Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Должностная инструкция по специальности «Специалист по защите информации»». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Вначале система информационной безопасности разрабатывались для нужд военных. Стратегические данные, касающиеся обороноспособности, были настолько важны, что их утечка могла привести к огромным людским потерям. Соответственно, компьютерная безопасность обратилась к опыту криптографии, то есть шифрования. Появлялись криптошрифты и специальные программы, позволяющие автоматизировать процесс шифровки и дешифровки.
Понятно, что чтобы сегодня проникнуть в информационное поле какого-либо предприятия или человека совершенно необязательно взламывать двери или устанавливать «жучки». Эксперты говорят: «Полностью защищенный компьютер — это тот, который стоит под замком в сейфе в бронированной комнате и не включен даже в розетку». Воры пользуются программам типа «троянский конь» (устанавливаются на компьютер, самые простые просто крадут все пароли, продвинутые — позволяют просматривать содержимое экрана, перехватывать все вводимые с клавиатуры клавиши, изменять файлы и т.д.). Модными стали также атаки под названием «отказ в обслуживании», которые выводят из строя узлы сети. При этом работа узла становится невозможной на протяжении нескольких минут или даже часов. Понятно, что подобные остановки приносят огромные убытки.
Преступная практика диктует принципы работы специалиста по защите информации. Все меньше он занимается физической безопасностью (пропускным режимом, видеонаблюдением и т.д.) и все больше — сетевой и компьютерной. Существует принципиальная схема, по которой строится работа такого специалиста.
Во-первых, он проводит информационное обследование и анализ. Это самый важный этап, в результате которого появляется так называемая «модель нарушителя»: кто, зачем и как может нарушать безопасность. Чтобы грамотно провести обследование, профессионал должен знать основные направления экономического и социального развития отрасли, перспективы, специализацию и особенности предприятия, специфику работы конкурентов, детали прохождения информации по подразделениям, знать кадровые проблемы и быть в курсе «подводных течений» в коллективе.
На втором этапе разрабатываются внутренние организационно-правовые документы, которые максимально упорядочивают информационные потоки. Понятно, что здесь необходимы дополнительные знания: законодательства и права, основ организации, планирования и управления предприятием, делопроизводства и т.п.
Далее специалист по защите информации руководит приобретением, установкой и настройкой средств и механизмов защиты. И здесь ему не обойтись без серьезной подготовки: информационные технологии и программирование, квантовая и оптическая электроника, радиоэлектроника, криптографические методы защиты, безопасность жизнедеятельности.
И, наконец, на следующем этапе необходимо поддерживать, обновлять, модернизировать созданную систему безопасности. Крупнейшие банки, например, меняют программное обеспечение, отвечающее за защиту, примерно раз в полгода. В отделах, которые занимаются безопасностью, работают, как правило, наиболее опытные программисты, которые постоянно проходят обучение и получают дополнительную квалификацию.
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
-
Пентестеры
— так называемые «белые», или «этичные» хакеры. Они не взламывают ресурсы бизнеса незаконно. Вместо этого они работают на компании и ищут уязвимости, которые потом исправляют разработчики. Бывает, такие люди трудятся на окладе, или участвуют в программах Bug Bounty — когда бизнес просит проверить их защиту, обещая за найденные баги премию. -
Специалисты по разработке
— такие специалисты участвуют создании приложений и программ. Проще говоря, изучают архитектуру и готовый код и подсказывают, что здесь может быть ошибка или «форточка» для взлома. Банальный пример — оставить в форме ввода сайта возможность отправить SQL-инъекцию. -
Специалисты по сетям
— они ищут возможные потенциальные и известные уязвимости в аппаратных и сетевых комплексах. Проще говоря, знают, как с помощью Windows, Linux или других систем злоумышленник может попасть в ваш компьютер и установить нужное ПО. Могут как найти возможность взлома, так и создать систему, в которую будет сложно попасть.
Есть ещё один вариант деления специалистов:
- Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
- Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.
Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.
Понятно, что чтобы сегодня проникнуть в информационное поле какого-либо предприятия или человека совершенно необязательно взламывать двери или устанавливать «жучки». Эксперты говорят: «Полностью защищенный компьютер — это тот, который стоит под замком в сейфе в бронированной комнате и не включен даже в розетку». Воры пользуются программам типа «троянский конь» (устанавливаются на компьютер, самые простые просто крадут все пароли, продвинутые — позволяют просматривать содержимое экрана, перехватывать все вводимые с клавиатуры клавиши, изменять файлы и т.д.). Модными стали также атаки под названием «отказ в обслуживании», которые выводят из строя узлы сети. При этом работа узла становится невозможной на протяжении нескольких минут или даже часов. Понятно, что подобные остановки приносят огромные убытки.
Преступная практика диктует принципы работы специалиста по защите информации. Все меньше он занимается физической безопасностью (пропускным режимом, видеонаблюдением и т.д.) и все больше — сетевой и компьютерной. Существует принципиальная схема, по которой строится работа такого специалиста.
Во-первых, он проводит информационное обследование и анализ. Это самый важный этап, в результате которого появляется так называемая «модель нарушителя»: кто, зачем и как может нарушать безопасность. Чтобы грамотно провести обследование, профессионал должен знать основные направления экономического и социального развития отрасли, перспективы, специализацию и особенности предприятия, специфику работы конкурентов, детали прохождения информации по подразделениям, знать кадровые проблемы и быть в курсе «подводных течений» в коллективе.
На втором этапе разрабатываются внутренние организационно-правовые документы, которые максимально упорядочивают информационные потоки. Понятно, что здесь необходимы дополнительные знания: законодательства и права, основ организации, планирования и управления предприятием, делопроизводства и т.п.
Далее специалист по защите информации руководит приобретением, установкой и настройкой средств и механизмов защиты. И здесь ему не обойтись без серьезной подготовки: информационные технологии и программирование, квантовая и оптическая электроника, радиоэлектроника, криптографические методы защиты, безопасность жизнедеятельности.
И, наконец, на следующем этапе необходимо поддерживать, обновлять, модернизировать созданную систему безопасности. Крупнейшие банки, например, меняют программное обеспечение, отвечающее за защиту, примерно раз в полгода. В отделах, которые занимаются безопасностью, работают, как правило, наиболее опытные программисты, которые постоянно проходят обучение и получают дополнительную квалификацию.
Как найти хорошего специалиста по ИБ?
Объективно оценить профессионализм специалиста по ИБ можно только на практике — работодателей всегда интересуют реальный опыт, они хотят знать, что человек умеет, с какими задачами сталкивался и как их решал.
Кто изучал рынок, тот понимает — дефицит специалистов по информационной безопасности определенно есть. Часто происходит так: в компании возникает необходимость в таком специалисте, составляют требования к кандидату, передают кадровикам. Чем жестче требования, тем больше шансов, что кандидатов из свободного поиска придет не больше нуля. Почему? Потому что эксперты по ИБ резюме в открытый доступ обычно не вывешивают. Если им захочется поменять работу, они легко ее сменят через свои контакты. Но что делать компании-работодателю?
Если для компании это приемлемо, можно попытаться переманить профессионала из других фирм. Можно рискнуть и взять новичка и попробовать вырастить спеца самостоятельно — взять подходящего кандидата из своих и вложить в него недостающий пакет знаний и навыков. Этот вариант хорош тем, что такому специалисту не придется «акклиматизироваться» — он уже знаком со сложившимися подходами к организации рабочих процессов, продуктом, корпоративной культурой. В качестве потенциальных кандидатов на переквалификацию можно рассматривать безопасников-технарей и разработчиков — они ближе всех к инфобезу.
Востребованность и зарплаты специалистов по информационной безопасности
На сайте поиска работы в данный момент открыто 2 455 вакансий, с каждым месяцем спрос на специалистов по информационной безопасности растет.
Количество вакансий с указанной зарплатой специалиста по информационной безопасности по всей России:
- от 55 000 руб. – 561
- от 95 000 руб. – 290
- от 135 000 руб. – 155
- от 175 000 руб. – 93
- от 215 000 руб. – 40
Вакансий с указанным уровнем дохода по Москве:
- от 70 000 руб. – 202
- от 125 000 руб. – 114
- от 180 000 руб. – 61
- от 235 000 руб. – 19
- от 290 000 руб. – 9
Вакансий с указанным уровнем дохода по Санкт-Петербургу:
- от 55 000 руб. – 59
- от 95 000 руб. – 34
- от 135 000 руб. – 11
- от 175 000 руб. – 8
- от 215 000 руб. – 6
Как стать специалистом по информационной безопасности и где учиться?
Варианты обучения для специалиста по информационной безопасности с нуля:
- Самостоятельное обучение – всевозможные видео на YouTube, книги, форумы, самоучители и т.д. Плюсы – дешево или очень недорого. Минусы – нет системности, самостоятельное обучение может оказаться неэффективным, полученные навыки могут оказаться невостребованными у работодателя;
- Классическое оффлайн-образование в ВУЗах, колледжах и университетах. Диплом является преимуществом при устройстве на работу, при этом обучение обычно длится не менее четырех лет, часто дают устаревшие неактуальные знания;
- Онлайн-обучение. Пройти курс можно на одной из образовательных платформ. Такие курсы рассчитаны на людей без особой подготовки, поэтому подойдут большинству людей. Обычно упор в онлайн-обучении делается на практику – это позволяет быстро пополнить портфолио и устроиться на работу сразу после обучения.
Ниже сделали обзор 15+ лучших онлайн-курсов.
Плюсы и минусы работы в области информационной безопасности
Преимуществ у этой профессии немало, именно благодаря им многие стремятся получить соответствующее образование и приступить к работе в IT-сфере.
- Стабильно высокий спрос на рынке труда. Специалисты в этой сфере востребованы всегда, и тенденция сохранится еще долго.
- Возможность достойно зарабатывать. Точный ответ на вопрос, сколько зарабатывает специалист по информационной безопасности, зависит от уровня его знаний, опыта и масштаба бизнеса, в котором он занят, но в целом зарплаты в сфере IT всегда выше среднерыночных.
- Перспектива карьерного роста. При наличии таких условий, как аналитический склад ума, оперативность мышления и умение решать несколько задач одновременно можно рассчитывать на продвижение по профессиональной лестнице.
- Постоянного повышение квалификации за счет работодателя. Как правило, компании стремятся обеспечить сотрудникам IT-отдела возможность изучать передовые технологии и совершенствовать свои навыки.
Ошибки в коммерческой тайне
Коммерческая тайна — это секреты компании. Секретом может стать почти что угодно: чертежи, механика рекламных акций, код программы. Что считается секретом, описывает закон о коммерческой тайне, 98 ФЗ.
В этой статье мы говорим о защите коммерческой тайны для работы с партнером. Допустим, магазин закупает у поставщика товар, подписывает договор на поставку, а в договоре — что-то о защите коммерческой тайны. Часто в таких договорах есть две ошибки:
- компания не ввела режим тайны, но ссылается на нее в договоре. Например, «Заказчик передает конфиденциальные сведения, исполнитель не вправе их разглашать»;
- компания ввела режим, но о коммерческой тайне написала одну фразу, по смыслу такую: «Мы передали вам секреты, вы обязаны их хранить».
Штраф за нарушение условий тайны
Закон разрешает наказывать обидчика за нарушение условий коммерческой тайны. Можно взять деньги или добиться уголовного срока. Мы не будем говорить о сроке, лучше поговорим о деньгах.
У компании два варианта: получить возмещение убытка или конкретную сумму. Скорее всего, просто так обидчик деньги не отдаст, поэтому придется судиться.
Суд определяет, сколько получит компания. Для этого он слушает аргументы обидчика и компании, которая потеряла секреты. Если компания хочет возмещение убытка, придется доказывать, что она потеряла деньги из-за разглашения секрета, а не по другим причинам.
Магазин закупается у поставщика. Поставщик вычислил популярные товары и рассказал о них конкуренту магазина, а тот провел под эти товары рекламную акцию: скидки, ленточки, баннеры. Покупатели узнали и перешли к конкуренту.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Как объяснить человеку, далекому от IT, чем занимается специалист по информационной безопасности?
Все просто: как компьютерные криминалисты мы расследуем атаки преступников в компьютерных сетях, объясняем заказчикам, как их взломали, и восстанавливаем всю хронологию событий. Я помогаю компаниям не только разобраться в каждом инциденте, но и укрепить их информационную безопасность. Предугадать, каким будет мой день, сложно: иногда я работаю в спокойном режиме, а бывают моменты, когда могу сутками не спать, потому что произошла атака на какую-то из компаний.
Пять лет назад никто не верил, что действительно существуют группы, которые грабят банки. Даже сами банкиры были уверены, что какие-то инсайдеры внутри банка договариваются и выводят деньги. Сейчас уже многие знают, что есть люди, которые совершают киберпреступления и на профессиональной основе атакуют банки и другие организации.
Как объяснить человеку, далекому от IT, чем занимается специалист по информационной безопасности?
У меня для этого есть фраза: «Представь, что мошенники обманули клиента твоей компании: вместо того, чтобы принести деньги тебе, он принес их другим людям. А с претензией он вернется в твою компанию. В итоге ты в двойном минусе — и финансово, и репутационно. И я делаю всё для того, чтобы этого не случилось».
Лично я провожу встречи с клиентами из разных отраслей: банков, ритейла, страхования, e-commerce и прочее. Но несмотря на то, что я — руководитель, часть работ я продолжаю делать руками, чтобы мозг не переставал работать, был заточен и под управленческие, и под «ручные» задачи. Я вообще считаю, что учиться нужно всегда, поэтому сейчас активно изучаю скрипты, веб-программирование, веб-интерфейсы. Мне это нужно для работы, чтобы не происходило следующего: ты открываешь код одной из страниц мошеннического сайта, смотришь на него полчаса и не понимаешь, что делать.
Где нужны этичные хакеры
Самым большим спросом пентестер пользуются у компаний, которые хранят личные данные клиентов, — интернет-магазины, социальные сети, инвестиционные платформы и другие. А в некоторых сферах, например в банках и здравоохранении, к услугам пентестеров прибегают, чтобы обеспечить соответствие отраслевым стандартам безопасности. Большие корпорации создают целые отделы по кибербезопасности, чтобы не раскрывать конфиденциальную информацию сторонним организациям.
Однако не все компании могут позволить себе нанять штатного пентестера. Для большинства представителей малого и среднего бизнеса пентест — это разовая или нерегулярная задача. Поэтому специалисты часто работают на фрилансе или в команде, которая специализируется на кибербезопасности.
Концепция безопасности
Анализ мирового и отечественного опыта диктует необходимость создания целостной системы безопасности учреждения, увязывающей оперативные, оперативно-технические и организационные меры защиты, использующей современные методы прогнозирования, анализа и моделирования ситуаций. Эта система должна существовать и выполнять свои функции не один год. Однако постоянно меняющаяся политическая, социальная и экономическая ситуация не позволяет заранее предусмотреть все возможные варианты и ограничиться фиксированным набором мер защиты. Поэтому-то Вам и нужна концепция обеспечения безопасности учреждения, представляющая собой систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Концепция позволит Вам правильно спланировать деятельность в данной области. При этом следует помнить, что основным принципом создания системы безопасности должно стать обеспечение заданного уровня защищенности от возможных угроз при минимальной стоимости средств и систем защиты.
Совет 3 . Первым шагом к решению проблемы защиты информации должно стать создание концепции информационной безопасности и ее увязывание с общей концепцией безопасности Вашего учреждения.
Концепция представляет собой официально принятую систему взглядов на проблему информационной безопасности и пути ее решения. Она является методологической основой практических мер по ее реализации.
Разработка концепции — это кропотливая научная работа, поэтому целесообразно поручить ее людям, профессионально занимающимся данным вопросом. Государство, понимая важность этого направления, на законодательном уровне ввело контроль за деятельностью предприятий в области защиты информации. Этот контроль осуществляется через государственное лицензирование, которое проводит Гостехкомиссия России в части оказания услуг по защите информации, изготовлению и реализации средств защиты информации и защищенных технических средств, и ФАПСИ в части оказания услуг и применения средств криптографии. Перечень видов деятельности, подлежащих лицензированию, довольно широк, а порядок лицензирования определяется «Положением о государственном лицензировании деятельности в области защиты информации» (Совместное решение Гостехкомиссии России и ФАПСИ от 1994 года, за номером 10).
При получении лицензии предприятие или организация проходит специальную экспертизу лицензионного центра, которая позволяет оценить готовность к выполнению работ по защите информации, а сам лицензионный центр, наряду с лицензиатом, несет юридическую ответственность за качество выполняемых работ и конфиденциальность используемой информации. Это служит гарантией качества тех услуг, которые указаны в лицензии.
Совет 4. Поручайте работы в области защиты информации только предприятиям и организациям, имеющим Лицензию Гостехкомиссии России — это гарантирует Вам высокое качество работ и позволит в случае необходимости применить юридические санкции.
Уровень 1: Технический
Вопросы на позиции начального уровня практически всегда посвящены навыкам: чем вы занимаетесь сейчас, и чем желаете заниматься дальше. Кроме того, многие вопросы этой стадии помогают лучше понять себя, свою личность и ваши текущие предпочтения и взгляды. На этой стадии вы все еще человек технический, но уже достигли того момента, когда хотите выбрать специализацию. На этом уровне в плане работы вы скорее отвечаете за поддержание работоспособности, чем за безопасность, но уже понимаете, что в целом хотите ограждать людей от неправомерных действий. Вероятно, и к сожалению, вы пока еще не мастер кунг-фу.
1 – Какие новостные ресурсы вы посещаете?
Кажется, не может пройти и нескольких дней, чтобы не произошел серьезный инцидент в сфере информационной безопасности. Даже может сложиться впечатление, что в современном мире взломы происходят намного чаще, чем когда-либо прежде (на самом деле, так и есть). Тем не менее, сей факт показывает, что детектирование атак и отчеты об инцидентах также улучшаются согласно требованиям как правительственных структур, так и страховых компаний. В результате общественность и профессионалы по безопасности становятся более информированными, лучше понимают, как защититься от угроз, и следят за своими банковскими счетами. Для всех кто интересуется информационной безопасностью, отслеживание новостного фона, имеющего отношения к этой области – жизненно важно.
2 – Что находится в вашей домашней сети?
Учебные проникновения и последующий ремонт системы лучше всего выполнять в тестовой среде, на роль которой для большинства людей идеально подходит домашняя сеть. Начиная от ноутбука с Windows в связке с беспроводным роутером и телефоном и заканчивая множеством линуксовых рабочих станций, контроллера домена с Active Directory, автономным фаерволом и тостером с сетевым подключением. Уверенное обращение и эксперименты с домашней сетью имеют важное значение в жизни (начинающего) специалиста по информационной безопасности.
3 – Персональное достижение, которым вы гордитесь больше всего?
В моем случае ответ очевиден – получение сертификата CISSP. В течение нескольких месяцев я учился и делал все возможное, чтобы в моей памяти отложились как можно больше нужной информации. Кроме того, я просил всех задавать мне вопросы в том числе в измененном виде с целью потренировать взгляд на проблемы с разных точек зрения. У каждого есть как минимум одно значимое достижение, и, хотя на этот и следующий вопрос может быть один и тот же ответ, но главная суть – показать, что вы желаете постоянно двигаться вперед с высоким уровнем самомотивации.
4 – Каким собственным проектом вы гордитесь больше всего?
Кто-то больше всего гордится первым собранным компьютером, кто-то когда впервые модифицировал игровую консоль, кто-то когда написал первую программу. Список можно продолжать до бесконечности. В моем случае это был бы проект, над которым я работал несколько лет. Все началось с таблицы в Excel, используемой инженерным отделом для отслеживания чертежей в AutoCAD. Далее таблица переросла в пару сотен статических HTML страниц, базу данных в Access и фронтэнд. В итоге появилось веб-приложение на PHP в связке с MySQL. Яркий пример того, как нечто маленькое перерастает в полноценный глобальный сайт со специализированными приложениями по инжинирингу, продажам и качеству, используемые моей компанией по всему миру. Никогда не знаешь, во что может развиться первоначальная идея.
5 – Как утилита traceroute может помочь в поиске обрыва коммуникации?
Утилита tracert или traceroute (в зависимости от операционной системы) позволяет увидеть конкретные роутеры во время перемещения по цепочке соединений. Однако если возникнет проблема, когда нельзя подключиться или выполнить пинг конечного узла, tracert может помочь в обнаружении точного места обрыва цепи подключений. На основе полученной информации можно предпринять нужные меры – настроить собственный фаервол, позвонить одному из провайдеров, или разобраться с тем, что находится посередине.
6 – Зачем нужно подключаться по SSH из Windows?
SSH (TCP порт с номером 22) представляет собой защищенное соединение, используемое во многих системах и специализированных устройствах. Роутеры, свитчи, SFTP серверы и небезопасные программы, туннелируемые через этот порт, могут участвовать в защите подключения против несанкционированного перехвата информации. Хотя в большинстве случаев разговоры о подключении через SSH идут в контексте Линукса, этот протокол реализован во многих системах (однако, например, в Windows по умолчанию не используется). Программы навроде PuTTY, Filezilla и другие позволяют с легкостью подключается через SSH в Windows, как и в Линуксе.
7 – В чем отличие между симметричным и ассиметричным шифрованием?
Если описать чрезвычайно сложную тему в нескольких приложениях, то можно сказать, что в симметричном шифровании используется один и тот же ключ при кодировании и декодировании, в ассиметричном – разные ключи. Симметричное шифрование быстрее, но в большинстве случаев сложнее в реализации, поскольку нужно передавать ключ по незашифрованному каналу. Соответственно, вначале создается канал на базе ассиметричного шифрования, а потом симметричного. Отсюда сразу же вытекает следующий вопрос…
8 – Что такое SSL и почему этого протокола недостаточно, когда речь идет о шифровании?
SSL предназначен для верификации личности, а не для шифрования данных. Этот протокол спроектирован с целью проверки, что абонент на другом конце провода является тем, за кого себя выдает. SSL и старший брат TLS используются повсеместно в интернете и представляют собой необъятную цель. Атаки на эти протоколы осуществляются за счет эксплуатации механизма реализации (например, ошибка Heartbleed), в результате чего в некоторых случаях SSL может быть взломан, и нужны дополнительные меры защиты, как, например, шифрования данных при передаче и во время хранения.