Как стать специалистом по информационной безопасности — отвечают эксперты


Оглавление (нажмите, чтобы открыть):

О работе специалиста по информационной безопасности

– Чем занимаются специалисты по информационной безопасности 1 ?
– Прежде всего хочется сказать о довольно странном стереотипе: первая ассоциация со словами «информационная безопасность» — какие-то страшные хакеры, которые куда-то влезают или что-то ломают. Возможно, я сейчас кого-то разочарую, но подавляющее большинство инцидентов информационной безопасности — это потеря данных из-за отсутствия резервных копий. Да и все остальные, как правило, тоже связаны с самой обычной человеческой глупостью во всех ее проявлениях.

Работа специалиста по информационной безопасности состоит в попытках предугадать и по возможности предотвратить глупости, которые могут привести к разглашению, искажению или уничтожению информации. Это цикличный процесс: разрабатывается методика, пишутся инструкции, все это начинает как-то работать, потом проводится аудит (проверка), насколько хорошо данная процедура отвечает предъявляемым требованиям, и по результатам вносятся изменения в методику.

Простейший пример: заказчику нужно понять, насколько надежно в его компании организовано хранение информации. Аудит проходит в два этапа: на первом — смотрим документы и сопоставляем их с общепринятыми практиками (использование надежных накопителей, их хранение и ротация), на втором — смотрим, как соблюдаются описанные требования (не пытается ли кто-то использовать флешку вместо внешнего жесткого диска).

Кстати, внешний жесткий диск — это устройство, которое я рекомендую вообще всем. Комплект из диска и USB-«корыта» (USB-контейнер — прим. сайта) к нему можно купить за три-четыре тысячи рублей, а это вполне приемлемая сумма даже для домашнего пользователя.

– Специалист по информационной безопасности проделывает эту работу в одиночку?
– В небольших компаниях всеми вопросами, связанными с ИТ, обычно занимается один специалист, чья должность, как правило, называется «системный администратор».

В более крупных компаниях предусмотрены отдельные должности методистов и аудиторов информационной безопасности: методисты разрабатывают регламенты и следят за их внедрением, аудиторы проверяют их актуальность и соблюдение. Если эти специалисты хорошо сработались, они прекрасно дополняют друг друга.

– В каких отраслях могут работать специалисты по информационной безопасности?
– Практически везде. Да, в первую очередь вспоминаются банки, чуть менее очевидны силовые структуры, а, например, сфера медицины не так очевидна, хотя там хранится и обрабатывается информация о пациентах, и нельзя допускать ее потерю или утечку.

– Какое высшее образование нужно получить, чтобы стать специалистом по информационной безопасности?
– Когда я нанимаю сотрудников, то смотрю не столько на вуз, сколько на то, чему человек смог там научиться. А когда у кандидата уже есть опыт работы хотя бы порядка трех-пяти лет, на диплом никто и смотреть не станет, зато подробно расспросят, над чем он работал, какие задачи возникали и как он их решал.Однако у большинства моих коллег либо физико-математическое, либо техническое образование. При этом я встречал людей, которые учились по специальности «информационная безопасность», но, насколько я понял из их рассказов и видел на практике, эта специальность ближе к архивному делу и имеет не так много общего с современным понятием информационной безопасности.

Сам я учился на факультете вычислительной математики и кибернетики МГУ. Оказались ли полезными полученные знания? Определенно да. Хотя, например, программирование (которому, с моей точки зрения, хорошо не учат нигде) и криптографию (наука о защите информации посредством шифрования и цифровых подписей) я изучал самостоятельно.

– Как студенту или выпускнику найти работу в области информационной безопасности?
– Люди приходят по-разному. Некоторые начинают карьеру со скандальных историй, когда, например, во времена студенческой молодости человек куда-то влез и что-то сломал. Но вообще на перспективных студентов идет самая настоящая охота, когда работодатели чуть ли не соревнуются за право нанять молодого специалиста.

Кроме этого, студенту доступно множество других способов обратить на себя внимание, из которых я бы выделил участие в разработке свободного программного обеспечения — в частности, применительно к информационной безопасности оно может состоять в поиске уязвимостей. Денег это первое время не приносит, но репутацию формирует.

– Какой карьерный рост может быть у специалиста по информационной безопасности?
– Как и у большинства ИТ-специалистов: руководитель группы, отдела, более крупных структурных подразделений. Высшая точка — технический директор или IT директор.

– Сколько получает специалист по информационной безопасности?
– Хороший вопрос. Отвечу так: в Москве для хорошего специалиста 100 тысяч рублей в месяц — далеко не предел.

– Какие компетенции необходимы специалисту по информационной безопасности?
– Пожалуй, я могу выделить только одно качество, без которого не могу представить никого из своих коллег: любопытство. Именно им обусловлено желание что-то понять, изучить, попробовать на практике. Если для удовлетворения любопытства нужны какие-то дополнительные знания, это опять же мощнейший стимул их получить.

– От чего можно устать в вашей профессии?
– Больше всего раздражает основная причина возникновения инцидентов — пресловутая человеческая глупость во всех ее проявлениях. Типичный пример: человек получает спам с предложением заработать много денег и переходит по ссылке, ни на секунду не задумавшись, почему отправители этого сообщения не воспользовались своим уникальным способом заработка сами. А в результате на компьютере оказывается троян, считающий биткойны для злодеев — то есть деньги человек зарабатывает, но не для себя.

– Чем может заняться специалист по информационной безопасности, решивший попробовать себя в чем-то новом?
– Обычно такие люди уходят в разработку: становятся архитекторами (специалистами по созданию проекта программного обеспечения, которые определяют и детализируют внешние и внутренние свойства системы — прим. сайта) либо тестировщиками. По сути они продолжают делать то, что и делали раньше: отлавливают ошибки либо еще до написания программного кода, либо сразу после.

– Существует ли какая-либо возможность еще в школе получить опыт, который в будущем поможет стать специалистом по информационной безопасности?
– Разумеется. Например, можно попробовать убедить своих друзей регулярно делать резервные копии. Вроде бы все понимают, что оборудование может выйти из строя, особенно такое сложное, как современный жесткий диск, но почему-то считают, что на их компьютерах нет ничего важного, вплоть до того момента, когда теряют, например, уникальные фотографии. В общем, я не сомневаюсь, что впечатлений будет масса.

Еще один вариант — самостоятельно выяснить, какую информацию о пользователях собирают поисковые службы и т. н. «социальные сети», а также подумать, что из этого им знать совершенно не следует, и сделать так, чтобы больше не давать им такую информацию.

– Что вы могли бы посоветовать почитать и/или посмотреть тем, кто хочет больше узнать об информационной безопасности?
– Прежде всего — изучить программирование. Для этого рекомендую выпущенный в 2020 году учебник «Программирование. Введение в профессию» от Андрея Викторовича Столярова, который преподает на факультете вычислительной математики и кибернетики МГУ. В настоящий момент выпущены два тома, которые доступны на сайте автора.Также могу порекомендовать книги Брюса Шнайера — американского криптографа, известного прежде всего как создатель нескольких хороших криптоалгоритмов. «Прикладная криптография» не требует от читателя знаний за пределами школьной программы, а посвященная практическим аспектам «Секреты и ложь» ближе к публицистике, чем к научному труду.

Еще один автор, которого хотелось бы упомянуть — Мао Венбо, автор учебника «Современная криптография: теория и практика». Рекомендовать его школьникам я не готов, а вот студентам курса так третьего — очень даже. К сожалению, хорошего русского перевода мне не попадалось, поэтому, думаю, есть смысл читать его в оригинале. Да, обойтись без знания английского не получится — это язык профессионального общения в среде ИТ в целом и ИБ (информационной безопасности — прим. сайта) в частности. К счастью, он достаточно прост и его изучение, как правило, не вызывает особых сложностей.

Ну и самое главное — использовать по назначению голову, то есть думать и сопоставлять информацию из разных источников, а не бездумно кидаться на какие-то методы и технологии просто потому, что они модные. Впрочем, это справедливо не только для направления информационной безопасности, но и для всей индустрии ИТ в целом: нам здесь нужны люди, которые не просто что-то знают, а постоянно следят за состоянием дел в отрасли и актуализируют свои знания. И, думаю, именно такая способность, такое умение постоянно учиться еще долго будут определяющими факторами.

  1. ^ В некоторых источниках эта профессия может также называться «специалист по кибербезопасности» — прим. cайта.

Новая профессия «Специалист по информационной безопасности»

Предпринимателю династии Ротшильдов приписывают фразу «Кто владеет информацией, владеет миром». Произнесённое в 18 веке высказывание в 21 веке стало только актуальнее: хакерские атаки и похищение данных не обязательно приводят к потере миллиардов и репутации, но могут доставить немало неприятных минут даже небольшой фирме.

Кто всех спасёт?

Профессия специалиста по информационной безопасности является крайне востребованной: каждой компании нужен супергерой, который спасёт конфиденциальные данные, найдёт уязвимости в системе, объяснит сотрудникам, почему не надо открывать письма с завлекательными заголовками.

Специалисту по информационной безопасности некогда скучать: новые угрозы появляются постоянно, а это открывает огромные возможности для саморазвития. Высокая ответственность и необходимость постоянно быть «в тонусе» делают работу не только интересной, но и высокооплачиваемой: по данным Superjob.ru, средняя зарплата по этой специальности составляет 82 тысячи рублей, и этот показатель стабильно растёт.

Кроме того, тех, кто может найти потенциальные уязвимости и отразить возможные угрозы, ждут не только в офисах. Работать можно практически из любого уголка планеты.

Выступи на светлой стороне

От хакеров бывает не только вред, но и польза, но только если они в «белой шляпе». Выступая на светлой стороне, они тестируют сети на уязвимость и помогают устранить потенциальные точки проникновения. Понимание, как взломать систему — неотъемлемая часть знаний специалиста по информационной безопасности и ещё одна возможность для заработка.

Этичный хакер не обязательно должен быть занят в корпоративном сегменте. На площадках с Bug Bounty или Bug Hunting размещено множество открытых офферов от компаний, которые готовы платить за взлом их сетей. Сумму с впечатляющим количеством нулей можно заработать в кратчайшие сроки.

Как стать супергероем по защите информации?

С апреля 2020 года GeekBrains запускает подготовку специалистов по информационной безопасности. Записаться на курс вы можете уже сейчас — на странице профессии!

Вас ждёт 3 месяца практических занятий и 2 месяца стажировки. В процессе обучения вы:

познакомитесь с современными векторами атак на web-платформы, потенциальными уязвимостями мобильных приложений;

научитесь проводить аудит безопасности по модели некоммерческой организации OWASP;

поймёте, как создавать устойчивые к хакерским атакам сайты и приложения;

начнёте работать с инструментами пентестинга;

изучите работу локальных вычислительных сетей;

освоите способы предотвращения DoS-атак и борьбы с вредоносным ПО.

Эти навыки прокачают ваши супергеройские способности лучше укуса радиоактивного паука и позволят быстро начать карьеру в сфере информационной безопасности.

Предпринимателю династии Ротшильдов приписывают фразу «Кто владеет информацией, владеет миром». Произнесённое в 18 веке высказывание в 21 веке стало только актуальнее: хакерские атаки и похищение данных не обязательно приводят к потере миллиардов и репутации, но могут доставить немало неприятных минут даже небольшой фирме.

Кто всех спасёт?

Профессия специалиста по информационной безопасности является крайне востребованной: каждой компании нужен супергерой, который спасёт конфиденциальные данные, найдёт уязвимости в системе, объяснит сотрудникам, почему не надо открывать письма с завлекательными заголовками.

Специалисту по информационной безопасности некогда скучать: новые угрозы появляются постоянно, а это открывает огромные возможности для саморазвития. Высокая ответственность и необходимость постоянно быть «в тонусе» делают работу не только интересной, но и высокооплачиваемой: по данным Superjob.ru, средняя зарплата по этой специальности составляет 82 тысячи рублей, и этот показатель стабильно растёт.

Кроме того, тех, кто может найти потенциальные уязвимости и отразить возможные угрозы, ждут не только в офисах. Работать можно практически из любого уголка планеты.

Выступи на светлой стороне

От хакеров бывает не только вред, но и польза, но только если они в «белой шляпе». Выступая на светлой стороне, они тестируют сети на уязвимость и помогают устранить потенциальные точки проникновения. Понимание, как взломать систему — неотъемлемая часть знаний специалиста по информационной безопасности и ещё одна возможность для заработка.

Этичный хакер не обязательно должен быть занят в корпоративном сегменте. На площадках с Bug Bounty или Bug Hunting размещено множество открытых офферов от компаний, которые готовы платить за взлом их сетей. Сумму с впечатляющим количеством нулей можно заработать в кратчайшие сроки.

Как стать супергероем по защите информации?

С апреля 2020 года GeekBrains запускает подготовку специалистов по информационной безопасности. Записаться на курс вы можете уже сейчас — на странице профессии!

Мастер Йода рекомендует:  Бесплатная лицензия на PhpStorm

Вас ждёт 3 месяца практических занятий и 2 месяца стажировки. В процессе обучения вы:

познакомитесь с современными векторами атак на web-платформы, потенциальными уязвимостями мобильных приложений;

научитесь проводить аудит безопасности по модели некоммерческой организации OWASP;

поймёте, как создавать устойчивые к хакерским атакам сайты и приложения;

начнёте работать с инструментами пентестинга;

изучите работу локальных вычислительных сетей;

освоите способы предотвращения DoS-атак и борьбы с вредоносным ПО.

Эти навыки прокачают ваши супергеройские способности лучше укуса радиоактивного паука и позволят быстро начать карьеру в сфере информационной безопасности.

Как стать специалистом по информационной безопасности — отвечают эксперты

Сфера информационной безопасности очень обширна, потому не все понимают, с чего им начать развитие в данной области и какие вообщем имеется пути развития. Мы приняли решение узнать у профессионалов, что они могут порекомендовать тем, кто принял решение стать экспертом в ИБ.

В информационной безопасности, как и в любой проф деятельности, есть огромное количество областей, любая из которых требует от молодого специалиста уникальных знаний и умений. Так, в работе над безопасностью интернет-приложений и API важно:

  1. Непременно знать английский язык, в особенности технический. Это знание понадобится для чтения разных мануалов и технических репортов. Кроме того, большие конференции, на которых выступают мастера со всего мира в разных ИБ-областях, ведутся в большей степени на английском языке. Чтоб быть в курсе последних тенденций, непременно необходимо просматривать отчеты с этих конференций, как минимум те, что дотрагиваются вашей специализации.
  2. Приобрести знания по своему профилю. В данный момент в сети появилось огромное количество курсы информационная безопасность. Обращайте внимание на отзывы, так как качество многих, на мой взгляд, оставляет желать лучшего. Информационная безопасность — это стремительно развивающаяся область, поэтому старайтесь изучать важные темы, например как https://krypton.infobezopasnost.ru.

Кроме того, никто не отменяет исследование печатно-электронной литературы. Из книг я могу посоветовать, к примеру, The Hacker Playbook 3: Practical Guide To Penetration Testing авторства Peter Kim. Это хорошая книга, которая обхватывает фактические стороны эксплуатации и применения разных утилит. Её 3-я версия была выпущена в середине 2020 года, потому охватывает важную информацию, которую не найти во многих учебных пособиях, что выходили раньше.

С чего начать обучение информационной безопасности?

С чего начать обучение информационной безопасности?

С чего начать обучение информационной безопасности?

Кому и зачем?

Информационной безопасности учатся не только студенты профильных специальностей, но и ИБ-профессионалы, сотрудники ИТ-подразделений, а также все, кто работает за компьютером. Все чаще обучение азам информационной безопасности требуется для личных нужд, даже в школах проходят открытые уроки на эту тему.

Каковы мотивы учащихся?

В первую очередь азы информационной безопасности нужно знать для защиты своих персональных данных. В быту мы постоянно сталкиваемся с попытками людей узнать о нас чуть больше, чем того требует ситуация: в детском саду у родителей спрашивают информацию о социальном положении семьи, в магазине узнают номер телефона и адрес электронной почты, мошенники пытаются заполучить ПИН-код и номер карточки.

Пройти обучение основам ИБ, а может быть и посетить узкоспециализированные курсы, будет полезно непрофильным специалистам, занимающимся защитой информации. Часто работа по информационной безопасности «сваливается» на человека без должного образования. Например, системные администраторы в небольших организациях занимаются парольной политикой, настройкой и обслуживанием антивирусов, раздачей ключей электронной подписи.

Выпускники школ, а иногда и взрослые люди, состоявшиеся профессионалы, решают связать свою жизнь с информационной безопасностью и построить карьеру в этой области. В зависимости от уже имеющегося образования сроки обучения могут сильно разниться (от сотен часов до шести лет и более). Более подробно варианты обучения будут рассмотрены ниже.

Если руководители сами хотят узнать, что же такое токен и какие опасности подстерегают базу данных клиентов, то остальные сотрудники обычно не горят желанием просвещаться в области информационной безопасности. Однако обучение каждого, кто работает за компьютером, азам очень важно: предприятию чаще всего угрожают ошибки и разглашение данных по неосторожности, а не промышленный шпионаж и социальная инженерия.


Где и сколько стоит?

Их достаточно, причем не только в столице, но и во многих крупных городах обучают специалистов по защите информации. Стоимость обучения зависит от ценовой политики учебного заведения. Для регионов примерный диапазон цен следующий: аспирантура от 35 тыс. руб. в год (заочная) до 180 тыс. руб. в год (очная), бакалавриат, специалитет – 80 тыс. руб. за семестр, магистратура – 90 тыс. руб. за семестр, среднее профессиональное образование – 40 тыс. руб. за семестр.

Учебные центры

Преимущество у тех центров, курсы которых согласованы со ФСТЭК России1 и ФСБ России: документы об обучении в таких центрах требуются для проведения некоторых видов работ по защите информации. Стоимость одного курса ориентировочно 60 тыс. руб. (продолжительность обычно не более одной рабочей недели).

Внутри организации

Обучение проводят сотрудники, которые непосредственно заняты защитой информации на предприятии или приглашенные специалисты (второе – реже). В некоторых случаях проведение обучения обязательно, например при работе с персональными данными. Стоимость обучения равна стоимости рабочего времени специалистов, которые ведут обучение, а также тех, кто обучается.

Обучаться дома можно по книгам, журналам, блогам, платным и бесплатным онлайн-курсам. Сейчас Интернет предоставляет поистине безграничные возможности, узнать азы информационной безопасности можно абсолютно бесплатно.

Сколько времени?

В табл. 1 указаны доступные на сегодняшний день варианты профессионального обучения, начиная от среднего профессионального до аспирантуры и курсов повышения квалификации.

Чему учат специалистов по информационной безопасности?

Прежде всего их обучают:

  • знать и уметь применять технологии защиты информации;
  • проектировать систему защиты информации;
  • устанавливать и настраивать средства защиты информации;
  • писать нормативные акты по ИБ;
  • разбираться в законодательстве по ИБ.

Чему нужно научить простых сотрудников (неспециалистов)?

В первую очередь необходимо научить:

  • правилам информационной безопасности на рабочем месте (работа с почтой, ведение переговоров, ответы на телефонные звонки, общение с клиентами, составление договоров);
  • правилам информационной безопасности в быту.

В вузах студенты изучают: электронику и схемотехнику, углубленно физику и математику, программирование, дисциплины о системах связи, криптографию, технические средства защиты информации, организационно-правовое обеспечение ИБ.

В табл. 2 приведены предметы, по которым проходили обучение специалисты в 2010– 2011 гг. Был взят мой диплом («информационная безопасность телекоммуникационных систем», 2011 г.) и диплом супруга («компьютерная безопасность», 2010 г.). Вузы разные. Срок обучения в обоих случаях составил 5,5 лет.

Как можно видеть, несмотря на кажущееся сходство специальностей, совпадает лишь 27 предметов. При этом одна из специальностей («компьютерная безопасность») направлена на углубленное изучение математики, вторая («информационная безопасность телекоммуникационных систем») – физики. Из чего можно сделать вывод, что специальности при их схожести все-таки неравнозначны и стоит дополнительно изучить учебный план перед поступлением. Если же времени на получение высшего образования по информационной безопасности нет, то названия учебных дисциплин помогут определиться с методами самообразования. Из приведенной выше таблицы видно, что специалист по защите информации в первую очередь является инженером и должен хорошо разбираться в информационных технологиях.

Многие спрашивают: как выбрать учебники и профессиональную литературу? Мне кажется, что чем учебник свежее, тем лучше. Написанное 10 лет назад имеет уже скорее историческую, чем практическую ценность, технологии и законодательство меняются стремительно. Также следует обратить внимание на квалификацию автора. К сожалению, сейчас книги пишут слишком многие, зачастую не обладая практическим опытом. Стоит отметить, что если вас интересует законодательство по ИБ, то вы можете искать учебники среди юридической литературы.

Заключение

Осветить тему обучения в сфере информационной безопасности в одной статье – дело неблагодарное. Я хотела бы дать вам информацию для размышления, некоторые идеи. Для изучения основ информационной безопасности необходимо в первую очередь определиться с целью учебы, имеющимся свободным временем и доступными финансовыми ресурсами.

Достаточно ли будет отучиться в вузе? Думаю, что нет. Нужно постоянное, непрекращающееся самообразование.

Специалист по кибербезопасности

выявляет угрозы информационной безопасности и риски потери данных, вырабатывает и внедряет меры противодействия угрозам и решения для защиты от потери информации; обеспечивает сохранность и конфиденциальность данных; участвует в разработке и внедрении IT-решений

Мобильные телефоны, компьютеры, машины, а с некоторых пор даже бытовые приборы связывают себя и своего владельца огромным количеством данных. Гигантских масштабов достигли информационные системы в бизнесе, торговле и финансах, подтверждением чему является текущий криптовалютный бум.

Все это привело к формированию новых ценностей, создаваемых или передаваемых в киберпространстве. Вместе с этим появилась и угроза кражи этих ценностей, их порчи или подмены. Для противодействия злоумышленникам необходимы специалисты по кибербезопасности, способные защищать информацию, предугадывать действия преступников и создавать безопасную архитектуру пользования данными.

Специалисты по кибербезопасности работают в крупных финансовых и IT-компаниях, ценность подобных кадров отмечается в государственных органах, оборонных ведомствах, где их основная задача – обеспечение национальной безопасности, предотвращение внедрения в государственную инфраструктуру.

Потребность в таких специалистах особенно наглядно прослеживается сейчас, в связи с ростом числа киберпреступлений и случаев кибертерроризма. Хакерские атаки регистрируются во всех уголках мира. Среди самых резонансных стоит упомянуть распространение вирусов WannaCry, Petya/NotPetya, нанесших значительный урон банковским системам и крупным компаниям разных стран.

Оценки рынка

$ 232 млрд
достигнет объем рынка кибербезопасности к 2022 году со среднегодовым темпом роста в 11% за период с 2020 года

Как стать специалистом по информационной безопасности — отвечают эксперты

Сфера информационной безопасности очень обширна, поэтому не все понимают, с чего им начать становление в этой области и какие вообще есть пути развития. Мы решили узнать у экспертов, что они могут посоветовать тем, кто решил стать экспертом в ИБ.

Борис Меркулов, инженер по облачным решениям и информационной безопасности компании Linxdatacenter

Обучение специалиста с акцентом на компетенции в области информационной безопасности (ИБ) во многом повторяет базовый сценарий становления любого компетентного ИТ-специалиста сегодня. На мой взгляд, без фундаментального технического образования в ИБ не обойтись, поэтому за плечами кандидата на эту позицию должно быть обучение в вузе по ИТ-специальности.

Отмечу, что спрос на квалифицированных ИБ-специалистов растёт. Это связано с повсеместным использованием цифровых решений и пропорциональным ростом угроз и рисков взлома систем их защиты. При этом параллельно наблюдается сравнительно невысокий уровень популярности профессии ИБ-специалиста по сравнению, например, с направлением разработки. Кандидат на место в вузе в 8 случаях из 10 выберет карьеру девелопера, «инженер по ИБ» аналогичного флёра престижа и романтики вокруг себя не имеет.

Такова специфика этой области: в ИБ много рутины, монотонный ритм работы, требующий вдумчивого анализа и тщательного выполнения каждой детали поставленной задачи.

Между тем, сегодня во многих компаниях появляется должность директора по информационной безопасности (CISO) и целые ИБ-отделы в их ведении. Такие специалисты отвечают за разработку стратегии противодействия ИБ-угрозам внутри компании, и в том числе прогнозируют появление новых видов угроз. Требуется также иметь опыт проектирования и внедрения решений ИБ внутри организации и знать требования регуляторов и стандарты ИБ.

Важнейший момент в сегодняшних реалиях — контроль за работой службы ИБ, проведение аудита внутри отдела и организации в целом. Можно сказать, что в целом в ИБ сегодня требуются весьма разносторонне подкованные специалисты. От инженеров ИБ, которые способны обслуживать большие enterprise системы и проводить тестирование на проникновение, до аналитиков и широкопрофильных специалистов, архитекторов ИБ.

Однако в связи с упомянутыми акцентами в структуре спроса на ИТ-специальности, вузы не уделяют должного внимания ИБ, и пока рынок труда и ориентиры абитуриентов диктуют свои условия, им будет трудно выпускать достаточное число профильных специалистов. И здесь как обычно на помощь приходит самообразование и вендорские программы обучения ИБ-продуктам.

Что можно посоветовать здесь:

  • Образование в ИБ должно носить практически-ориентированный характер, в связи с чем имеет смысл изучать конкретные ИБ-продукты, проходить по ним сертификацию в центрах подготовки у вендоров, принимать участие в курсах и программах, реализуемых производителями ИБ-решений.
  • Второй важнейший аспект обучения ИБ — фундаментальные знания базовых протоколов, методов и технологий, что включает в себя компетенции в области операционных систем и компьютерных сетей. В связи с ростом роли сетевой составляющей в работе ИТ-систем большое внимание следует уделить этой стороне ИБ, включая технологии шифрования.
  • Отдельное направление — безопасность веб-приложений, которые сегодня используются компаниями практически в любой сфере деятельности и также требуют отдельного изучения.
  • Учитесь разбираться в оборудовании: физический уровень ИТ-инфраструктуры играет важную роль в ИБ, также от ИБ-профессионала требуется уметь устанавливать и настраивать «железо».
  • Сегодня практически все бизнес-процессы подвергаются автоматизации, а потому безопасность на уровне информационных потоков данных является обязательной практикой. Стоит отдельно упомянуть и про автоматизацию рутинных задач обеспечения ИБ, поэтому специалисты и инженеры должны быть готовы писать коды и скрипты, которые упрощают их работу. Нужно уметь расставлять приоритеты и оценивать возможные риски и потери из-за инцидентов. Здесь я также рекомендую обратить внимание на применение машинного обучения в области ИБ, которое позволяет работать с большими и очень большими инфраструктурами, вовремя выявлять аномалии и реагировать на атаки.
  • Уделять огромное внимание практике с самого начала своего обучения ИБ, т.е. стремиться проходить практику, получать работу по ИБ-профилю, пусть на начальном уровне это будут не самые сложные и ответственные задачи.
  • Постоянно читать статьи и исследования по ИБ в отечественных и зарубежных источниках: ИБ никогда не достигает совершенства по причине постоянной активности злоумышленников и появления новых продуктов, решений, а вместе с ними и новых уязвимостей. Бизнес против бизнеса.

Артём Мышенков, инженер-программист по технической защите информации хостинг-провайдера REG.RU

Информационная безопасность — очень разносторонняя сфера деятельности, начиная от организационно-правовой защиты информации и заканчивая инженерно-технической. Большинству работодателей требуется диплом о высшем образовании в сфере защиты информации, так что учиться в университете всё-таки нужно. Здесь можно получить организационные основы, да и законодательство изменяется не так стремительно. Но вот за техническим прогрессом вузы могут не поспевать. Преподавательский состав часто немолодой. Прокачивать навыки придётся дополнительно.

Мастер Йода рекомендует:  Большая подборка ресурсов для изучения Android-разработки

Отличный пример — соревнования по информационной безопасности Capture The Flag или CTF. В мире каждую неделю проводятся такие мероприятия, и если в них участвовать будучи студентом, то благодаря командной мотивации, азарту и обмену знаниями с другими участниками, можно повысить уровень в администрировании операционных систем, сетях web-безопасности, получить навыки поиска информации и форензики (расследования компьютерных инцидентов). На сайте CTFtime можно узнать информацию о различных мероприятиях CTF.

Конечно, есть множество учебных центров, где можно получить такое образование или повышение квалификации, онлайн-ресурсы, где за различный бюджет или бесплатно можно научиться поиску уязвимостей и т.д. Например, PentesterLab, Pentestit, DVWA. Потренироваться в поиске уязвимостей можно и в реальных условиях совершенно законно. Многие компании организовывают так называемые программы Bug Bounty, где за найденную уязвимость можно даже получить вознаграждение. Пример площадки для Bug Bounty — HackerOne.

А ещё компании в сфере ИБ проводят конференции, мастер-классы и онлайн-семинары, публикуют много информации, которая также полезна для самообразования.

Дмитрий Борисов, старший инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет»

Для начала нужно определиться с направлением, в котором вам хотелось бы развиваться. Можно быть специалистом по выстраиванию процессов ИБ, разработке регламентов и инструкций или инженером по проектированию и внедрению систем безопасности — межсетевых экранов, антиспам-шлюзов, DLP-систем и т.д. — а можно вообще пойти по пути пентестера, проникая в сети заказчиков в попытке добраться до ценной информации. Я работаю инженером-проектировщиком, и для специалистов нашей области очень важными являются знания современных средств защиты информации и применяемых в них технологий, понимание принципов организации сетей и логики работы сервисов, которые используются в современных инфраструктурах. Постоянно нужно задавать себе вопросы: «А как это работает? Зачем это нужно? Каким может быть ущерб при атаке?».

Что касается книг, то для начала я бы посоветовал обратить внимание на книгу Эндрю Таненбаума «Компьютерные сети» — в ней довольно доступным языком описаны основные аспекты организации сетей и логика протоколов, которые применяются в настоящее время. Также не менее полезными будут книги от Cisco, например, CCNA R&S и другие. Начитавшись книг, не стоит быть в полной уверенности, что теперь вы всё знаете и вас уже ничем не удивить. Нужно постоянно быть в курсе последних атак (какой вектор был использован, какое вредоносное ПО было применено), следить за выявлением новых уязвимостей в продуктах, то есть как минимум «Хакер» и Habr должны быть в закладках или можно подписаться на аналогичные каналы в Telegram.

Обратите внимание на обучающие курсы, я бы отметил MIT «Безопасность компьютерных систем» и Python на Coursera — знание языка программирования облегчает жизнь, когда нужно, например, выполнить миграцию с одного межсетевого экрана на другой, ведь вряд ли вы захотите переносить тысячи объектов и правил вручную. Помимо этого, нелишним будет посмотреть вебинары по типовым сценариям настройки решений от различных вендоров: Fortinet, Check Point Software Technologies, Palo Alto, Trend Micro и т. д. Найти их можно на YouTube или попросить поделиться ссылками друзей, уже работающих в сфере ИБ. И не забывайте о практике: разверните мини-лабораторию на KVM или VMware для знакомства с open source решениями ИБ или пробными версиями коммерческих продуктов. Посетите ИБ-конференции, послушайте лекции и доклады спикеров, задавайте вопросы по демонстрируемым продуктам — становитесь частью комьюнити.

Дмитрий Андреев, ведущий специалист по обеспечению информационной и инженерно-технической безопасности «Ростелеком Контакт-центр»

Востребованность на рынке труда профессии «специалист по информационной безопасности» год от года возрастает. Это связано с неумолимым ростом угроз для бизнеса в сфере ИТ: атаки типа «отказ в обслуживании», утечки конфиденциальной информации и персональных данных, мошенничество, незаконный майнинг криптовалют и прочее. Постепенно правительства многих государств осознают, что необходимо регулировать данную область и принимают законы, направленные на обеспечение безопасности информационных технологий. Специалист по ИБ становится необходимым сотрудником для каждой более или менее серьёзной организации. Без ИТ в наше время бизнес вести невозможно, а риски стали уже вполне заметными (вспомним эпидемию WannaCry). В связи с этим актуален вопрос «Как стать ИТ-безопасником?». Для начала совет — выучите английский хотя бы на уровне чтения документации, так как все современные учебные материалы хорошего качества написаны на этом языке. Также потребуется часто общаться с иностранными коллегами на соответствующих площадках в Сети. Сам же ответ на вопрос можно разделить на две части.

1. Если человек вовсе не имел опыта в сфере ИТ, ему однозначно стоит сначала получить хорошее образование в области компьютерной инженерии, приобрести теоретические знания и практический опыт работы с информационными системами. Без этого невозможно выполнять задачи по защите таких систем от злоумышленников. Например, врачи годами изучают анатомию и физиологию человеческого организма: если ты знаешь, как оно работает, ты можешь и грамотно защитить, и умело починить.

2. Второй вариант — это айтишник, который хочет стать безопасником. Если он достаточно квалифицирован, то ему нужно обучиться основам ИБ и получить пару-тройку лет практического опыта. Ключевым моментом является самообразование, реальная осведомлённость о текущих угрозах и понимание, что в принципе может или не может сделать атакующий. В этом смысле лучшие безопасники — это опытные хакеры, перешедшие на «светлую сторону», но несмотря на действительно глубокие знания и опыт по теме, им иногда недостаёт организационных навыков.

Для новичка могу посоветовать лекции университета Тафтса по инфобезопасности.

Полезный курс: Offensive Security Certified Professional (OSCP) от Offensive Security. Программа весьма насыщенная, много практических заданий в виртуальной лаборатории.

Дальше рекомендую двигаться в сторону сертификации Certified Information Systems Security Professional (CISSP) и Certified Information Security Manager (CISM).

Из российских аналогов — профессиональная переподготовка по направлению «Информационная безопасность» от Информзащиты (актуально для айтишников, которые идут в ИБ). Кроме того, необходимо получить достаточные знания о юридическом регулировании процессов ИБ в России (знать содержание нормативных правовых актов и правоприменительную практику).

Если вы хотите работать специалистом по ИБ, вам потребуется непрерывно заниматься своим обучением, как официальным (сертификации, курсы, семинары), так и неофициальным — общаться в профильных сообществах, читать документацию и новую литературу по теме.

Игорь Корчагин, руководитель группы обеспечения безопасности информации компании «ИВК»

Цена ошибок специалистов по информационной безопасности велика, поэтому им необходимо постоянно поддерживать высокий уровень своей квалификации: следить за развитием технологий, появлением новых угроз, изменениями законодательства. Оптимальный способ приобретать новые знания — комбинировать самообучение с посещением курсов, вебинаров, профессиональных мероприятий (форумы, конференции, круглые столы и пр.).

Мероприятия расширяют кругозор, позволяют увидеть общую картину состояния отрасли и её отдельных сегментов. Такое видение необходимо, чтобы понять, какие направления развиваются наиболее динамично, в изучение каких областей ИБ стоит углубиться в данный момент.

Самообразование даёт возможность осваивать новый материал с любой степенью детализации, в комфортном ритме и с минимальными затратами. Последнее важно, поскольку организации не всегда готовы платить за обучение сотрудника. Однако несмотря на то, что в Интернете можно найти большое количество материала, его бывает непросто систематизировать и почерпнуть из него можно достаточно поверхностные знания.

Преимущество курсов в том, что они позволяют сэкономить время на изучение предметной области, поскольку построены на основе заранее систематизированной информации. Курсы дают возможность получить углублённые знания по достаточно узкому направлению, разобрать узнанное на конкретных примерах, пройти тестирование и получить сертификат, который поднимает ценность специалиста на рынке труда. Регулярное тестирование, которым сопровождаются этапы обучения, даёт возможность заметить пробелы в знаниях и быстро их восполнить. При выборе центров обучения имеет смысл отдавать предпочтение тем, которые согласованы со ФСТЭК России и ФСБ России, поскольку для некоторых видов работ по защите информации требуются документы об обучении именно в таких центрах. Минус посещения курсов — жёсткие временные рамки и двойная нагрузка на специалиста, если он получает знания «без отрыва от производства».

Отдельно стоит отметить такую форму, как вебинары. Она очень удобна для получения знаний «из первых рук» — непосредственно от вендоров и интеграторов, обзора новых возможностей продуктов, разбора кейсов, вызывающих затруднения, обмена опытом.

При выборе учебников и другой профессиональной литературы стоит отдавать предпочтение наиболее «свежим» изданиям. Технологии и законодательство меняются очень динамично, поэтому и информация устаревает стремительно.

Сергей Борисов, заместитель руководителя по ИБ в УЦСБ

Нужны базовые знания о компьютерных сетях, работе операционных систем и современных приложений. Далее нужно определиться, какая именно из множества специализаций ИБ интересна и уже под неё планировать наращивание знаний и компетенций.

Например, если интересна работа общим ИБшником / контролером ИБ / бумажным ИБшником, то в первую очередь необходимо будет изучить законодательство РФ: федеральные законы, постановления правительства, приказы ФСТЭК, ФСБ.

Читать блоги экспертов, пишущих про законодательство, процессы ИБ, документы ИБ: Лукацкий, Комаров, Борисов и прочие.

Смотреть доступные бесплатно вебинары про законодательства и общие подходы ИБ. Например, здесь.

Книги: «Семь безопасных информационных технологий», профессиональные комментарии к законодательству, например к 152-ФЗ.

Иван Комиссаров, специалист по оценке безопасности компьютерных систем компании «ОНСЕК»


В информационной безопасности, как и в любой профессиональной деятельности, есть огромное количество областей, каждая из которых требует от начинающего специалиста уникальных знаний и умений. Так, в работе над безопасностью веб-приложений и API важно:

1. Обязательно знать английский язык, особенно технический. Это знание пригодится для чтения различных мануалов и технических репортов. Кроме того, крупные конференции, на которых выступают профессионалы со всего мира в различных ИБ-областях, проводятся преимущественно на английском языке. Чтобы быть в курсе последних тенденций, обязательно нужно просматривать доклады с этих конференций, как минимум те, что касаются вашей специализации.

2. Хорошо понимать принципы работы операционной системы Linux. И чем выше уровень знаний, тем лучше, ведь это основная система, на которой работают серверы в интернете. Также необходимы знания в области компьютерных сетей: особенности их построения, архитектуры и протоколы, по которым всё это работает. Здесь могу порекомендовать 5-е издание книги Эндрю Таненбаума «Компьютерные сети». Как минимум будет полезно изучить раздел о TCP/IP. Также хорошей теоретической базой будет книга «Компьютерные сети. Принципы, технологии, протоколы» В. Олифера, Н. Олифера.

3. Приобрести знания по своему профилю. Сейчас в сети появилось огромное количество курсов по различным областям информационной безопасности. Обращайте внимание на отзывы, так как качество многих, на мой взгляд, оставляет желать лучшего.

Кроме того, никто не отменяет изучение печатно-электронной литературы. Из книг я могу порекомендовать, например, The Hacker Playbook 3: Practical Guide To Penetration Testing авторства Peter Kim. Это отличная книга, которая охватывает практические стороны эксплуатации и использования различных утилит. Её третья версия была выпущена в середине 2020 года, поэтому содержит актуальную информацию, которую не найти во многих учебных пособиях, что выходили ранее.

Информационная безопасность — это стремительно развивающаяся область, поэтому старайтесь изучать свежие рассылки по теме. Отлично подойдёт сервис Vulners. Это агрегатор уязвимостей с расширенными возможностями поиска. Также есть одноименный телеграм-бот vulnersBot, где можно подписаться на новости об интересующих вас областях. Свежие эксплоиты можно искать в твиттере, на GitHub и на проверенном ресурсе Exploit Database.

4. Знание разных языков программирования существенно облегчит исследование веб-приложений, а качественное тестирование методом «белого ящика» (когда изучаются исходные коды приложения), без него вообще невозможно. Сегодня чаще всего встречаются Ruby, Python, Java, PHP, .NET.

Начать можно, например, с Python — на нём написано огромное количество утилит и эксплоитов. У этого языка низкий порог вхождения, он довольно гибкий и слабо зависит от платформы.

5. Не стоит недооценивать умение быстро искать нужную информацию в поисковиках. Некоторые решения найти и встроить в рабочий поток проще и быстрее, нежели заново написать их. В 90% случаев задача, которая встала перед вами, уже была решена кем-то раньше.

Если говорить об утилитах, то существуют целые сборки со всем необходимым софтом. Чаще всего это системы, построенные на базе Linux, которые можно как установить на рабочую машину, так и использовать в Live-режиме, например, загрузив с носителя. Самые популярные — Kali Linux и Parrot Linux. Kali Linux выпускается с 2013 года. Это проверенная годами и стабильная среда для работы. Популярность этой сборки вызвала появление в сети множества различных мануалов и вариантов использования приложений, которые входят в её состав.

Также могу порекомендовать несколько хороших книг на эту тему. Для новичков будет полезно изучить «Hacking With Kali Linux: A Comprehensive, Step-By-Step Beginner’s Guide to Learn Ethical Hacking With Practical Examples to Computer Hacking, Wireless Network, Cybersecurity and Penetration Testing». Для более углубленного изучения — «Mastering Kali Linux for Advanced Penetration Testing: Secure your network with Kali Linux 2020.1 — the ultimate white hat hackers’ toolkit, 3rd Edition». Вообще книг довольно много, но большая часть из них на английском языке (вспоминаем первую рекомендацию). Из русских авторов могу отметить книгу Скабцова Н. «Аудит безопасности информационных систем».

Наконец, помимо необходимых знаний, количество которых будет только расти по мере углубления в отрасль, ИБ-специалисту пригодятся такие качества, как усидчивость, целеустремленность и умение нестандартно мыслить.

Юрий Пономарев, консультант по программным продуктам Oracle Центра технической поддержки компании РДТЕХ

Специалист по ИБ — это, как правило, выпускник профильного вуза по направлению «математика», «прикладная математика и физика», «информационная безопасность», «информатика».

Специалисты по ИБ должны иметь стаж работы на линейных должностях в IT. Приветствуется опыт программиста, инженера поддержки, аналитика данных, аналитика угроз ИБ. Но без усиленных знаний по современным операционным системам, системам связи, аппаратному обеспечению безопасности информации делать в этой специальности нечего, можно быть только рядовым аналитиком.

Основные курсы по информационной безопасности в нашей стране преподаются в инженерных вузах с глубокой научной ориентацией. Например, профильные факультеты МФТИ, МИФИ. Спецкурсы по защите информации есть в технических университетах — МАИ, многих политехнических вузах. Отдельно надо упомянуть курсы ИТМО, в котором готовят специалистов мирового уровня.

Мастер Йода рекомендует:  Как изучать Data Science в 2020 ответы на частые вопросы

Непосвящённым книги по информационной безопасности могут показаться рекомендациями параноика. Но поскольку цена средней информационной системы может достигать десятков миллионов долларов, а данные, которые в ней хранятся, могут быть бесценными, то книги и должны содержать в себе максимум потенциально полезной информации. Книги:

  • Шаньгин В.Ф. «Информационная безопасность и защита информации»;
  • Одинцов А.А. «Экономическая и информационная безопасность предпринимательства»;
  • Баранова Е.К. «Информационная безопасность. История специальных методов криптографической деятельности: Учебное пособие».

Курсы по ИБ в Москве: Центр «Специалист» МГТУ, курс «Сертифицированный специалист по безопасности сетей», «Построение системы безопасности персональных данных в организации».

Александр Буравцов, руководитель службы информационной безопасности компании «Новые облачные технологии»

Если говорить о подготовке специалиста по информационной безопасности, то для начала необходимо определиться, какой именно безопасностью хочется заниматься — организационным и документарным обеспечением безопасности, технической защитой информации различных уровней секретности, поиском уязвимостей в программном обеспечении и т.д. Именно от выбранного направления будут зависеть необходимые к изучению материалы и требования.

Как правило, для того, чтобы стать специалистом по ИБ, необходимо получить техническое образование, в идеале со специализацией в данной области. Также нелишним будет свободное владение техническим английским, так как наша область знаний очень быстро и динамично меняется, а большинство профильных исследований и конференций проводятся в первую очередь на английском языке. Также профильную литературу целесообразно читать в оригинале, так как чаще всего переводы появляются с опозданием и знания могут потерять свою актуальность. Кроме того, есть отдельные направления, где безусловным плюсом будет либо наличие юридического образования, либо навыков чтения «юридических» документов. Здесь речь идёт о так называемой «бумажной» безопасности, связанной в первую очередь с выполнением требований регуляторов на территории Российской Федерации (ФСТЭК, ФСБ, Минобороны). Такого рода специалисты исторически крайне востребованы, так как информатизация в нашей стране выделена в перспективные направления, а людей, понимающих, как необходимо обеспечивать защиту как создаваемых информационных систем, так и существующих — всегда не хватает. На текущей момент ценятся выпускники следующих вузов: МГТУ, МФТИ, МИФИ, ИТМО, КНИТУ. В последнее время сложилась практика, что в ведущих вузах России за студентами начинают «охотиться» с 3 курса, так как специалист, выращенный компанией, намного более ценен для неё, чем сотрудник, пришедший «со стороны».

В качестве полезной литературы для ознакомления как с предметом в целом, так и с отдельными направлениями, я рекомендую следующие книги:

  • Барабанов, Дорофеев, Марков, Цирлов — «Семь безопасных информационных технологий»;
  • Alan Conheim — «Computer security and cryptography»;
  • Петренко и Курбатов — «Политики безопасности компании при работе в интернет»;
  • Jon Erickson — «Hacking: The Art of Exploitation»;
  • Саттон, Грин, Амини — «Фаззинг: Исследование уязвимостей методом грубой силы»;
  • Peter Kim — «The Hacker Playbook: Practical Guide To Penetration Testing».

Дополнительно для получения наиболее актуальной информации об отрасли поставьте себе «на мониторинг» профильные ресурсы, чтобы отслеживать тренды, существующие проблемы и запросы рынка:

Итак, как стать специалистом по информационной безопасности?

  • Для начала определитесь с направлением: «безопасники» это не только типичные хакеры, к которым все привыкли.
  • Зачастую работодатели хотят видеть специалиста с дипломом по технической специальности, желательно непосредственно связанной с ИБ.
  • Если вы выпустились не как безопасник, а, например, как программист, то вам могут помочь различные онлайн- или офлайн-курсы от университетов.
  • Высшее образование важно, но не менее важно и самообразование — будьте готовы к тому, что многое придётся изучать самому.
  • Выучите английский хотя бы до уровня уверенного чтения — большая часть новой информации поступает именно на этом языке. Также на английском проводятся многие профильные конференции, записи которых полезно смотреть.
  • Читайте профильную литературу и не ждите её перевода на русский язык, ведь за это время информация может устареть.
  • Важно знать принципы работы ОС и компьютерных систем.
  • Также знание какого-нибудь языка программирования, например Python’а, может здорово облегчить вам жизнь.
  • Читайте блоги экспертов в области ИБ, профильный хаб на Хабре и прочие источники — в общем, будьте в курсе последних событий.
  • Попробуйте поучаствовать в CTF-соревнованиях и Bug Bounty программах, список которых можно найти в нашей статье.
  • Кроме того, есть различные онлайн-ресурсы (платные и бесплатные) для обучения поиску уязвимостей. Например PentesterLab или Pentestit.
  • С самого начала обучения уделяйте большое внимание практике.

«ТехЛАБ» вступил в Ассоциацию «Национальная база медицинских знаний»

Российский разработчик ИТ-систем для здравоохранения «ТехЛАБ» стал участником Ассоциации «НБМЗ». Она объединяет разработчиков и пользователей искусственного интеллекта в медицине. Вступление в Ассоциацию позволит «ТехЛАБ» получить доступ к новым валидированным биомедицинским данным, а также делиться с другими участниками своим опытом, связанным с разработкой ИТ-решений и их внедрением в медучреждениях.

«Системный софт» предложит клиентам решения ownCloud

«Системный софт», центр экспертизы в области программного обеспечения, начал продажи продуктов компании ownCloud. Одноименное решение ownCloud — программный продукт с открытым исходным кодом для синхронизации и обмена файлами, совместной работы и защиты конфиденциальности, которое позволяет клиентам сохранять контроль над своими данными.

Accenture: 69% покупателей готовы отказаться от бренда из-за агрессивного сбора данных

Покупатели не хотят, чтобы бренды заходили слишком далеко, нарушая их конфиденциальность в сборе личных данных.

«Нетрика» создала региональную экосистему для разработчиков медицинских информационных систем

Компания «Нетрика» представила экосистему для разработчиков медицинских информационных систем на основе своего флагманского продукта «N3.Здравоохранение». «Нетрика» расширяет возможности государственных информационных систем в сфере здравоохранения (ГИСЗ) путём включения в цифровой контур специализированных решений. Такой подход позволяет на уровне региона создать экосистему из разработчиков информационных систем для медицины, которые имеют глубокую экспертизу в отдельных областях медицинских знаний.

«Инпро Технолоджис» и «АМДтехнологии» заключили партнерское соглашение

Компании «Инпро Технолоджис» и «АМДтехнологии» заключили партнерское соглашение для совместной реализации проектов по строительству дата-центров, использующих технологию непосредственного жидкостного охлаждения.

ООО “Информационно-Аналитический Центр”

2007 — 2020. Все права защищены

Вся информация на данном сайте носит исключительно справочный характер и не является публичной офертой или рекламой

С чего начать изучение информационной безопасности

Последнее время ИТ-безопасность стала неким трендом, все об этом пишут, все об этом говорят. Насколько это вообще перспективное направление? И главное, как к этому присоединиться? Какие учебные материалы (книги, курсы) помогут «внедриться» новичку в это всё?

Отвечает Максим Лагутин, основатель сервиса для защиты сайтов SiteSecure

В основном компаниям (среднего и крупного бизнеса) сейчас интересна практическая информационная безопасность (далее ИБ) и специалисты-практики. Менее интересны, но все же интересны, менеджеры по информационной безопасности, которые занимаются построением внутренних процессов ИБ и контролем их соблюдения.

Из российских курсов могу порекомендовать курсы этичного хакинга от компании Pentestit, которые направлены как раз на новичков в данной сфере. Также недавно Алексей Лукацкий, эксперт по информационной безопасности и известный блогер в этой сфере, выложил перечень доступных курсов по теме ИБ.

Из книг могу посоветовать «Тестирование черного ящика» Бориса Бейзера, «Исследование уязвимостей методом грубой силы» Майкла Саттона, Адама Грина и Педрама Амини. Также рекомендую подписаться на статьи SecurityLab, журнал «Хакер» и просматривать интересные темы и задавать вопросы на форуме «Античат».

Периодически смотреть обновления стоит на Owasp, где раскрывается много моментов по распространению уязвимостей в программном обеспечении и в сети, и исследования по безопасности интернета в России — наше и Positive Technologies

Чтобы задать свой вопрос читателям или экспертам, заполните форму заявки на странице.

Эксперты по информационной безопасности

Решай вопросы с проверенным IT экспертом 1 на 1 в режиме онлайн

Похожие категории

  • IT консалтинг 32
  • Эксперты по информационной безопасности 8
  • Эксперты по PHP 4
  • Консультации программиста 16
  • Консультации по сайту 18

  • Бизнес консалтинг 25
  • ИТ собеседование 19
  • Маркетинговый консалтинг 7
  • SEO консультации 6
  • Web CMS (веб движки) 3
  • Мобильная разработка 11
  • Автоматизация тестирования 5
  • Консультации по машинному обучению 5

    СПбГУ, старший преподаватель

    Артур Ханов

    Опыт работы:

    Навыки:

    • Low level
    • VHDL
    • ASM
    • Python
    • Perl
    • Reverse engineering
    • Block-chain
  • Про эксперта:

    ООО «Информационные системы и аутсорсинг», заместитель генерального директора по ИБ.

    Сергей Борисов

    Опыт работы:

    Навыки:

    • ИБ
    • Защита КИИ
    • Защита ПДн
    • Compliance
    • GDPR
    • vCISO
  • Про эксперта:

    Знаю, как создавать системы обеспечения информационной безопасности в соответствии с законодательством РФ и лучшими мировыми практиками. Помогу с моделированием угроз и оценкой рисков ИБ.

    Планирование мероприятий ИБ. Подбор средств защиты информации оптимальных для текущей или планируемой ИТ-инфраструктуры. Как выполнить требования законодательства РФ в области ИБ (ПДн, ГИС, КИИ) с минимальными затратами. Review и советы по документации ИБ.

Алексей Бабенко

Опыт работы:

Навыки:

  • Аудит ИБ
  • Antifraud
  • Мошенничество в ДБО
  • PA-DSS
  • Про эксперта:

    Старший разработчик Яндекса

    Андрей Гейн

    Опыт работы:

    Навыки:

    • C#
    • Python
    • Django
    • Алгоритмы
    • Структуры данных
    • ИБ
    • Cети
    • CTF
  • Про эксперта:

    Работаю фулл-стек разработчиком и даже немного больше: придумываю архитектуру, программирую бэкенд с фронтендом и тестирую получившийся результат сам. Из непривычных для сегодняшних программистов навыков: достаточно хорошо разбираюсь в алгоритмах и структурах данных, а также увлекаюсь компьютерной безопасностью.

    Отлично знаю: Python, C#, Django, PHP, Entity Framework, SQL, HTML, JavaScript, CSS, jQuery, git, SVN, Assembler

    9 консультаций, 13 часов.

    УЦСБ, системный инженер

    Кирилл Шилиманов

    Опыт работы:

    Навыки:

    • ИБ
    • DLP
    • Анализ защищенности
    • PKI
  • Про эксперта:

    Ведущий разработчик, Coolershare.com

    Максим Мелентьев

    Опыт работы:

    Навыки:

    • Ruby
    • Rails
    • WEB-разработка
    • ИБ
    • Blockchain
    • Поиск
  • Про эксперта:

    Transdata AS, Генеральный директор

    Михаил Якобсен

    Опыт работы:

    Навыки:

    • Cisco
    • Checkpoint
    • Инфраструктура
    • Отказоустойчивость
    • Безопасность
    • Управление персоналом
  • Про эксперта:

    Infrastructure Security Team Lead, Wargaming.net

    Иван Агарков

    Опыт работы:

    Навыки:

    • linux hardening
    • security
    • blue team
    • selinux
    • netfilter
    • secure development
    • linux administration
  • Про эксперта:

    Не нашли нужного эксперта?

    Оставьте заявку, и мы найдем эксперта для решения вашей задачи

    Специалист по информационной безопасности: подготовка по специальности

    Информационная безопасность

    Информационная безопасность

    Защита информации в сфере IT считается высшим профессиональным уровнем. В условиях жесткой конкурентной борьбы современные компании вынуждены уделять повышенное внимание сохранности данных. В связи с этим возрастает роль специалистов по информационной безопасности. Специалист по информационной безопасности обеспечивает конфиденциальность данных, предотвращает утечку или несанкционированный доступ к информации, принимает непосредственное участие в создании системы защиты информации, ее аудите и мониторинге, анализирует информационные риски, разрабатывает и внедряет мероприятия по их предотвращению. В его компетенцию также входит установка, настройка и сопровождение технических средств защиты информации.

    Специалисты по информационной безопасности входят в тройку лидеров среди IT-специальностей в условиях кризиса. В Москве на одну вакансию специалиста по информационной безопасности приходится только два резюме!

    Современные специалисты по безопасности должны владеть средствами, которые помогут им провести мониторинг безопасности IT-среды, организовать защиту против известных и вновь возникающих угроз, оперативно выявлять и сдерживать любые атаки, а также проводить восстановительные мероприятия. При этом они должны обеспечить свободный и безопасный доступ к корпоративной информации и ресурсам, организовав виртуальные частные сети, построив несколько уровней защиты, обеспечив отказоустойчивость, мониторинг и контроль. В обязанности специалиста по информационной безопасности также зачастую входит обучение и консультирование сотрудников по вопросам обеспечения информационной безопасности и составление нормативно-технической документации.

    Плюсы профессии:

    • Используются самые передовые технологии
    • Сфера информационной безопасности стремительно развивается, а значит, спрос на специалистов в этой области будет расти еще долго
    • Высокий уровень оплаты труда

    Специалист по информационной безопасности должен знать программно-аппаратное обеспечение, линейки оборудования и продуктов производителей ПО (Windows, Linux, Cisco, EC-Council, Security Certified Program, Check Point, КриптоПро, Лаборатории Касперского).

    Всему этому вы научитесь в «Специалисте»!

    Центр «Специалист» при МГТУ им. Н.Э.Баумана чтит традиции Бауманской школы — высочайшее качество обучения, нацеленность на результат. Наши выпускники успешно работают в российских и международных компаниях.
    Высококвалифицированные преподаватели-практики помогут Вам не только получить актуальные и прочные знания, но и освоить одну из наиболее востребованных специальностей — специалист по информационной безопасности.

    «Специалист» — лучший российский учебный центр, имеющий авторизацию Microsoft, авторизованный учебный центр Cisco, авторизованный учебный центр «Лаборатории Касперского», авторизованный центр «Крипто-Про», лучший учебный центр по этичному хакингу.

    После успешного окончания обучения Вы получите престижное свидетельство Центра «Специалист» и международные сертификаты компаний-производителей программного обеспечения.

    Преимущества обучения в Центре «Специалист»:

    • Уже более 27 лет «Специалист» является крупнейшим учебным центром в России
    • Курсы ведут преподаватели-эксперты, практики с огромным опытом
    • Престижные международные сертификаты по окончании обучения
    • Гарантированное расписание на год вперед
    • Широкий ассортимент курсов по последним версиям ПО.

    Запишитесь на курсы и станьте высококвалифицированным специалистом!

    Специалист по кибербезопасности

    выявляет угрозы информационной безопасности и риски потери данных, вырабатывает и внедряет меры противодействия угрозам и решения для защиты от потери информации; обеспечивает сохранность и конфиденциальность данных; участвует в разработке и внедрении IT-решений

    Мобильные телефоны, компьютеры, машины, а с некоторых пор даже бытовые приборы связывают себя и своего владельца огромным количеством данных. Гигантских масштабов достигли информационные системы в бизнесе, торговле и финансах, подтверждением чему является текущий криптовалютный бум.

    Все это привело к формированию новых ценностей, создаваемых или передаваемых в киберпространстве. Вместе с этим появилась и угроза кражи этих ценностей, их порчи или подмены. Для противодействия злоумышленникам необходимы специалисты по кибербезопасности, способные защищать информацию, предугадывать действия преступников и создавать безопасную архитектуру пользования данными.

    Специалисты по кибербезопасности работают в крупных финансовых и IT-компаниях, ценность подобных кадров отмечается в государственных органах, оборонных ведомствах, где их основная задача – обеспечение национальной безопасности, предотвращение внедрения в государственную инфраструктуру.

    Потребность в таких специалистах особенно наглядно прослеживается сейчас, в связи с ростом числа киберпреступлений и случаев кибертерроризма. Хакерские атаки регистрируются во всех уголках мира. Среди самых резонансных стоит упомянуть распространение вирусов WannaCry, Petya/NotPetya, нанесших значительный урон банковским системам и крупным компаниям разных стран.

    Оценки рынка

    $ 232 млрд
    достигнет объем рынка кибербезопасности к 2022 году со среднегодовым темпом роста в 11% за период с 2020 года

  • Добавить комментарий