Работодатель ищет специалиста
На популярных ресурсах для поиска работы и найма персонала постоянно публикуются вакансии для специалистов в области информационной безопасности.
Каких специалистов ищут сегодня работодатели в сети? Представляем список того, что должен знать и уметь востребованный специалист.
Есть стандартный набор требований в описаниях вакансий, предъявляемый HR-специалистами: высшее профильное образование, знание английского языка, коммуникабельность, целеустремленность и работа на результат.
Остановимся сначала на требованиях к профессиональному опыту соискателя.
Большинство вакансий ИТ-специалиста по информационной безопасности имеет ограничение по опыту работы в этой области - от 3-х лет, и требование наличия диплома о прохождении программы профессиональной переподготовки по направлению «Информационная безопасность». Специалисты, обладающие и тем, и другим, получают большое преимущество и могут рассчитывать на высокий уровень зарплаты (от 80 тыс. рублей). В основном, такие требования предъявляются компаниями, работающими на режимных объектах, использующими сведения, составляющие государственную тайну, в связи с чем им необходимо получать лицензию ФСБ России. Новые требования получения лицензий ФСБ России на работу с криптографическими средствами утверждены в апреле 2012 года
Постановлением Правительства РФ от 16 апреля 2012 г. № 313.
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
Согласно этому документу квалификация специалистов должна соответствовать именно таким требованиям: от трех лет опыта работы и высшее профильное образование, либо наличие диплома о прохождении программы профессиональной переподготовки в объеме свыше 500 часов. Поэтому специалисты по информационной безопасности теперь в обязательном порядке проходят данные программы, если в их планы входит карьерный рост и повышение зарплаты.
Теперь рассмотрим требования к знаниям и навыкам специалиста по информационной безопасности:
- Знание требований регуляторов.
В каждой вакансии, независимо от уровня подбираемого специалиста, этот пункт стоит одним из первых. Помимо документов ФСБ России, ФСТЭК России, различных ГОСТов необходимо знание отраслевых стандартов и требований. Общим для большинства вакансий стало также знание международных стандартов, в первую очередь ISO 27-й серии.
- Умение разрабатывать документацию: регламенты, положения, инструкции, политики, концепции и пр.
- Владение технологиями.
Этот список включает все технологии: от антивируса до DLP-систем (Data Leakage Protection, - «предотвращение потери данных», «предотвращение утечки данных», «защита от утечки данных»). За исключением случаев, когда работодатель ищет «оператора» или «куратора» определенного направления обеспечения безопасности. Эти частные случаи мы здесь не рассматриваем.
- Знание рынка вендоров систем безопасности, их специфики, плюсов и минусов, а также линеек серверного и сетевого оборудования.
- Навыки проведения аудита информационной безопасности информационных ресурсов и систем.
- Знание методов анализа рисков, организационных и технических методов защиты информации.
- Знание возможностей и принципов функционирования сетевого оборудования и средств защиты информации ведущих производителей от НСД: аутентификации, контроля и разграничения доступа, обеспечение целостности, обнаружения и предотвращения вторжений, антивирусной защиты, анализа защищенности, межсетевого экранирования
- Для ведущих или главных специалистов необходимо знание порядка проведения работ по:
- аудиту
- оценке рисков ИБ
- построению систем ИБ
- разработке организационно-распорядительных документов
- проектированию технических подсистем ИБ
- Навыки проведения расследований инцидентов информационной безопасности.
Получение преимуществ
Преимуществом перед другими соискателями для Вас станет обладанием следующим:
- Наличие дипломов о прохождении курсов повышения квалификации:
- Аудит на соответствие стандартам
- Безопасность информационных сетей и баз данных
- Сетевая безопасность
- Организация защиты конфиденциальной информации
- Курсы, согласованные с регуляторами (эшелонированная защита, программы по защите персональных данных и программы профессиональной переподготовки).
- Наличие вендорских сертификатов, подтверждающих умение работать с программным обеспечением конкретных производителей: Cisco, Microsoft, VipNet и пр.
- Наличие международных сертификаций CISM, CISA, CISSP и др. для претендентов на руководящие должности.
Документальное подтверждение квалификации
Наличие международных сертификаций не является обязательным требованием для большинства вакансий, но при этом всё же имеет значение. Во-первых, если вы планируете работать в аудиторских компаниях, особенно в
«Большой четверке», вы должны обладать сертификатом аудитора информационных систем (CISA). Во-вторых, и это немаловажно, Ваше резюме попадает на стол к специалисту из кадров. Он будет ориентироваться только на указанные в резюме аббревиатуры сертификатов. Если они совпали с требуемыми, Ваше резюме получает шансы пройти конкурсный отбор.
Наличие сертификата предполагает, что кандидат прошел обучение и тестирование по определенным технологиям или методикам. В сообществе особо ценятся несколько таких сертификатов.
Для специалистов по сетевой безопасности — это вендорская сертификация
Cisco.
Она проходит в 3 этапа, по мере повышения компетенции специалиста. У других вендоров уровней обычно всего два: администратор и пользователь. В отличие от стандартных вендорских курсов Cisco дает не только знания по своим продуктам, но и по сетевым технологиям и общим принципам безопасности.
Для руководителей отделов безопасности, управленцев, ценится сертификация международной ассоциации по аудиту и контролю информационных систем ISACA (Information System Audit and Control Association) — CISM (Certified Information Security Manager) или CISSP (Certified Iinformation Systems Security Professional). В программах обучения, тестовых заданиях основное внимание уделено управлению. Для того чтобы получить сертификат CISM, необходимо иметь опыт работы в области информационной безопасности не менее 5 лет, причем не менее 3 лет по управлению защитой в тех областях, которые перечислены как темы экзамена. После получения сертификата CISM специалист должен его периодически подтверждать.
Владельцев сертификата CISSP в России единицы. Они являются элитой сферы информационной безопасности. Уникальной особенностью сертификации является кодекс этики ICS, который подписывает каждый обладатель сертификата.
Причины и необходимость обучения
Можно выделить несколько причин для прохождения обучения:
Обучение проходится исключительно с целью предъявить сертификат регулирующим органам и получить конкурентное преимущество при смене работы.
Обучение проходится с целью карьерного роста и повышения заработной платы.
- Для последующей эмиграции.
Наличие международных сертификаций является обязательным для желающих переехать в другую страну. При выборе страны необходимо изучить, какие именно сертификаты там популярны и востребованы.
Секрет востребованности
Работодатель, выбирая хорошего специалиста, хочет, чтобы соискатель имел большой профессиональный опыт, надежные сертификаты и пр. Но самое главное – специалист по информационной безопасности должен понимать бизнес-процессы компании. Бизнес должен нормально функционировать не вопреки безопасности, а по согласованным друг с другом законам и правилам. Если соискатель приходит работать в банковскую структуру, он обязан разбираться в работе банковской системы. В большей степени это касается специалистов, приходящих на «топовые» позиции. Невозможно написать работающую стратегию развития отдела безопасности, не понимая и не разбираясь в нюансах функционирования информационной инфраструктуры. Бизнес стал более требовательным к безопасности.
Но даже если вы обладаете всеми навыками и знаниями, получить хорошую работу через популярные ресурсы практически невозможно. Сфера ИБ — это самостоятельный, закрытый организм. Самые интересные позиции закрываются по авторитетным рекомендациям. Системы защиты информации закупаются также по рекомендациям знакомых из профессионального сообщества.
Итог:
- Следите за новостями сообщества
- Участвуйте в наиболее знаковых событиях
- Выступайте с презентациями, докладами, ведите блог
- Общайтесь с коллегами на Facebook
- Заводите нужные знакомства
В заключение можно добавить, что специалист по информационной безопасности должен быть немножко предпринимателем, немножко банкиром, стратегом, оратором, блоггером. В общем, он должен быть человеком публичным и коммуникативным.
Сегодня специалист по информационной безопасности работает в первую очередь не «против», а «для».