Контакты
Подписка
МЕНЮ
Контакты
Подписка

Подготовка кадров по ИБ

Подготовка кадров по ИБ

В рубрику "JOB" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Подготовка кадров по ИБ

На протяжении уже нескольких лет крупнейшие компании и аналитические агентства из разных стран бьют тревогу: повсеместно рынок сталкивается как с нехваткой специалистов по информационной безопасности, так и с их недостаточными компетенциями. По разным оценкам, открытыми остаются от 1 до 3 млн вакансий по всему миру. В рамках этой статьи обозначим векторы развития для тех специалистов, которые только пришли в направление информационной безопасности, и систематизируем взгляд на обучение сотрудников.
Алексей Коробченко
Сотрудник службы информационной безопасности компании “Код Безопасности”

Одна из причин нехватки кадров – повышение значимости информационной безопасности как одного из направлений успешного функционирования бизнеса. Почти каждая серьезная организация хочет организовать у себя собственный отдел информационной безопасности и нанять квалифицированные кадры.

Текущая ситуация

На данный момент видно, что положение дел постепенно сдвигается в сторону улучшения:

Важно осознавать, что информационная безопасность – это профессия, смежная со многими другими. Например, специалист по информационной безопасности не сможет защитить корпоративную сеть, если он не понимает, как она устроена. Для этого пригодятся знания и навыки системного администратора, сетевого инженера, возможно навыки архитектора.
  1. Рособрнадзор создает новые учебные специальности по направлению информационной безопасности.
  2. Крупные компании начинают сотрудничать с вузами (организуются практические занятия и встречи, идет активная работа по предоставлению вузам необходимого для обучения оборудования и программного обеспечения).
  3. Обучение по специальностям, связанным с информационной безопасностью, теперь осуществляется даже в отдаленных городах нашей страны.

Но, несмотря на все это, проблема нехватки сотрудников все еще актуальна, поскольку:

  • на рынке до сих пор много неквалифицированных кадров;
  • зачастую при поиске предъявляются явно завышенные требования работодателей, которым вчерашние студенты просто не соответствуют. Так происходит даже в тех случаях, когда специалист подобного уровня вообще не нужен для выполнения поставленных задач;
  • в дополнение к предыдущему пункту – не самая высокая заработная плата по предлагаемым вакансиям во многих организациях не способствует трудоустройству квалифицированных кадров.

Комплекс знаний, умений и навыков

Обучение специалистов по информационной безопасности – тема достаточно обширная, так как для того, чтобы оставаться "в теме", специалист должен постоянно повышать свой уровень знаний.

В наше время это несложно: в свободном доступе есть большое количество статей, книг, блогов, обучающих курсов, тренингов и т.д.

Стоит учесть, что проводить на работе девять часов и заниматься только информационной безопасностью недостаточно для полноценного развития специалиста.


Важно осознавать, что информационная безопасность – это профессия, смежная со многими другими. Например, специалист по информационной безопасности не сможет защитить корпоративную сеть, если он не понимает, как она устроена. Для этого пригодятся знания и навыки системного администратора, сетевого инженера, возможно навыки архитектора.

Добавлю еще два примера:

  • чтобы защитить корпоративные сайты, специалисту необходимо понимать, какие угрозы есть для Web в целом, уметь читать чужой код и самому "руками" искать уязвимости на сайтах, знать, как правильно организовать процессы обновления, процессы взаимодействия с разработчиками сайта и т.д.;
  • чтобы защитить привычную многим 1С, необходимо как минимум понимание сетевых технологий, операционных систем, архитектуры самой 1С и, самое главное, – бизнеса, работу которого обеспечивает каждая конкретная реализация этой программы.

Без этих знаний очень сложно ограничивать права на какие-либо ресурсы в системе, так как не ясна их функциональная значимость для организации.

Варианты обучения кадров

В рамках организации возможны следующие варианты обучения:

  1. Инвестирование в молодых специалистов. Сюда входит как обучение на профильных курсах, так и внутреннее обучение у действующих специалистов/ приглашение сторонних экспертов.
  2. Собственный кадровый резерв. Внутреннее обучение своих сотрудников, которые хотят начать работать в сфере информационной безопасности.
  3. Обучение на профильных курсах. Хорошая практика получения знаний с учетом того, что в подавляющем большинстве случаев организация платит за обучение и оно происходит в рабочее время.
  4. Геймификация. Очень интересный подход к обучению, но доступен только в очень крупных организациях.

Самостоятельное обучение включает в себя самообучение и обучение на профильных курсах.

В чем отличия самостоятельного обучения от обучения и развития как специалиста в рамках любой организации?

Если организация маленькая, скорее всего вы будете единственным специалистом, отвечающим за все. Это даст понимание всех процессов в организации изнутри. Но при этом наверняка не будет большого разнообразия средств защиты информации или же бюджетов для их внедрения.

Если проанализировать рынок Российской Федерации, можно заметить, что сертификаты до сих пор не пользуются особым спросом. Исключение составляют инженеры-внедренцы, некоторые руководящие позиции и консалтинговые компании.

Если организация большая, вы получите:

  • опыт работы в больших компаниях, что само по себе важно, поскольку это совсем другая структура, модель общения между людьми и т.д.;
  • опыт работы в команде;
  • возможность получить профессиональную консультацию у более опытных коллег.

Самостоятельное обучение, на мой взгляд, самое полезное с точки зрения получения опыта и знаний, но для него требуются усидчивость и внутренняя дисциплина.

Можно выделить несколько способов:

  • чтение профильных книг;
  • участие в профильных мероприятиях;
  • прослушивание видеоуроков/курсов/лекций;
  • самостоятельное изучение соответствующего программного обеспечения в тестовых средах.

Направлений и специальностей в информационной безопасности большое количество. Вот лишь некоторые из них:

  • аналитика в области информационной безопасности;
  • инженерные позиции;
  • разработка средств защиты;
  • тестирование на проникновение;
  • аудиторская деятельность;
  • обучение/преподавание;
  • тестирование продуктов;
  • расследование инцидентов;
  • консультирование;
  • защита информации в сфере государственной тайны;
  • работы по приведению в соответствие требованиям регуляторов (вне рамок государственной тайны) и т.д.

Нужно понимать, что охватить все практически невозможно, поэтому обучение на разных направлениях будет существенно различаться.

Получение профильных сертификатов

Эта тема очень спорная, так как мнения экспертов в области ИБ кардинально разные.

Если проанализировать рынок Российской Федерации, можно заметить, что сертификаты до сих пор не пользуются особым спросом. Исключение составляют инженеры-внедренцы, некоторые руководящие позиции и консалтинговые компании.

Получать или нет – каждый решает сам, но в любом случае практически любая сертификация как минимум поможет упорядочить и систематизировать знания.

Описание основных международных сертификаций в области информационной безопасности представлено в таблице1.


Активная профессиональная и социальная позиция

Отмечу еще один важный момент обучения в сфере ИБ: чтобы стать действительно грамотным и квалифицированным специалистом, необходимо и думать немного по-другому, а именно иметь несколько взглядов на одну и ту же вещь/проблему. Есть даже такая поговорка: чтобы поймать преступника, нужно думать, как преступник.

Желательно постоянно совершенствоваться в тех вопросах, с которыми приходится сталкиваться на работе ежедневно, и при этом изучать методы, используемые условным оппонентом, поскольку понимание методов злоумышленника – это очень важная часть работы любого специалиста по информационной безопасности.


Кроме того, по моему убеждению, специалист по ИБ должен быть социально ответственным: если он видит потенциальную проблему в реализации рабочих процессов компании (даже если она напрямую не связана с его непосредственной деятельностью), то он как минимум должен сообщить сотруднику, ответственному за направление, о своих сомнениях. Любая потенциальная проблема может привести к абсолютно реальным рискам. Если существующие риски более чем реальны, а никаких действий не предпринимается, нужно вынести проблему на уровень руководства более высокого звена.

Практика обучения молодых сотрудников

Приведу примеры того, как мы готовим стажеров и новых сотрудников и проверяем их знания в службе информационной безопасности:

Практика показывает, что для молодых специалистов это самая неприятная тема, очень мало у кого есть даже начальное осознание того, как все устроено на самом деле. Вместе с молодым специалистом мы составляем карту нормативной документации (верхнеуровневую) с кратким описанием, какой регулятор за что отвечает, какие основные документы есть и какой у них статус.
  • читаем вводные лекции о том, что такое информационная безопасность на практике;
  • даем общее понимание процессов, составляющих рабочий процесс в каждом отделе и в компании в целом;
  • проводим знакомство с сетью, а также с сетевыми и защитными решениями, используемыми в организации;
  • даем задание по изучению с последующим аудитом корпоративных систем. По результату аудита любой корпоративной системы мы получаем отчет в свободной форме об обнаруженных недостатках реализованной архитектуры или ошибках конфигурации;
  • стимулируем получение практических базовых навыков в программировании за счет решения "боевых" задач;
  • помогаем в систематизации понимания нормативно-правовой базы и документов регуляторов. Практика показывает, что для молодых специалистов это самая неприятная тема, очень мало у кого есть даже начальное осознание того, как все устроено на самом деле. Вместе с молодым специалистом мы составляем карту нормативной документации (верхнеуровневую) с кратким описанием, какой регулятор за что отвечает, какие основные документы есть и какой у них статус;
  • отдельно проходимся по критичным вещам, например 152-ФЗ, 63-ФЗ, 98-ФЗ, базовым документам основных регуляторов в области информационной безопасности (ФСТЭК и ФСБ).

Крайне приветствуются вопросы о реализованных проектных решениях, поскольку они показывают интерес к задаче и понимание рассматриваемой системы. Причем вполне реальны ситуации, когда свежий взгляд помогает оптимизировать работу того или иного процесса либо уменьшить поверхность для атаки на него. Это дает молодому специалисту прекрасную возможность приобщиться к общему делу и непосредственно в ходе работы понять многие вещи и процессы в организации.

Полезные рекомендации 

В заключение хочу дать несколько советов для действующих и будущих сотрудников информационной безопасности:

  • старайтесь учиться тому, что у вас хуже всего получается или с чем вы еще никогда не работали;
  • развивайте кругозор;
  • начинайте с истоков – с первого созданного образца вредоносного программного обеспечения, поскольку, не зная основ и истории, очень тяжело погружаться в современные сложные угрозы;
  • изучайте верстку сайтов, Linux/Unix, менеджмент, финансы, программирование, учите разные иностранные языки и т.д. В нашей работе все это может пригодиться в самый неожиданный момент.
___________________________________________
1 Более подробно с сертификациями можно ознакомиться в блоге автора таблицы: http://80na20.blogspot.com/2015/03/blog-post_9.html.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019
Посещений: 470

  Автор

Алексей Коробченко

Алексей Коробченко

Сотрудник службы информационной безопасности компании “Код Безопасности”

Всего статей:  1

В рубрику "JOB" | К списку рубрик  |  К списку авторов  |  К списку публикаций