Информационной безопасность: Гайд по профессии

Код профессии

В Общероссийском классификаторе профессий рабочих, должностей служащих и тарифных разрядов (ОКПДТР):

26531 — Специалист по защите информации

В Общероссийском классификаторе занятий (ОКЗ-2014):

2529 — Специалисты в области баз данных и компьютерных сетей, не входящие в другие группы
2149 — Инженеры (кроме электротехников), не входящие в другие группы

В международной классификации ISCO-08:

2529 — Database and network professionals not elsewhere classified

Связанные специализации:

21275 — Инженер по защите информации (ОКПДТР)
26532 — Специалист по технической защите информации (ОКПДТР)
21276 — Инженер по информационной безопасности (ОКПДТР)
21277 — Инженер-криптограф (ОКПДТР)

Современные направления:

Специалист по кибербезопасности
Аналитик информационной безопасности
Администратор безопасности
Пентестер (специалист по тестированию на проникновение)

В классификаторе ОКВЭД 2:

62.09 — Деятельность, связанная с использованием вычислительной техники и информационных технологий, прочая

Профессия специалиста по информационной безопасности относится к высокотехнологичной сфере IT и предполагает защиту информационных систем от угроз, разработку политик безопасности, мониторинг инцидентов и обеспечение соответствия требованиям информационной безопасности.

Кто такой специалист по ИБ

Специалист по информационной безопасности – достаточно широкое понятие. Чтобы облегчить понимание того, чем он занимается, введем понятие «инциденты ИБ». Информация может быть разного рода, но наиболее важным в этом плане являются такие разделы, как приватные данные и код. Утечка первых может привести к неудобствам, например, слитые данные карт, списки покупок и т.д. Утечка вторых может повлечь потери разного рода, так как код – это интеллектуальная собственность, за которую платят заказчики.

Инциденты информационной безопасности – это случаи, когда данные попадают третьим лицам. Нужно понимать, что такое случается не только в результате взлома, а просто по случайности. Такие утечки могут повлечь серьезные потери, как финансовые, так и репутационные. Безопасник должен обеспечивать защиту данных таким образом, чтобы не было взломов, не допускать случайных утечек.

Для этого используются такие подходы, как недопущение утечек и исправление утечек. Конечно, может показаться, что нужно изначально создавать продукт полностью безопасным, но это просто невозможно. Дело в том, что разработчики так или иначе пользуются чужим софтом для написания собственного. Грубо говоря, никто не станет писать операцоинку с нуля, чтобы сделать приложение-калькулятор. Именно уязвимости в стороннем софте могут повлечь за собой утечку данных. Предусмотреть их все просто невозможно. Поэтому безопасник должен:

проводить мониторинг новостей в сфере ИБ и быстро говорить команде разработчиков о том, что появилась новая уязвимость.
проводить аудит информационной безопасности для поиска и документирования дыр;
консультировать разработчиков по проблемам, которые могут возникать при написании кода.

Очевидно, что в сферу ИБ берут людей с опытом в разработке. От специалиста требуется глубокое понимание технологий, с которыми работает компания. Поэтому важны практические навыки, а не только теоретические знания.

Чем безопасники отличаются от DevSecOps

Компании, которые занимаются разработкой софта, имеют в штате своих специалистов по информационной безопасности. Однако изменения подходов к созданию программного продукта привело к тому, что их часто заменяют DevSecOps-инженерами. Это специалисты, которые занимаются внедрением и развертыванием безопасных решений на каждом этапе разработки софта. Такой подход позволяет минимизировать количество багов и уязвимостей в коде. Иными словами, главное отличие DevSecOps заключается в том, что он принимает непосредственное участие в разработке, влияет на ее ход. Кроме того, он должен отслеживать в режиме реального времени все потенциальные угрозы.

Специализации

Это достаточно обширное направление, в котором выделяются свои специализации. Отметим, что внутри специализаций есть свои еще более узкие специализации (их мы не будем затрагивать отдельно). В зависимости от рода деятельности компании, выделяются разные специализации, в которых работаю безопасники. Основными можно назвать следующие:

Инженер по безопасности. Этот специалист выполняет роль провайдера в мир безопасности для всей компании. Он занимается разработкой тренингов и рекомендаций по безопасности для сотрудников, проводит аудит инструментов безопасности, помогает подбирать персонал, администрирует защиту информации.
Специалист по кибербезопасности. Отвечает за то, чтобы средства программной защиты компании работали качественно, обеспечивали должный уровень защиты.
Инженер по облачной безопасности. Специализируется на защите данных, которые хранятся внутри облачной инфраструктуры.
Аудитор информационной безопасности. Его главная задача – проверка систем, которые могут подвергаться атаке.

Навыки и личные качества

Само собой, у узких специалистов есть нишевые навыки, которыми они должны обладать. Рассматривать их можно достаточно долго, поэтому мы решили затронуть только базовые hard и soft skills, которые требуются для становления в профессии.

<strong>Hard skills:</strong>

понимание особенностей работы операционных систем, навыки системного и сетевого администрирование;
умение работать с сетевыми сканерами уязвимостей;
владение хакерским ПО и навыки взлома сетей и систем;
понимание принципов проведения кибератак, особенностей защиты от них;
программирование на Python и Bash для написания ПО для автоматизации;
владение навыками работы с базами данных.

<strong>Soft skills:</strong>

Внимательность. Поиск уязвимостей требует навыков фокусировки, обнаружение скрытых возможностей для атак.
Аналитические способности. Нужно понимать, как те или иные решения повлияют на работу, находить причинно-следственные связи, если кибератаки уже случились.
Стрессоустойчивость. Требуется уметь действовать быстро в экстренных ситуациях, когда кибератаки уже случились.
Командная работа. Важно уметь работать в команде, договариваться и искать компромиссы.

Обязанности специалиста по ИБ

Среди основных обязанностей специалиста по информационной безопасности можно выделить следующие:

проведение анализа системы безопасности компании, поиск ошибок в ней;
выявление угроз безопасности, каналов утечки данных;
проектирование решений по обеспечению безопасности хранимой или обрабатываемой информации;
определение потребностей в средствах технической защиты информации, составление заявок на покупку данных инструментов;
составление ТЗ на внедрение выбранных механизмов защиты;
проведение работ по выявлению угроз безопасности, например, путем моделирования хакерской атаки;
организация и проведение мероприятий по защите информации при размещении сторонних компаний в рамках контролируемой зоны;
устранение наиболее частых брешей в защите;
ведение документации по обеспечению информационной безопасности;
подготовка отчетов по состоянию IT-систем.

Зарплата специалистов по информационной безопасности

Уровень зарплаты специалиста по информационной безопасности во многом зависит от его компетенций, специализации, опыта работы. Кроме того, на доход специалиста влияет наличие сертификации CISSP, CEH и т. д. Стоит отметить, что географическое влияние на доход тоже имеет место быть, но часто безопасники могут работать удаленно, в том числе, на зарубежные компании. Рассмотрим более подробно вакансии специалистов по информационной безопасности в разных регионах, чтобы собрать наиболее полное представление об их уровне заработной платы.

Москва

Само собой, зарплаты специалистов в Москве – самые высокие по России. Это связано, в том числе, с тем, что большинство головных офисов разных компаний находятся именно в этом городе. Поэтому почти половина вакансий специалистов по информационной безопасности в России приходятся на Москву. Уровень зарплаты напрямую зависит от выбранной специализации, а также от опыта работы. Он выглядит следующим образом:


Инженер по ИБ	1–3 года	140 000
Аналитик по ИБ	1–3 года	160 000
Пентестер (этичный хакер)	2–5 лет	225 000
SOC-аналитик (L1)	0–2 года	115 000
SOC-аналитик (L2/L3)	2–5 лет	225 000
Администратор ИБ	2–5 лет	175 000
Специалист по SIEM	3–6 лет	240 000
Архитектор по ИБ	5+ лет	375 000
Руководитель ИБ-направления	5+ лет	450 000
CISO (директор по ИБ)	7+ лет	950 000

Средняя зарплата специалистов по ИБ в Москве

Санкт-Петербург

В Санкт-Петербурге зарплаты в среднем на 10–15% ниже, чем в Москве, но все зависит от компании, отрасли и уровня специалиста.

Должность	Опыт работы	Средняя зарплата (₽/месяц)
Инженер по ИБ	1–3 года	125 000
Аналитик по ИБ	1–3 года	145 000
Пентестер (этичный хакер)	2–5 лет	210 000
SOC-аналитик (L1)	0–2 года	107 500
SOC-аналитик (L2/L3)	2–5 лет	210 000
Администратор ИБ	2–5 лет	160 000
Специалист по SIEM	3–6 лет	225 000
Архитектор по ИБ	5+ лет	340 000
Руководитель ИБ-направления	5+ лет	410 000
CISO (директор по ИБ)	7+ лет	840 000

Средняя зарплата специалистов по ИБ в СПб

Города миллионеры

В городах-миллионерах зарплаты в среднем на 30-40% ниже, чем в Москве.

Опыт работы	Екатеринбург	Новосибирск	Казань	Нижний Новгород	Челябинск	Самара	Ростов-на-Дону	Уфа
0–2 года	90 000	85 000	80 000	80 000	75 000	75 000	75 000	75 000
2–5 лет	130 000	125 000	120 000	115 000	110 000	110 000	110 000	110 000
5–7 лет	180 000	170 000	160 000	155 000	150 000	150 000	150 000	150 000
7+ лет	330 000	300 000	280 000	270 000	260 000	260 000	260 000	260 000
CISO (руководитель ИБ, 10+ лет)	650 000	600 000	550 000	520 000	500 000	500 000	500 000	500 000

Средняя зарплата специалистов по ИБ в городах миллионерах

В регионах зарплаты еще на 10-20% ниже, чем в их столицах-миллионниках. Рассматривать их нет особого смысла, так как количество вакансий, на самом деле, не очень большое.

Зарплата за рубежом

За рубежом специалисты по ИБ могут зарабатывать значительно больше. Например, уровень зарплаты джуна в США может соответствовать зарплате руководителя ИБ в России:

Страна	Средняя зарплата ($/месяц)
США	12 500
Швейцария	11 150
Австралия	9 550
Германия	8 750
Канада	8 700
Великобритания	8 100
Сингапур	7 700
Нидерланды	7 450
ОАЭ	7 100
Франция	6 650

Средняя зарплата специалистов по ИБ за рубежом

Самые высокие зарплаты у специалистов по ИБ в США и Швейцарии – от $120 000 в год и выше. Однако в Азии, например, в Сингапуре или ОАЭ реальный доход может быть даже больше из-за особенностей в системах налогообложения. Так, в ОАЭ нет подоходного налога.

Какие факторы влияют на доход

Затронем дополнительные факторы, которые напрямую сказываются на уровне дохода специалистов. Не будем учитывать такие параметры, как регион, специализация и опыт работы, так как их мы рассмотрели чуть выше. Остальные факторы объединить в несколько ключевых групп:

Отрасль компании. Больше всего специалисты по ИБ зарабатывают в банках, финтехе и, конечно, в крупных IT-компаниях. Самые маленькие зарплаты в госсекторе, образовании и малом бизнесе.

Уровень образования. Далеко не все компании требуют наличие профильного высшего образования, но оно, во многом может повлиять на доход.

Международные сертификации (CISSP, CEH, OSCP, CISM, CompTIA Security+) повышают зарплату.

Уровень ответственности. Чем выше уровень ответственности у специалиста, тем выше его зарплата. Например, специалист, отвечающий за безопасность корпоративных данных будет зарабатывать больше, чем пентестер. Тем, кто управляет персоналом, занимается стратегией обеспечения безопасности, платят больше, чем чисто техническим специалистам.

Как стать специалистом по информационной безопасности

Обучение специалиста по информационной безопасности во многом определяет, насколько быстро будет прогрессировать его карьера, сколько ему предложат на старте работодатели. Не будем лукавить и укажем, что профильное техническое образование – это достаточно весомый аргумент, но его часто бывает просто недостаточно из-за устаревших программ обучения, минимальных объемов практики. Условно, специалист, который учился 5 лет, по только что обновленной программе, много недополучит в плане теоретических знаний и практического опыта, так как индустрия стремительно меняется и за 5 лет могут произойти кардинальные изменения. А для изменения академической программы требуются серьезные временные и трудозатраты.

После этой оговорки можно перейти непосредственно к рассмотрению способов становления в профессии.

Вузы

Практически в любом вузе, в котором готовят IT-специалистов, можно найти направления подготовки, связанные с информационной безопасностью. Выделим основные направления, чем они отличаются:

Информационная безопасность. Это можно назвать общим направлением подготовки специалистов по ИБ. Оно включает изучение криптографии, защиты информации, администрирования систем безопасности.
Компьютерная безопасность. Такая программа подразумевает углубленное изучение защиты компьютерных систем и сетей. Изучаются методы защиты, киберугрозы, расследование инцидентов.
Информационная безопасность телекоммуникационных систем. Фокус на защиту сетевых технологий и телекоммуникации. Подготовка к работе в сфере сетевой безопасности, киберразведки.
Информационная безопасность автоматизированных систем. Специализация на защите промышленных и корпоративных ИТ-систем. Подготовка к работе с АСУ ТП, защищенными системами управления.
Информационно-аналитические системы безопасности. Фокус на анализ данных, прогнозирование угроз и мониторинг ИБ. Готовит специалистов по SIEM, OSINT, расследованию киберинцидентов.

Можно отучиться на смежном направлении, а после получить опыт работы в сфере ИБ, пройти курсы переподготовки. В таком формате учиться хоть и дольше, но углубленное погружение, например, в разработку, может стать конкурентным преимуществом на рынке труда. Среди основных родственных направлений можно выделить:

Информатика и вычислительная техника.
Информационные системы и технологии.
Прикладная информатика.
Программная инженерия.
Радиотехника.
Инфокоммуникационные технологии.

Онлайн-курсы

Конечно, когда речь идет об онлайн-курсах, двухдневного интенсива не хватит. Важно понимать, насколько крепкая база имеется, чтобы выбрать подходящее направление подготовки. Например, отучиться с нуля можно в срок около года. А вот пройти подготовку на основе имеющегося технического образования можно за 3 месяца.

При выборе курса важно обратить внимание на наличие гарантий, например, связанных с предоставлением стажировки, трудоустройством. Некоторые онлайн-школы могут немного лукавить в описании своих курсов. Их подготовка может быть просто нерелевантной. Поэтому лучше изучить отзывы, воспользоваться подборкой проверенных нами программ обучения. Отметим, что у курсов есть серьезное преимущество по сравнению с вузами – гибкость и быстрая обновляемость программы подготовки. Кроме того, на курсах часто преподают не теоретики (как в вузах), а практики, которые решают проблемы ИБ ежедневно в рамках своей профессиональной деятельности.

Поэтому при выборе курса стоит делать ставку не только на самую комфортную по времени обучения и стоимости программу, но и на курс, который прошел недавное обновление. В результате вы сможете получить качественный практический опыт, который может быть ценнее наличия профильного диплома вуза.

Самообразование

Теоретически можно стать специалистом по ИБ путем самообразования. Наиболее открытое в этом плане направление – обучение а пентестера. Однако самообразование может никогда не привести к результату. Тем не менее можно участвовать в конкурсах по поиску уязвимостей и зарабатывать даже на этом (если, конечно, удастся добиться результата).

Сертификация

Отдельно стоит выделить сертификацию. От нее напрямую зависит карьера специалиста по ИБ. Сертификации разработаны специально, чтобы обучать стандартам проведения мероприятий ИБ, показывают наглядно, что умеет конкретный специалист. Сертификаций очень много, но ключевыми являются:

CISSP – общепризнанная и, пожалуй, самая распространённая сертификация. Она рассчитана на опытных специалистов и охватывает широкие аспекты ИБ.
GSEC – основная сертификация для начинающих специалистов, которая охватывает базовые концепции и методы защиты информации.
CISM – ориентирована на разработку и управление программами безопасности.
CEH – сертификация «белого» хакера.
CompTIA Security+. Еще одна базовая сертификация по ИБ, которая охватывает основные принципы обеспечения безопасности.
OSCP. Сертификация, которая демонстрирует практические навыки тестирования на проникновение.
CISA – сертификация для специалистов по аудиту, контролю и обеспечению безопасности информационных систем.
CIPP – для специалистов по обеспечению конфиденциальности данных.
CCSP – для тех, кто занимается обеспечением безопасности облачных систем.

Плюсы и минусы профессии

У профессии есть свои преимущества и недостатки. Само собой, она подразумевает достаточно высокий уровень оплаты труда, особенно в крупных коммерческих организациях. Мы не будем акцентировать на этом внимание, а сделаем упор в другие преимущества профессии:

Positive

высокая востребованность специалистов;
большие перспективы для карьерного роста, возможность менять карьеру как вертикально, так и горизонтально;
большое количество направлений для развития;
возможность работать удаленно;
интересные задачи;
отличные перспективы для работы за границей с сертификациями CISSP, OSCP, CEH.

Negatives

высокий уровень ответственности;
постоянный стресс и необходимость искать новую информацию практически непрерывно;
высокий порог входа;
требования к непрерывному обучению;
запрет на разглашение информации, который может сказаться на возможности составить хорошее резюме с рассказами о кейсах;
часто приходится выполнять монотонную работу.

Стоит отметить и такие факторы, как то, что недальновидные коллеги будут относиться к вам с неприязнью. Если никаких происшествий не случится, то некоторые могут думать, что вы просто зря работаете. И напоследок – никогда нельзя быть уверенным на 100%, что вас не взломают.

Карьерные перспективы и востребованность

Специалисты по информационной безопасности нужны как в компаниях, так и в государственных учреждениях. Поэтому говорить о востребованности данного направления не приходится. На момент написания статьи, на hh было открыто более 3 300 вакансий специалистов по ИБ в разных городах, с разным уровнем опыта. Стоит отметить, что более 400 вакансий предлагали зарплату от 190 тысяч рублей. Почти половина из них всех вакансий приходится на Москву. В целом востребованность специалистов выглядит следующим образом:

Количество вакансий специалистов по ИБ в разных регионах России

На графике Вордстат видно, что вакансии специалиста по информационной безопасности в среднем ищут 700 пользователей. При этом число открытых вакансий значительно больше – более 3 000. Это лишний раз говорит о востребованности специалистов.

Что же касается карьерных перспектив, то все во многом зависит от того, насколько вы будете стремиться учиться. Получение международных сертификатов, изучение английского значительно повышают возможность получить повышение, перспективы получить более высокооплачиваемую работу в другой компании, в том числе, зарубежной.

Заключение

Специалисты по ИБ – востребованные сотрудники. Они нужны бизнесу, в государственных учреждениях. Однако эта работа сопряжена с огромным уровнем стресса и ответственности. Если вы хотите войти в IT, то данное направление – не самый простой выбор. Большой выбор специализаций, а также некий творческий подход к работе вызывают интерес. Стоит отметить тот факт, что специалист по ИБ достаточно быстро может продвинуться по карьерной лестнице за счет соответствующей сертификации. Большим плюсом такого направления является то, что далеко не всегда требуется профильное высшее образование.