Информационная безопасность кем работать. Специалист по информационной безопасности

Профессия специалиста информационной безопасности возникла на стыке двух направлений: информационных технологий и технологий обеспечения безопасности.

Специалист по информационной безопасности — это человек, который занимается анализом информационных рисков компаний, а также разработке и внедрению мероприятий по их предотвращению.

Особенности профессии

С растущим количеством киберугроз профессия информационной безопасности становится более востребованной в области электронной коммерции, СМИ, различные онлайн-сервисы.

Обязанности:

• Сбор и анализ данных для принятия мер по обеспечению информационной безопасности
• Установка, настройка и обслуживание технических, а также программных средств защиты;
• Принимать участие в разработке новых средств систем автоматизации контроля и защиты информации;
• Находить возможные каналы утечки сведений;
• Разработать политику безопасности наиболее подходящую для данной организации;
• Разработать предложения по совершенствованию и повышению существующей политики безопасности;
• Консультации сотрудников компании в сфере ИБ.

Основные навыки:

• Администрирование и понимание архитектуры компьютерных сетей;
• Настройка и поддержка различного ПО;
• Знание английского языка для чтения узкоспециализированной литературы;
• Программирование на С#, JAVA, PHP, Perl и тд.

Зарплата специалиста по информационной безопасности

Понятное дело, что самая высокая зарплата у специалиста ИБ будет в Москве. В зависимости от квалификации и опыта работы она составляет от 60 000 до 90 000 рублей.

В Санкт-Петербурге оплата труда специалиста по безопасности будет уже ниже от 30 000 до 77 000 рублей.

В других регионах России оклад сотрудника информационной безопасности еще ниже: от 20 000 до 40 000 рублей.

Куда пойти учиться на специалиста ИБ?

• Национальный исследовательский университет «Высшая школа экономики»
• Московский физико-технический институт (Государственный университет)
• Московский государственный технический университет им. Н.Э. Баумана (национальный исследовательский университет)
• Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации
• Финансовый университет при Правительстве Российской Федерации
• Национальный исследовательский ядерный университет «МИФИ»

Стоимость обучения колеблется от 250 000 до 330 000 рублей в год. Не забывайте, что в каждом вузе есть бюджетные места. О списке документов и проходном бале уточняйте в самих учебных заведениях.

Кем может работать спец ИБ?

После окончания вуза далеко не каждый абитуриент становится высококлассным специалистом по информационной безопасности.

Монтажник сетей

Можно сказать, что это последняя надежда зацепиться за работу в сфере IT. Как правило, монтажником сетей могут взять и в качестве помощника без соответствующего образования. Поэтому людям из сферы информационной безопасности устроиться монтажником довольно просто.

Скажу сразу, что профессия не очень прибыльная, поэтому нужно стремиться к большему.

Программист

Многие студенты, которые обучаются на факультетах информационных технологий, начитают кодить (писать программы). Некоторых это увлечение настолько затягивает, что они могут переквалифицироваться в программиста, который может подтянуть свои знания и стать хорошим специалистом. Как правило, спецами люди становятся, когда кодят в основном на одном языке программирования, а не хватаются за все подряд. Тут не надо объяснять, что чем выше квалификация, тем выше заработная плата.

Системный администратор

Любой специалист по информационной безопасности должен хорошо знать и понимать работу системного администратора, и соответственно выполнять ее. То есть в самые трудные времена сотруднику ИБ довольно просто будет начать работу системного администратора.

Многие считают, что сисадмин — это довольно простая и не пыльная работенка. Если все предварительные работы по настройки сети и компьютеров выполнены правильно, то считайте, что Вам повезло. А если нет, то Вам придется доделывать косяки предыдущего сисадмина. Тут уже объем работы будет зависеть от кривости рук того, кто до Вас работал раньше.

Частная служба охраны

Здесь спектр обязанностей будет несколько уже. Нужно будет приехать на объект, установить и настроить оборудование для слежения. Естественно периодически нужно будет приезжать, и проверять состояние оборудования. Например, на наличие несанкционированных подключений и прочее.

Учитель информатики

Вы просто не представляете, сколько полезного для своей страны Вы сможете сделать, если пойдете работать учителем информатики.

Знания, полученные в учебных заведениях, могут предостеречь будущих сотрудников (студентов) от роковых ошибок. Немаловажную роль играет подача материала. Если Вы сможете заинтересовать студента на лекции, то он может запомнить полученную информацию на всю жизнь.

Наша страна ощущает дефицит высококвалифицированных специалистов в сфере информационной безопасности. А значит, тут есть место и для предпринимательской деятельности. Например, можно открыть частные курсы по повышению квалификации и обучению новых специалистов. Дерзайте, у Вас все получится.

Квалификация - техник по защите информации

Код специальности: 10.02.03

Уровень образования: специалист

Актуальность обучения

В век информационных технологий главной ценностью становится информация. Достоверность и доступность являются важными её критериями. Поэтому так важно заботиться о её конфиденциальности и защите.

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак.

Уязвимости - ахиллесова пята автоматизированных систем.

Практически любая автоматизированная система может выступать в качестве объекта информационной атаки - совокупности действий злоумышленника, направленных на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности.

Примерами уязвимостей автоматизированных систем могут являться:

• некорректная конфигурация сетевых служб АС,
• наличие ПО без установленных модулей обновления,
• использование нестойких к угадыванию паролей,
• отсутствие необходимых средств защиты информации и др.

Уязвимости являются основной причиной возникновения информационных атак. Наличие слабых мест в автоматизированных системах может быть обусловлено самыми различными факторами, начиная с простой халатности сотрудников, и, заканчивая преднамеренными действиями злоумышленников.

Последствия, к которым могут привести информационные атаки, могут быть совершенно разного масштаба. Так, например, од но и тоже последствие атаки может сводиться к искажению системного файла на сервере для системного администратора, в то время как для руководителя компании - приостановкой одного из важнейших бизнес-процессов предприятия.

В настоящее время успешная работа предприятий, использующих те или иные информационные системы, зависит от того насколько хорошо они защищены от возможных угроз безопасности. Это позволяет утверждать, что проблема защиты информации является сегодня одной из наиболее злободневных и актуальных.

Личные качества специалиста по защите информации

Создание и наладка информационных систем - это всегда работа нескольких специалистов: руководителя компании, аналитика, проектировщиков систем, программистов. Ко всем нужно найти подход и суметь поставить задачу понятным для них языком. А потому коммуникабельность и умение работать в команде для такого специалиста крайне необходимы.

Аналитический склад ума и умение планировать свою деятельность позволят специалисту проводить сложнейшие операции, разрабатывать компьютерные программы, работать с вычислительной техникой, быстро осваивать постоянно развивающийся рынок технологий. Хладнокровность и самообладание также пригодятся: в случае выхода из строя оборудования он должен приступить к устранению проблем, не подвергаясь панике. Также будут полезны хорошая память, внимательность и скрупулезность.

Работа с информацией - всегда ответственный труд. Поэтому от специалиста в сфере информатики и вычислительной техники требуется внимательность, оперативность, организованность и стрессоустойчивость.

Прием абитуриентов

Наименование специальности	База	Срок обучения	Форма обучения
Информационная безопасность автоматизированных систем 10.02.03 Квалификация - техник по защите информации	на базе 11 классов	2 г. 10 мес.	Очная форма обучения
			Заочная форма обучения
	на базе 9 классов	3 г. 10 мес.	Очная форма обучения

Государственный образовательный стандарт по специальности «Информационная безопасность автоматизированных систем» для подготовки специалиста данного профиля предусматривает изучение многих профессиональных и специальных дисциплин:

• Основы информационной безопасности.
• Технические средства информатизации.
• Организационно-правовое обеспечение информационной безопасности.
• Сети и системы передачи информации.
• Основы алгоритмизации и программирования, языки программирования.
• Электроника и схемотехника.
• Операционные системы.
• Базы данных.
• Экономика организации.
• Менеджмент.
• Безопасность жизнедеятельности.
• Эксплуатация подсистем безопасности автоматизированных систем.
• Эксплуатация компьютерных сетей.
• Программно-аппаратные средства обеспечения информационной безопасности.
• Криптографические средства и методы защиты информации.
• Применение инженерно-технических средств обеспечения информационной безопасности.

Будущие профессии:

• ERP-программист.

ERP (Enterprise Resource Planning) это комплекс приложений, позволяющих создать единую автоматизированную систему управления предприятием (или ее ключевыми бизнес-процессами). Она включает в себя набор подсистем, связанных с деятельностью компании: финансы (бухгалтерский и налоговый учет и отчетность, бюджетирование и т.п.), производство, управление кадрами, маркетинг и продажи (CRM) и другие.
ERP-система позволяет достичь согласованной работы различных подразделений предприятия, снижая при этом административные издержки. В последнее время необходимость внедрения ERP-систем осознает все большее количество российских предприятий. А значит, растет и спрос на специалистов этой области. Работа в компаниях-интеграторах, сулит сотрудникам значительные перспективы в плане карьерного и финансового роста. А потому многие сегодняшние выпускники технических вузов готовы отказаться от работы по специальности, и начать карьеру с должности стажера в компаниях-интеграторах.

• IT-специалист.

Только представьте себе: робот приносит кофе, включает музыку, встречает и провожает гостей, заботится о том, чтобы хозяин чувствовал себя как можно лучше. В силах IT-специалистов сделать так, чтобы эта "сказка стала былью".
Без специалистов по информационным технологиям сегодня не могут обойтись ни коммерческие структуры, ни государственные организации, такие как ФСБ.
В первом случае специалисты создают системы защиты для конкретных предприятий, защищают локальные компьютерные сети от вирусных атак или взлома хакеров. Они предотвращают утечку важной информации, изменение данных, некомпетентность (незнание) и злой умысел собственных сотрудников. Во втором - разрабатывают системы защиты важной информации об обороноспособности страны, формируют секретные базы данных.
Заработная плата IT-специалистов напрямую зависит от уровня профессиональных знаний. В некоторых компаниях величина вознаграждения «IT-шников» может быть больше, чем у топ-менеджеров этой же компании.

• Администратор базы данных.

Деятельность администратора базы данных представляет собой работу с применением знаний технологии механизированной обработки информации, видов её технических носителей, стандартов и систем шрифтов и кодов. Специалист пользуется навыками кодирования информации, языков программирования. Соблюдение порядка технической документации позволит специалисту организованно и оперативно провести свою работу.
Администратор баз данных изучает информационные потребности структурных подразделений. Рассматривает предлагаемые отделом информации программные средства. Внедряет новые программные средства. Контролирует работу компьютеров, и при возникновении неисправностей сообщает в отдел информатизации.

• Специалист организационно-правовой защиты информации.

Информационная безопасность необходима тогда, когда речь идёт не только о государственной тайне и стратегических данных обороноспособности, но и коммерческой или персональной защите информации. К области деятельности специалиста организационно-правовой защиты информации относятся такие понятия, как защита персональных данных в кадровой службе, защищённый электронный документооборот, правовая защита информации. Специалист такого плана может работать в образовательных учреждениях и делиться знаниями с будущими коллегами или трудиться в компаниях, специализирующихся на информационных технологиях, компьютерах, Интернет, финансовом мониторинге.
Данный специалист занимается не только поиском утечки каналов информации, но и заботиться о наличии необходимых технических средств её защиты.

• Специалист программно-аппаратной защиты информации.

Часто специалисты программно-аппаратной защиты информации работают в войсковой части или в службе по незаконному обороту наркотиков. Такие специалисты необходимы не только в защите государственной тайны или поддержанию порядка, они могут работать и в сфере промышленного производства и услуг. Например, на предприятиях, где необходимо установить и настроить сетевое оборудование, или в различных компаниях, чья деятельность непосредственно связана с компьютерными технологиями.
Специалист программно-аппаратной защиты информации занимается администрированием локально-вычислительной системы, обеспечивает защиту от несанкционированного доступа, устанавливает пароль и антивирусную защиту. Поэтому специалисты программно-аппаратной защиты информации сегодня ценятся высоко.

• Специалист по технической защите информации.
• Администратор локальных вычислительных сетей.
• Инженер по защите информации.
• Программист.
• Разработчик баз данных.
• Специалист SAP.

ИНФОРМАЦИЯ ДЛЯ РОДИТЕЛЕЙ

Более подробно

Область профессиональной деятельности выпускников по специальности «Информационная безопасность автоматизированных систем»: организация и проведение работ по обеспечению защиты автоматизированных систем в организациях различных структур и отраслевой направленности.

Объектами профессиональной деятельности выпускника являются автоматизированные системы обработки, хранения и передачи информации определенного уровня конфиденциальности, методы и средства обеспечения информационной безопасности автоматизированных систем.

Преимущества специальности:

Техник по защите информации готовится к следующим видам деятельности:

1. Эксплуатация подсистем безопасности автоматизированных систем:

• Участвовать в эксплуатации компонентов подсистем безопасности автоматизированных систем, в проверке их технического состояния, в проведении технического обслуживания и текущего ремонта, устранении отказов и восстановлении работоспособности.
• Выполнять работы по администрированию подсистем безопасности автоматизированных систем.
• Производить установку и адаптацию компонентов подсистем безопасности автоматизированных систем.
• Организовывать мероприятия по охране труда и технике безопасности в процессе эксплуатации автоматизированных систем и средств защиты информации в них.
• Вести техническую документацию, связанную с эксплуатацией средств технической защиты и контроля информации в автоматизированных системах.

1. Применение программно-аппаратных средств обеспечения информационной безопасности в автоматизированных системах:

1. Применение инженерно-технических средств обеспечения информационной безопасности:

• Применять инженерно-технические средства обеспечения информационной безопасности.
• Участвовать в эксплуатации инженерно-технических средств обеспечения информационной безопасности, в проверке их технического состояния, в проведении технического обслуживания и текущего ремонта, устранении отказов и восстановлении работоспособности.
• Участвовать в мониторинге эффективности применяемых инженерно-технических средств обеспечения информационной безопасности.
• Решать частные технические задачи, возникающие при проведении всех видов плановых и внеплановых контрольных проверок, при аттестации объектов, помещений, технических средств.
• Применять нормативные правовые акты, нормативно-методические документы по обеспечению информационной безопасности инженерно-техническими средствами.
• Выполнение работ по одной или нескольким профессиям рабочих, должностям служащих.

Мы сейчас готовимся ко второй части хакерского турнира. Предвидя возможные вопросы от журналистов и людей, далёких от ИБ, хочу заранее рассказать, почему на выходе получатся далеко не хакеры, и как вообще выглядит карьера специалиста по безопасности.

Безопасник сегодня, грубо говоря, может и перекладывать бумажки, и ходить по периметру с радиоборудованием, и составлять планы Disaster Recovery, и непосредственно заниматься исправлением дыр в софте . Специализаций очень много. Все зависит от конкретной организации: ее размера, типов защищаемой информации, используемых технологий и так далее. Понятно, что интереснее всего работа там, где необходима реальная безопасность, а не фиктивная (бумажная), есть высокий уровень автоматизации.

Давайте посмотрим, откуда берутся и как получаются такие специалисты.

Образование

Разумеется, для того чтобы стать специалистом по информационной безопасности, нужно иметь техническое образование. Лучше всего - специальность, в которой есть слова «автоматизация», «безопасность», «программирование» или «математика». Несколько лет назад очень ценились выпускники исключительно таких ВУЗов как МИФИ, МВТУ, МГУ и МФТИ. За последние годы к ним добавилось достаточно много региональных университетов с примерно аналогичными программами обучения.

Очень важен английский язык, в особенности - технический. Чем раньше вы его начали учить - тем лучше. Если вы закончили ВУЗ, но ещё не говорите по-английски бегло, стоит записаться на хорошие курсы.

Ещё в образовании для разных специализаций важно «качать» криптографию (очень хороший базовый курс есть на Курсере) и математику в целом, разбираться в используемом в компании железе (чаще всего речь о телефонии, камерах и так далее), очень хорошо понимать архитектуру сети в теории и знать особенности всего железа на практике, иметь опыт системного администрирования как MS, так и *nix, плюс хотя бы какой-нибудь серверный опыт с HP и IBM. Всё это познаётся на курсах, семинарах для студентов от крупных компаний, они чаще всего бесплатные, например, КРОК регулярно проводит обучение для студентов по разным направлениям, информация доступна . Ряд вещей, вроде умения работать с паяльником - это чисто домашняя практика. Кстати, сам паяльник вам не понадобится, но вот понимание железа на низком уровне - очень даже.

Ещё одна важная часть работы безопасника - это некоторая социальность. Дело в том, что меры безопасности практически всегда так или иначе замедляют работу процессов компании, и людям приходится объяснять, почему это необходимо. Отстаивать каждое решение, проводить тренинги, доказывать свою правоту руководству и так далее. Ещё один аспект - это уже упомянутая работа с социальной инженерией , которая просто обязательно требует хотя бы базовых знаний психологии.

Первая работа

На выходе из ВУЗа будущий герой безопасности либо никому не нужен (в целом), либо воспринимается как отличный стажер для крупного бизнеса. Причина в том, что всё в работе зависит от конкретного окружения и конкретных угроз. То есть обучиться можно только на практике именно в той компании, где предполагается рост.

Отсюда три вывода:

• Хорошо рассчитывать на многолетнюю карьеру в одном месте.
• Чем раньше вы начнёте знакомиться с будущей компанией - тем лучше. Оптимально - проходить практику прямо в ней.
• Важно в целом развивать личные качества вроде системного мышления и ответственности - они пригодятся в любых условиях.

Очень важен наставник-ментор - скорее всего, старший специалист или руководитель, который будет вводить в курс всего, рассказывать про практические особенности и объяснять, какие грабли были раньше. Без него вы обречены на повторное хождение по ним же.

Дальше в целом есть два частых варианта: первый - вы медленно растёте в одной компании. Второй - набиваете кучу шишек на первом месте работы, и уже будучи побитым, но опытным, циничным и настороженным, начинаете работать на больший оклад в другом месте.

Образ жизни и перспективы

Достаточно частый вопрос от студентов - «кого качать: сисадмина или безопасника»? У опытных людей это сопоставление вызывает улыбку: это как сравнивать тёплое с мягким. На первых порах заработки примерно одинаковые. У безопасника больше шансов на успешную руководящую карьеру, но и больше ответственности: ранняя седина, сердечно-сосудистые заболевания и другие следствия постоянного стресса - это профессиональные риски. Сисадмин, конечно, тоже волнуется, но в случае его провала дело ограничивается головомойкой и восстановлением из бекапа.

«Прокачанный» безопасник получает больше, поскольку, опять же, ближе к принятию решений (и рискам) компании. В крупном бизнесе правила в этой сфере простые - чем больше на тебе рисков, тем больше доход.

Работа специалиста по ИБ часто накладывает отпечаток на образ жизни. Во-первых, профессию не принято афишировать. Несколько ваших знакомых веб-дизайнеров, сисадминов, менеджеров по продажам или-что-там-ещё могут оказаться куда выше в иерархии компании - и на самом деле работать в безопасности. Собственно, я знаю нескольких человек на Хабре, у которых в профиле написана совсем другая должность, нежели в реальности.

Во-вторых, иногда встречаются ограничения по поездкам. В детали здесь вдаваться не буду, но если коротко - в расчёте на карьеру в ряде государственных компаниях английский лучше учить дома, а не регулярно выезжать на практику в другие страны. Поскольку опыт в профильных государственных структурах и службах ценится высоко, лучше об этом думать заранее.

Как правило, на ключевых позициях в службах ИБ в корпоративной среде (в компаниях с многолетней историей) доминируют люди в погонах или с аналогичным прошлым. Это свой мир, свои ценности, критерии счастья и правды.

Пограничные специальности

При развитии бизнеса (в молодых структурах) очень часто безопасник вырастает или из системного администратора, или из кого-то из разработки, например, проект-менеджера. Просто в какой-то момент становится понятно, что нужен человек, который возьмёт на себя ряд обязанностей - и у кого-то получается легче и проще. Куда реже безопасник получается из финансового аналитика (или чего-то подобного) или юриста (кстати, это одна из немногих гуманитарных профессий, из которой можно перейти в ИБ).

Из оформившегося специалиста по ИБ может вырасти специалист по управлению рисками (это уже финансы), на практике - параноик, показывающий, где и что нужно резервировать, плюс как восстанавливаться в каких ситуациях. Это случается в крупном бизнесе, и в России сейчас тематика Disaster Recovery только начинает приобретать популярность. Возможен и обратный процесс, когда сначала потребуется закрыть риски технической инфраструктуры, а уже потом этот процесс перейдёт в обеспечение безопасности в более широком плане.

Поддержание в форме

Каждый день нужно выделять около часа на образование: это единственный шанс оставаться в целом подготовленным к тому, что происходит с технологиями. Нужно постоянно читать конкретику по известным ситуациям взломов, осваивать новые системы - и при этом всё время думать как злоумышленник снаружи. Именно для такого обучения и создавался симулятор Cyber Readiness Challenge: созданная специалистами Symantec по ИБ с большим опытом, моделируемая сеть корпорации содержит характерные детали для многих крупных сетей.

Сложность в том, что быть готовым ко всему просто нельзя. Если лет 15 назад действительно можно было знать все без исключения особенности своей технической среды, то сейчас хакеры атакующей группы (например, конкурентов или, что куда чаще - мошенников) будут по умолчанию более подготовленными в конкретных технологиях. Это значит, что вам либо нужно иметь в своём штате специалистов-виртуозов с узкими специализациями, либо знать таковых, чтобы в случае проблем иметь возможность быстро с ними посоветоваться или привлечь для решения проблемы.

Разумеется, в форме нужно поддерживать не только себя, но и свой отдел, а также вообще всех людей в компании. Здесь два простых принципа - аудиты-проверки и учебные тревоги.

Напоследок

Разумеется, выше описан некий собирательный образ, который может радикально отличаться от того, что есть в вашей компании. У каждого свои потребности и свои исторически сложившиеся принципы, поэтому подход к безопасности может быть очень разным.

Поскольку в сфере ощущается острый дефицит людей с опытом, мы регулярно проводим разные обучающие мероприятия. Как я уже говорила, ближайшее крупное - это турнир CRC (организаторы - Symantec и мы, КРОК). Приходите участвовать , если хотите максимально применить свои знания.

Этот турнир поможет не только дать знания участникам, но и получит традиционную огласку в СМИ (вот отчёты с прошлых, например). Ожидаем эффекта, который будет ощутимо полезен для сферы.

Исследовательский центр портала сайт в ноябре 2008 года изучил предложения работодателей и ожидания претендентов на позицию «Специалист по информационной безопасности» в 9 городах России.

Современные компании все чаще сталкиваются с необходимостью обеспечить конфиденциальность данных, предотвратить утечку или несанкционированный доступ к информации. Задача обеспечить комплексную защиту информации ложится на плечи специалиста по информационной безопасности, который должен провести аудит существующей системы безопасности, проанализировать информационные риски и в соответствии с этим разработать и внедрить мероприятия по обеспечению информационной безопасности компании, в частности, выбрать, установить и настроить технические средства защиты информации. Процесс защиты информации сопровождается активным составлением нормативно-технической документации. В обязанности специалиста по информационной безопасности также входит постоянный мониторинг системы информационной безопасности и поддержка технических средств ее защиты. Кроме того сотруднику, ответственному за безопасность информации, приходится обучать других сотрудников соблюдению основ информационной безопасности. Конечно, список требований достаточно серьёзен, однако очевидны и преимущества такой сложной профессии – высокая востребованность таких специалистов: в Москве, например, на одну по информационной безопасности приходится только 2 резюме, в Санкт-Петербурге – 4; в остальных городах наблюдается баланс спроса и предложения.

Среднерыночная заработная плата специалистов по информационной безопасности в Москве составляет 55 000 руб. в месяц, в Санкт-Петербурге – 43 000 руб., в Екатеринбурге – 33 000 руб., в Нижнем Новгороде - 28 000 руб., в Новосибирске – 30 000 руб., в Омске 24 000 руб., в Ростове-на-Дону, Самаре и Уфе – 26 000 руб.

Для того чтобы стать специалистом по информационной безопасности, нужно хорошо представлять себе техническую сторону защиты информации. Для карьерного старта в этой области нужно неполное высшее или высшее техническое образование, знание английского языка на уровне чтения технической литературы, понимание основ информационной безопасности. Часто обязанности предотвращения несанкционированного доступа к информации и разработкой технических мер защиты выполняют системные администраторы и инженеры. Поэтому начинать карьеру специалиста по информационной безопасности лучше всего, попрактиковавшись на этом поприще и получив навыки администрирования различных операционных систем, настройки и поддержки антивирусного ПО. Заработок на первых порах составляет для московских специалистов – 25 000-40 000 руб., для петербуржцев – 20 000 -30 000 руб., для жителей Ростова-на-Дону 12 000-17 000 руб., Самары – 12000 – 20 000 руб.

Поработав по специальности от 1 до 3-х лет и получив глубокие знания сетевых протоколов и методов их анализа, усовершенствовав знания международных стандартов по информационной безопасности и современных программных и аппаратных средств защиты информации, специалист по информационной безопасности зарабатывает не менее 40 000 – 65 000 руб. в Москве, 30 000 – 50 000 в Санкт-Петербурге, 25 000 – 40 000 руб. в Екатеринбурге. Данные по другим российским городам, участвовавшим в исследовании, представлены ниже (см. таблицы).

Вы можете смело рассчитывать на более высокую оплату, если работаете специалистом по информационной безопасности более 3-х лет, у Вас есть опыт самостоятельной разработки и внедрения системы информационной безопасности или участия в проектах по созданию системы безопасности для масштабных информационных систем, опыт работы с оборудованием Cisco, а также если Вы поднаторели в составлении нормативно-технической документации. Опытный специалист, работающий в Москве, может претендовать на зарплату от 65 000 до 100 000 руб., в Санкт-Петербурге – от 50 000 до 80 000, в Екатеринбурге – от 40 000 до 60 000 руб.

Типичный представитель профессии «Специалист по информационной безопасности» - мужчина с высшим образованием. Представители сильного пола составляют 93% соискателей. 92% кандидатов на данную позицию получили высшее образование. В такой работе важен не только энтузиазм молодости (кандидаты в возрасте до 30 лет составляют 60%), но и опыт зрелости (специалисты в возрасте от 30 до 40 составляют четверть соискателей). Работа специалиста по информационной безопасности может быть связана с частыми поездками, у 75% кандидатов есть водительские права категории «B».

Выучиться на специалиста по информационной безопасности в Москве можно в следующих ВУЗах:
- , факультет информационной безопасности.
- МГТУ им. Н.Э.Баумана , факультет «Информатика и системы управления».
- , факультет Информационной безопасности.
- , Институт Безопасности Бизнеса НИУ МЭИ
- Российский Государственный Гуманитарный Университет , институт информационных наук и технологий безопасности.

С работой специалиста по информационной безопасности в ноябре связано два профессиональных праздника: 26 ноября - Всемирный день информации и 30 ноября - отмечаемый уже в 20 раз – Международный день защиты информации.

Регионы исследования: гг. Москва, Санкт-Петербург, Екатеринбург, Нижний Новгород, Новосибирск, Ростов-на-Дону, Омск, Самара, Уфа.
Время проведения исследования: ноябрь 2008 г.
Единица измерения: российский рубль.
Объект изучения: предложения работодателей и ожидания претендентов на позицию «Специалист по информационной безопасности».

Типичный функционал:
- Аудит и мониторинг системы информационной безопасности компании
- Анализ информационных рисков
- Разработка и внедрение мероприятий по обеспечению информационной безопасности компании
- Установка, настройка и сопровождение технических средств защиты информации
- Обучение и консультирование сотрудников по вопросам обеспечения информационной безопасности
- Составление нормативно-технической документации.

Требования к позиции: тип занятости - полный рабочий день.

Уровень оплаты труда специалиста определяется благосостоянием компании, перечнем должностных обязанностей, опытом работы по специальности, уровнем развития профессиональных навыков.

Анализ информации по уровням оплаты труда специалиста:
(без учета бонусов, дополнительных льгот и компенсаций)

Регион	Минимальный	Максимальный	Мода	Медиана	Нижний квартиль	Верхний квартиль	Среднее арифметическое	Индекс востребованности (резюме/вакансии)
Москва	25 000	100 000	50 000	55 000	40 000	65 000	56 200	2
Санкт-Петербург	20 000	80 000	40 000	43 000	30 000	50 000	43 700	4
Екатеринбург	15 000	60 000	30 000	33 000	25 000	40 000	33 600	1
Нижний Новгород	13 000	50 000	25 000	28 000	20 000	35 000	28 100	1
Новосибирск	14 000	60 000	30 000	30 000	23 000	37 000	31 400	1
Ростов-на-Дону	12 000	50 000	25 000	26 000	17 000	30 000	26 900	1
Омск	11 000	45 000	20 000	24 000	17 000	28 000	24 100	1
Самара	12 000	50 000	25 000	26 000	20 000	32 000	26 500	1
Уфа	12 000	47 000	25 000	26 000	19 000	31 000	26 300	1

Пояснения к таблице »

Исследование массива данных о заработных платах в исследуемых регионах позволяет выделить несколько основных зарплатных диапазонов, каждый из которых характеризуется определенным типичным набором требований и пожеланий к кандидату. Каждый последующий зарплатный диапазон включает в себя требования, сформулированные для предыдущих.

Регион	Диапазон I	Диапазон II	Диапазон III
Москва	до 40 000	40 000 - 65 000	свыше 65 000
Санкт-Петербург	до 30 000	30 000 - 50 000	свыше 50 000
Екатеринбург	до 25 000	25 000 - 40 000	свыше 40 000
Нижний Новгород	до 20 000	20 000 - 35 000	свыше 35 000
Новосибирск	до 23 000	23 000 - 37 000	свыше 37 000
Ростов-на-Дону	до 17 000	17 000 - 30 000	свыше 30 000
Омск	до 17 000	17 000 - 28 000	свыше 28 000
Самара	до 20 000	20 000 - 32 000	свыше 32 000
Уфа	до 19 000	19 000 - 31 000	свыше 31 000

Пояснения к таблице »

№	Зарплатный диапазон	Требования и пожелания к профессиональные навыкам
1	I	- Образование высшее / неполное высшее (техническое) - Знание английского языка на базовом уровне или на уровне, достаточном, для чтения технических текстов - Знание основ информационной безопасности - Навыки администрирования операционных систем (Windows / Unix) - Навыки настройки и поддержки антивирусного ПО - Опыт работы в сфере IT на технической должности (системный администратор, инженер)
2	II	- Образование профильное высшее - Наличие квалификационных сертификатов приветствуется - Глубокие знания сетевых протоколов и методов их анализа - Знание международных стандартов по информационной безопасности - Знание современных программных и аппаратных средств защиты информации - Опыт работы по специальности 1-3 года
3	III	- Опыт работы с оборудованием Cisco - Опыт разработки нормативно-технической документации - Опыт самостоятельной разработки и внедрения системы информационной безопасности или участия в проектах по созданию системы безопасности для масштабных информационных систем - Опыт работы по специальности от 3-х лет

Статистические данные:

• Возрастной диапазон наиболее востребованных рынком труда специалистов по информационной безопасности 25-50 лет; специалисты по защите информации в возрасте до 30 лет составляют 60% от общего числа специалистов; в возрасте от 30 до 40 лет – 25%, в возрасте от 40 до 50 – 12%;


• 93% специалистов по информационной безопасности – мужчины;


• 78% специалистов по информационной безопасности владеют английским языком на базовом уровне и на уровне, достаточном для чтения специализированной литературы; на разговорном и на свободном уровнях – 17%;


• 92% специалистов по информационной безопасности имеют высшее образование, 5% - неполное высшее;


• 16% специалистов по информационной безопасности прошли специализированные курсы или имеют квалификационные сертификаты;


• 75% специалистов по информационной безопасности имеют водительские права категории «В».

класс твитнуть

Код для вставки в блог

Специалист по информационной безопасности

Исследовательский центр портала SuperJob.ru в ноябре 2008 года изучил предложения работодателей и ожидания претендентов на позицию «Специалист по информационной безопасности» в 9 городах России. Подробнее...

Информационная безопасность автоматизированных систем играет ключевую роль в современном производстве. Все дело в том, что многие компании используют так называемые автоматизированные системы обработки информации, которые призваны увеличить общую производительность труда и снизить нагрузку на конкретного человека. Несомненно, такого рода системы очень удобны и практичны, тем более в современный век высоких технологий. Но все же их безопасность до сих полностью не решена. В частности, довольно трудно обеспечить безопасность подобных сетей из-за большого количества уязвимостей в них. Как известно, чем умнее и многофункциональнее система, тем больше с ней случается проблем.

Так, если рассматривать схему автоматизированных систем, то она весьма удобна и практична, а этот факт отрицать нельзя. С другой стороны их использование сопряжено с определенными рисками, ведь защищенность таких систем обеспечить намного труднее, чем всех остальных. Здесь все просто: принцип работы подобных систем подразумевает под собой полностью автоматический процесс, который не требует вмешательства отдельных людей. В свою очередь, интеллект роботизированных систем не всегда способен справиться с угрозами извне. Именно поэтому следует использовать специальные средства для обеспечения безопасности таких систем. Следует отметить и тот факт, что дыры в безопасности подобного рода систем устраняются намного медленнее, чем в обычных сетях. Это происходит из-за того, что для систем такого рода мало написать специальный код. Необходимо также обучить всю сеть эффективно его использовать, ведь «мозг» автоматизированных систем должен «запомнить» алгоритм обработки команды. Так что вопрос безопасности систем такого плана, как уже отмечалось выше, остается открытым.

Атака на автоматизированные сети

Если безопасность автоматизированных систем нарушится, злоумышленник тут же воспользуется этим и попытается выкрасть данные. При краже информации нарушаются следующие процессы:

• Конфиденциальность данных;
• Целостность информации;
• Доступность объектов.

Безопасность автоматизированных систем всецело зависит именно от вышеприведенных параметров. Пожалуй, следует разобраться, что они из себя представляют.

Под конфиденциальностью данных понимается интеллектуальная собственность кого-либо, которая не подлежит разглашению.

Если говорить проще, то это те данные, которые созданы не для широкого круга читателей, поэтому они обязательно должны храниться в тайне. Получая доступ к такого рода информации, хакеры тут же стараются завладеть ею и в дальнейшем перепродать третьим лицам, как правило, конкурентам компании. Естественно, для борьбы с таким опасным фактором, безопасность автоматизированных систем должна постоянно совершенствоваться.

Рассматривая целостность информации, справедливо отметить, что под этим термином понимается связность всех отдельных элементов данных, которые вместе создают отличный и нужный элемент. Если же была нарушена информационная безопасность, то преступник обязательно попытается каким-либо образом внести изменения в важные данные для того, чтобы вывести их из строя.

Доступность объектов можно объяснить как создание какого-либо индивидуального пространства, доступ в которое строго запрещен третьим лицам. К примеру, это могут быть различные бизнес-проекты либо крупные корпоративные площадки, в которые нельзя открывать доступ всем и каждому. Хакер, вторгаясь на такую территорию, непременно хочет сделать ее доступной для всех желающих. Именно поэтому информационная безопасность такого рода ресурсов является самой сложной в техническом исполнении.

В связи с этим нетрудно догадаться, что информационная безопасность обеспечивается сразу по всем аспектам деятельности организации. Естественно, на первое место выходят самые уязвимые стороны деятельности компании, но и о менее важных забывать тоже не стоит.

Для того чтобы проникнуть в автоматизированную систему и похитить часть какой-либо ценной информации, злоумышленнику необходимо отлично знать и видеть ее слабые стороны. Именно поэтому следует в обязательном порядке следить за тем, чтобы все системы имели установленную защиту от известных угроз и своевременно обновлялись.

На видео рассказывается о людях, обеспечивающих информационную защиту:

Уязвимость автоматизированных систем

Под уязвимостью подобных систем понимаются различные «дыры» и бреши в их безопасности, которые приводят к плачевным последствиям. В частности, хакеры искусно пользуются ими, когда необходимо вывести из строя какие-либо компоненты с целью кражи защищенной информации.

Так что обеспечению безопасности такого рода систем уделяется действительно большое внимание.

При формировании защиты для подобных систем требуется обратить внимание на следующие аспекты:

• Установку паролей;
• Встроенные учетные записи;
• Правильность настройки серверной защиты;
• Права разграничения доступа.

Пароли. Очень часто руководители автоматизированных сетей ставят относительно легкие пароли, которые охраняют доступ к важным файлам системы. Естественно, что этот пункт хакеры проверяют в первую очередь и, если шифр недостаточно сложный, легко завладевают важными данными. Так что такого рода защите необходимо уделять достаточное количество внимания и придумывать очень сложные пароли.

Встроенные учетные записи. Абсолютно все пользовательские профили в системе должны быть заблокированы и отвечать определенным стандартам защиты. В частности, встречаются такие случаи, когда злоумышленник с помощью лишь одной записи такого плана взламывал сети крупных сайтов, попросту собрав всю необходимую информацию. Поэтому такому аспекту тоже следует уделить должное внимание.

Права, обеспечивающие доступ к определенным функциям. В частности, при выдаче доступов к неким функциям сети могут быть нарушены определенные алгоритмы, вследствие чего пользователь получит какие-либо смежные права, не предусмотренные стандартным решением. Этим фактом вполне может воспользоваться хакер, попытавшись собрать данные о защищенности ресурса, которые будут передаваться фактически по открытым каналам.

Службы и процессы, которые не используются, но могут представлять угрозу для безопасности системы. В частности, под этим пунктом понимаются различные системы, которые поставляются вместе с программами и запускаются в сети. Ничего интересного и полезного они зачастую не несут, а вред могут нанести довольно ощутимый.

Неправильно настроенная серверная защита. Настройками программ, которые занимаются защитой подобных сетей, необходимо заниматься самым тщательным образом, дабы не пропустить ни одной важной детали.

Стадии информационных атак

Все вышеприведенные уязвимости могут использоваться злоумышленниками для получения контроля над какими-либо информационными ресурсами, представляющими ценность для конкретной организации. Выделяются четыре стадии взлома:

• Сбор информации;
• Совершение атаки;
• Осуществление целей, ради которых совершена атака;
• Распространение атаки.

Сбор информации о площадке, которую необходимо взломать. Хакеру нужно получить максимально исчерпывающую информацию обо всех средствах защиты платформы, да и о самой площадке не помешает выведать как можно больше полезных данных.

Совершение атаки на систему. Эта стадия подразумевает под собой получение контроля над потерпевшей площадкой.

Осуществление целей, ради которых совершена атака. В этот момент злоумышленник похищает различные важные данные, уничтожает ресурсы либо же открывает публичный доступ для модулей системы.

Распространение атаки. Получив контроль над одним из узлов автоматизированной системы, хакер переходит на последующие, ведь ему необходимо собрать как можно больше данных за достаточно короткий промежуток.

На видео рассказывается о важности обеспечения защиты информации:

Защита от атак

Для того чтобы обеспечить грамотную защиту автоматизированных сетей от всевозможных атак, необходимо установить все существующие модули защиты, которые эффективно справляются со всеми известными угрозами.

Техническая защита подразделяется на следующие модули:

• Установка сложных паролей и элементов, умеющих автоматически задавать и менять их;
• Разграничение доступа к определенным функциям системы между всеми пользователями;
• Межсетевой экран, который позволяет вовремя обнаружить и блокировать хакерскую атаку;
• Программа анализирования защиты автоматизированной системы, которая наиболее точно покажет, какие уязвимости имеются в конкретном случае;
• Брандмауэр, который обнаруживает атаки извне;
• Антивирус, справляющийся со всеми известными видами угроз;
• Программа анализа контента на предмет наличия уязвимости и потенциально-опасных элементов;
• Защита от спама, который часто применяется для обеспечения «падения» серверов.

Основываясь на всем вышесказанном, можно сделать вывод, что в связи с постоянно нарастающими темпами развития средств вычислительной техники пропорционально возрастает уязвимость автоматизированных систем.

По этой причине в связи с ростом количества информационных атак в настоящее время проблема защиты информационно-программного обеспечения автоматизированных систем стала одной из злободневных и самых ключевых.