорошего специалиста 100 тысяч рублей в месяц — далеко не предел.

– Какие компетенции необходимы специалисту по информационной безопасности?
– Пожалуй, я могу выделить только одно качество, без которого не могу представить никого из своих коллег: любопытство. Именно им обусловлено желание что-то понять, изучить, попробовать на практике. Если для удовлетворения любопытства нужны какие-то дополнительные знания, это опять же мощнейший стимул их получить.

– От чего можно устать в вашей профессии?
– Больше всего раздражает основная причина возникновения инцидентов — пресловутая человеческая глупость во всех ее проявлениях. Типичный пример: человек получает спам с предложением заработать много денег и переходит по ссылке, ни на секунду не задумавшись, почему отправители этого сообщения не воспользовались своим уникальным способом заработка сами. А в результате на компьютере оказывается троян, считающий биткойны для злодеев — то есть деньги человек зарабатывает, но не для себя.

– Чем может заняться специалист по информационной безопасности, решивший попробовать себя в чем-то новом?
– Обычно такие люди уходят в разработку: становятся архитекторами (специалистами по созданию проекта программного обеспечения, которые определяют и детализируют внешние и внутренние свойства системы — прим. сайта) либо тестировщиками. По сути они продолжают делать то, что и делали раньше: отлавливают ошибки либо еще до написания программного кода, либо сразу после.

– Существует ли какая-либо возможность еще в школе получить опыт, который в будущем поможет стать специалистом по информационной безопасности?
– Разумеется. Например, можно попробовать убедить своих друзей регулярно делать резервные копии. Вроде бы все понимают, что оборудование может выйти из строя, особенно такое сложное, как современный жесткий диск, но почему-то считают, что на их компьютерах нет ничего важного, вплоть до того момента, когда теряют, например, уникальные фотографии. В общем, я не сомневаюсь, что впечатлений будет масса.

Еще один вариант — самостоятельно выяснить, какую информацию о пользователях собирают поисковые службы и т. н. «социальные сети», а также подумать, что из этого им знать совершенно не следует, и сделать так, чтобы больше не давать им такую информацию.

– Что вы могли бы посоветовать почитать и/или посмотреть тем, кто хочет больше узнать об информационной безопасности?
– Прежде всего — изучить программирование. Для этого рекомендую выпущенный в 2016 году учебник «Программирование. Введение в профессию» от Андрея Викторовича Столярова, который преподает на факультете вычислительной математики и кибернетики МГУ. В настоящий момент выпущены два тома, которые доступны на сайте автора.Также могу порекомендовать книги Брюса Шнайера — американского криптографа, известного прежде всего как создатель нескольких хороших криптоалгоритмов. «Прикладная криптография» не требует от читателя знаний за пределами школьной программы, а посвященная практическим аспектам «Секреты и ложь» ближе к публицистике, чем к научному труду.

Еще один автор, которого хотелось бы упомянуть — Мао Венбо, автор учебника «Современная криптография: теория и практика». Рекомендовать его школьникам я не готов, а вот студентам курса так третьего — очень даже. К сожалению, хорошего русского перевода мне не попадалось, поэтому, думаю, есть смысл читать его в оригинале. Да, обойтись без знания английского не получится — это язык профессионального общения в среде ИТ в целом и ИБ (информационной безопасности — прим. сайта) в частности. К счастью, он достаточно прост и его изучение, как правило, не вызывает особых сложностей.

Ну и самое главное — использовать по назначению голову, то есть думать и сопоставлять информацию из разных источников, а не бездумно кидаться на какие-то методы и технологии просто потому, что они модные. Впрочем, это справедливо не только для направления информационной безопасности, но и для всей индустрии ИТ в целом: нам здесь нужны люди, которые не просто что-то знают, а постоянно следят за состоянием дел в отрасли и актуализируют свои знания. И, думаю, именно такая способность, такое умение постоянно учиться еще долго будут определяющими факторами.

  1. ^ В некоторых источниках эта профессия может также называться «специалист по кибербезопасности» — прим. cайта.
Ссылка на основную публикацию
Adblock
detector
×
×