информационная безопасность кбсп что это
Специалист по информационной безопасности. Что делает и сколько зарабатывает
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Специалист по информационной безопасности сейчас — этот тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Еще 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берёт готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
Стек инструментов
Вот что нужно попробовать ещё до устройства на работу стажёром:
Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать.
Сколько зарабатывают такие специалисты и насколько они востребованы
Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300–400 тысяч.
Рост в зарплате
Вот типичная картина на сайтах с вакансиями:
Востребованность
Спрос на специалистов по информационной безопасности высокий — только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.
В основном предложения от 150 тысяч в Москве или Санкт-Петербурге. В регионах специалист с опытом в 1–2 года может рассчитывать на 50–120 тысяч.
Работать удалённо предлагают только высококлассным специалистам — например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.
Пример удалённой высокооплачиваемой вакансии
Что почитать по теме
Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами — только на теории дойти до уровня стажёра не получится.
Где учиться на специалиста по ИБ
Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.
10.03.01 Информационная безопасность
Направление подготовки подойдёт тем, кто интересуется системами
и технологиями обеспечения информационной безопасности автоматизированных систем, включая государственные информационные системы и объекты ключевых информационных инфраструктур.
Студенты изучают сети и системы передачи информации, сети электронно- вычислительных машин, методы и средства защиты информации от вредоносных воздействий, защищённые системы передачи информации.
В ходе обучения студенты получают общую теоретическую подготовку в области науки, техники и технологии, охватывающую совокупность проблем, связанных с обеспечением защищенности объектов информатизации в условиях существования угроз в информационной сфере. Выпускники способны квалифицированно применять современные, передовые упреждающие технологий защиты информации с уровнем подготовки, согласованным с требованиями заказчиков и государственными органами власти.
Специалисты по защите информации востребованы во всех отраслях, использующих информационные ресурсы и информационные технологии, компьютерные, автоматизированные,
телекоммуникационные, информационные и информационно-аналитические системы. Данное направление входит в состав приоритетных направлений развития науки, технологий и техники в Российской Федерации.
Область профессиональной деятельности выпускников включает сферы науки, техники и технологии, охватывающие совокупность проблем, связанных с обеспечением защищенности объектов информатизации в условиях существования угроз в информационной сфере.
Объектами профессиональной деятельности бакалавров являются:
Объекты информатизации, включая компьютерные, автоматизированные, телекоммуникационные, информационные и информационно-аналитические системы, информационные ресурсы и информационные технологии в условиях существования угроз в информационной сфере; технологии обеспечения информационной безопасности объектов различного уровня (система, объект системы, компонент объекта), которые связаны с информационными технологиями, используемыми на этих объектах; процессы управления информационной безопасностью защищаемых объектов.
Выпускающая кафедра: КБ-1 «Защита информации»
Об институте
Институт кибербезопасности и цифровых технологий — структурное подразделение РТУ МИРЭА, где ведётся подготовка специалистов в области обеспечения информационной безопасности, защиты национального киберпространства, экономической безопасности, правового обеспечения национальной безопасности и правоохранительной деятельности, информационных технологий и программных систем, специального и аналитического приборостроения. Более чем 20-летний опыт работы делает институт одним из лидеров в профильном образовании.
В Институте кибербезопасности и цифровых технологий можно получить профессии, которые пользуются высоким спросом у работодателей. Среди них — специалист по защите информации, аналитик в области информационной безопасности, специалист по реверс-инжинирингу, вирусный аналитик, специалист по конкурентной разведке, геймдизайнер, веб-программист, разработчик интерфейсов, системный администратор, экономист, адвокат, арбитражный управляющий и многие другие. Институт регулярно обновляет учебные планы и внедряет новые образовательные технологии. Студенты изучают самые передовые направления: интернет вещей, создание «цифровых двойников», методы искусственного интеллекта, технологии защиты информации и комплексной безопасности, правоохранительную деятельность, правовое обеспечение национальной и экономической безопасности.
Студенты обучаются на базе современных компьютерных центров и учебных лабораторий, которые оснащены современным оборудованием. В институте работают Центр сквозного проектирования интеллектуальных измерительных приборов и систем, Киберполигон, Криминалистическая лаборатория, Лаборатория технической защиты информации, Лаборатория технических средств и систем в защищённом исполнении, Лаборатория интеллектуальных сенсорных систем, Лаборатория проектирования «цифровых двойников». Завершается работа по созданию Центра мониторинга киберугроз.
Подготовка студентов ведётся в сотрудничестве с ведущими научно-исследовательскими институтами, концернами, корпорациями, компаниями. Благодаря сотрудничеству с ними студенты имеют возможность проходить целевое обучение, различные виды практик, а также выполнять выпускные квалификационные работы на базе предприятий. Всё это открывает дополнительные возможности для трудоустройства.
Специалисты по защите информации сегодня являются одними из самых высокооплачиваемых и востребованных. Выпускники института работают в крупных научно-исследовательских организациях, банках, торговых, строительных и IТ-компаниях, структурах корпоративного управления и органах государственной власти.
Институт сегодня
Что такое информационная безопасность и какие данные она охраняет
Если компания хранит бухгалтерскую информацию, клиентскую базу, анкеты сотрудников или корпоративные тайны, то важно, чтобы эти данные не попали не в те руки, то есть были защищены. Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.
Что такое информационная безопасность
Информационная безопасность — это различные меры по защите информации от посторонних лиц. В доцифровую эпоху для защиты информации люди запирали важные документы в сейфы, нанимали охранников и шифровали свои сообщения на бумаге.
Сейчас чаще защищают не бумажную, а цифровую информацию, но меры, по сути, остались теми же: специалисты по информационной безопасности создают защищенные пространства (виртуальные «сейфы»), устанавливают защитное ПО вроде антивирусов («нанимают охранников») и используют криптографические методы для шифрования цифровой информации.
За что отвечает информационная безопасность
Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.
Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.
Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.
Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.
Какая бывает информация и как ее защищают
Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.
Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.
Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.
Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса.
Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»
Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.
Основные виды конфиденциальной информации
Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует 152-ФЗ — закон, который обязывает охранять эту информацию. Мы подробно рассказывали об этом в статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать».
Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.
Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.
Компания сама решает, что считать коммерческой тайной, а что выставлять на всеобщее обозрение. При этом не вся информация может быть коммерческой тайной — например, нельзя скрывать имена учредителей юрлица, условия труда или факты нарушения законов. Подробнее о коммерческой тайне рассказывает закон 98-ФЗ.
Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.
Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.
Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.
10.05.03 Информационная безопасность автоматизированных систем
В ходе обучения студенты получают общую теоретическую подготовку в областях науки, техники и технологий, охватывающих совокупность проблем, связанных с обеспечением защиты объектов информатизации в условиях существования угроз в информационной сфере.
Специалисты по защите информации востребованы во всех отраслях, использующих информационные ресурсы и информационные технологии, компьютерные, автоматизированные, телекоммуникационные, информационные и информационно-аналитические системы. Данное направление входит в состав приоритетных направлений развития науки, технологий и техники в Российской Федерации
Область профессиональной деятельности выпускников включает: сферы науки, техники и технологии, охватывающие совокупность проблем, связанных с обеспечением информационной безопасности автоматизированных систем в условиях существования угроз в информационной сфере.
Объектами профессиональной деятельности специалистов являются:
• автоматизированные системы, функционирующие в условиях существования угроз в информационной сфере и обладающие информационно-технологическими ресурсами, подлежащими защите;
• информационные технологии, формирующие информационную инфраструктуру в условиях существования угроз в информационной сфере и использующие информационно-технологические ресурсы, подлежащие защите;
• технологии обеспечения информационной безопасности автоматизированных систем;
• системы управления информационной безопасностью автоматизированных систем.