Специалист по информационной безопасности: чем занимается и как им стать

Специалист по информационной безопасности (ИБ) — это человек, который обеспечивает сохранность данных компании. Например, клиентской базы, логинов, паролей и другой информации, хранящейся на серверах. Также специалист по ИБ может отвечать за соблюдение коммерческой тайны, тестировать приложения на уязвимость или проверять, не ведётся ли незаконная фото- и видеозапись в офисе.

Специалистов по ИБ ещё могут называть специалистами по кибербезопасности. Но в некоторых компаниях обязанности этих специалистов разделяют.

Функции «безопасника» зависят от того, в каком направлении он работает: «нападающим», «защищающим» или в команде, которая совмещает обе роли

Разберёмся подробнее, какие бывают специалисты по информационной безопасности и чем они занимаются.

Обязанности специалиста по информационной безопасности могут различаться в зависимости от его роли в команде и от компании, в которой он работает. Вот чем чаще всего занимаются «безопасники»:

● Безопасность средств криптографической защиты

Средства криптографической защиты — это системы, которые с помощью алгоритмов криптографического преобразования зашифровывают информацию и передают её по каналам связи. К СКЗИ относится электронная подпись. Специалист по СКЗИ должен, например:

● исследовать криптографические средства защиты информации и контролировать их использование в компании;
● обучать сотрудников, как пользоваться СКЗИ;
● расследовать нарушения в использовании таких средств.

В разных компаниях обязанности специалиста по ИБ могут отличаться. Судя по описанию этой вакансии, специалист должен в числе прочего обучать сотрудников и вести учёт пользователей средств криптографической защиты информации. Источник

● Категорирование информации

Сотрудник службы ИБ следит за порядком категорирования информации. Например, получает образец данных и решает, являются ли они персональными или нет.

● Охрана коммерческой тайны

В этом случае обязанность сотрудника службы ИБ — сделать так, чтобы в компании не было утечек конфиденциальной информации. Неважно какой: о ценах, о пользователях или сотрудниках, о товарах, о соглашениях NDA (Non-disclosure agreement — соглашение о неразглашении). Если это коммерческая тайна, специалист должен её охранять.

● Консалтинг

Специалиста службы ИБ, занимающегося консалтингом, ещё называют Security Business Partner. Это человек, который помогает руководителю правильно выстроить процессы во всех направлениях информационной безопасности: охране коммерческой тайны, составлении документов со статусом NDA, архитектуре и защите систем, категорировании данных.

Специалист по ИБ должен следить за охраной персональных данных и неразглашением коммерческой тайны компании. Источник

● Противодействие техническим средствам разведки

Специалисты по защите данных следят за тем, чтобы в компании нелегально не использовалась фото- и видеофиксация. Чтобы в помещениях, которые сертифицированы под защиту информации, не велась прослушка. В то же время сотрудников могут привлекать и для установки такого оборудования.

● Проектирование безопасного ПО

Сотрудники службы информационной безопасности проектируют архитектуру программного обеспечения, устойчивого к хакерским атакам.

● Тестирование сайтов и приложений, поиск уязвимостей

Специалиста службы информационной безопасности, который атакует систему ради поиска слабых мест, называют пентестером (от англ. Penetration testing — «тестирование на проникновение»). Это этичный хакер — организуя кибератаку на IT-инфраструктуру, он одновременно выявляет её уязвимости и рекомендует, как их устранить.

Вот что ещё входит в обязанности пентестера:

● Взламывать сайты и веб-приложения для поиска уязвимостей и защищать от атак.
● Расследовать случаи взлома, устранять причины, по которым этот взлом стал возможен.
● Анализировать уязвимости цифрового продукта и тестировать его на проникновение.
● Проектировать безопасную архитектуру приложений и сайтов.

Пентестер должен составлять годовой план проверки информационной инфраструктуры. Источник

Освоить инструменты и технологии этичного хакинга, научиться находить уязвимости в системе и думать как киберпреступник можно на курсах «Специалист по информационной безопасности: веб-пентест». Студенты также узнают, как использовать нейросети для анализа безопасности, и получат в подарок мини-курс по основам сетей, вёрстке, API и криптографии.

Специалист по информационной безопасности часто работает на стыке анализа данных, разработки, юридической практики и консалтинга. В зависимости от зоны ответственности он должен обладать определёнными знаниями и навыками:

1. Знать сетевые технологии в области обеспечения безопасности сетей, технологии контейнеризации. Контейнер — это среда, в которой можно изолированно запускать код независимо от основной системы и программного обеспечения. Для работы с контейнерами часто используют платформу Docker.

2. Понимать, как строятся механизмы информационной безопасности операционных систем — Windows, MacOS, Linux, iOS, Android.

3. Знать законы: например «Об информации, информационных технологиях и о защите информации».

4. Уметь работать с системами управления базами данных.

5. Знать языки программирования, например Java или Python.

6. Владеть английским, чтобы читать техническую документацию.

7. Уметь выходить за рамки. Важно, чтобы человек умел мыслить нестандартно. Это особенно поможет при поиске уязвимостей системы, когда нужно встать на место хакера.

8. Уметь каталогизировать информацию.

У специалиста по информационной безопасности широкий круг задач, поэтому ему есть куда развиваться. Это — один из плюсов профессии. Часто специалист работает с документацией или составляет отчёты — для кого-то такая рутина это минус. Правда, его можно компенсировать высокой зарплатой. По данным ГородРабот.ру, в первом полугодии 2024 года зарплата специалистов по информационной безопасности в среднем составила 129 477 рублей.

Медианная зарплата специалистов в сфере информационной безопасности в первом полугодии 2024 года составила 130 тыс. рублей. Это на 9% больше, чем во втором полугодии 2022 года, сообщает «Хабр Карьера».

По данным КАУС, специалисты по информационной безопасности зарабатывали в среднем 135–180 тыс. рублей во втором квартале 2024 года. Минимальный уровень — 80 тыс. рублей, максимум — 500 тыс. рублей.

По данным ГородРабот.ру, в первом полугодии 2024 года зарплата специалистов по информационной безопасности в среднем составила 129 477 рублей.

Стать специалистом по информационной безопасности можно как минимум двумя способами:

1. Получить образование в вузе. В Высшей школе экономики есть направление «Информационная безопасность» — год обучения там стоит 540 000 ₽. В Московском политехническом университете стоимость годового обучения в аналогичном направлении — 301 300 ₽.

2. Пройти онлайн-курсы. В Практикуме учат проводить тестирование на проникновение в веб-приложениях и писать безопасный код. Программа рассчитана на специалистов с опытом: разработчиков и программистов, системных администраторов и начинающих пентестеров.

Можно смотреть уроки на Youtube, читать статьи на Хабре или в блоге Практикума. Но этот вариант скорее для тех, кто хочет узнать больше о профессии и понять, подходит ли она ему.