• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Статьи по теме: «Информационная безопасность»

Главная Специалистам Статьи В поисках лучшего специалиста

В поисках лучшего специалиста

В условиях современной реальности работодатель становится всё более взыскательным при найме новых сотрудников, оценке их квалификации и работы. Как быть востребованным специалистом в любое время? Для этого необходимо  обладать определенными знаниями и навыками.

В поисках лучшего специалиста

Работодатель ищет специалиста 

На популярных ресурсах для поиска работы и найма персонала постоянно публикуются вакансии для специалистов в области информационной безопасности.

Каких специалистов ищут сегодня работодатели в сети? Представляем список того, что должен знать и уметь востребованный специалист. 

Есть стандартный набор требований в описаниях вакансий, предъявляемый HR-специалистами: высшее профильное образование, знание английского языка, коммуникабельность, целеустремленность и работа на результат. 

Остановимся сначала на требованиях к профессиональному опыту соискателя. 

Большинство вакансий ИТ-специалиста по информационной безопасности имеет ограничение по опыту работы в этой области - от 3-х лет, и требование наличия диплома о прохождении программы профессиональной переподготовки по направлению «Информационная безопасность». Специалисты, обладающие и тем, и другим, получают большое преимущество и могут рассчитывать на высокий уровень зарплаты (от 80 тыс. рублей). В основном, такие требования предъявляются компаниями, работающими на режимных объектах, использующими сведения, составляющие государственную тайну, в связи с чем им необходимо получать лицензию ФСБ России. Новые требования получения лицензий ФСБ России на работу с криптографическими средствами утверждены в апреле 2012 года 
Постановлением Правительства РФ от 16 апреля 2012 г. № 313.

«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»

Согласно этому документу квалификация специалистов должна соответствовать именно таким требованиям: от трех лет опыта работы и высшее профильное образование, либо наличие диплома о прохождении программы профессиональной переподготовки в объеме свыше 500 часов. Поэтому специалисты по информационной безопасности теперь в обязательном порядке проходят данные программы, если в их планы входит карьерный рост и повышение зарплаты.

Теперь рассмотрим требования к знаниям и навыкам специалиста по информационной безопасности:

  • Знание требований регуляторов. 
В каждой вакансии, независимо от уровня подбираемого специалиста, этот пункт стоит одним из первых. Помимо документов ФСБ России, ФСТЭК России, различных ГОСТов необходимо знание отраслевых стандартов и требований. Общим для большинства вакансий стало также знание международных стандартов, в первую очередь ISO 27-й серии. 

  • Умение разрабатывать документацию: регламенты, положения, инструкции, политики, концепции и пр. 
  • Владение технологиями. 
Этот список включает все технологии: от антивируса до DLP-систем (Data Leakage Protection, - «предотвращение потери данных», «предотвращение утечки данных», «защита от утечки данных»). За исключением случаев, когда работодатель ищет «оператора» или «куратора» определенного направления обеспечения безопасности. Эти частные случаи мы здесь не рассматриваем. 

  • Знание рынка вендоров систем безопасности, их специфики, плюсов и минусов, а также линеек серверного и сетевого оборудования. 
  • Навыки проведения аудита информационной безопасности информационных ресурсов и систем. 
  • Знание методов анализа рисков, организационных и технических методов защиты информации. 
  • Знание возможностей и принципов функционирования сетевого оборудования и средств защиты информации ведущих производителей от НСД: аутентификации, контроля и разграничения доступа, обеспечение целостности, обнаружения и предотвращения вторжений, антивирусной защиты, анализа защищенности, межсетевого экранирования 
  • Для ведущих или главных специалистов необходимо знание порядка проведения работ по: 
- аудиту 
- оценке рисков ИБ 
- построению систем ИБ 
- разработке организационно-распорядительных документов 
- проектированию технических подсистем ИБ 

  • Навыки проведения расследований инцидентов информационной безопасности. 

Получение преимуществ 

Преимуществом перед другими соискателями для Вас станет обладанием следующим: 

  • Наличие дипломов о прохождении курсов повышения квалификации: 
- Аудит на соответствие стандартам
- Безопасность информационных сетей и баз данных 
- Сетевая безопасность 
- Организация защиты конфиденциальной информации 
- Курсы, согласованные с регуляторами (эшелонированная защита, программы по защите персональных данных и программы профессиональной переподготовки). 

  • Наличие вендорских сертификатов, подтверждающих умение работать с программным обеспечением конкретных производителей: Cisco, Microsoft, VipNet и пр. 
  • Наличие международных сертификаций CISM, CISA, CISSP и др. для претендентов на руководящие должности. 

Документальное подтверждение квалификации 

Наличие международных сертификаций не является обязательным требованием для большинства вакансий, но при этом всё же имеет значение. Во-первых, если вы планируете работать в аудиторских компаниях, особенно в «Большой четверке», вы должны обладать сертификатом аудитора информационных систем (CISA). Во-вторых, и это немаловажно, Ваше резюме попадает на стол к специалисту из кадров. Он будет ориентироваться только на указанные в резюме аббревиатуры сертификатов. Если они совпали с требуемыми, Ваше резюме получает шансы пройти конкурсный отбор. 

Наличие сертификата предполагает, что кандидат прошел обучение и тестирование по определенным технологиям или методикам. В сообществе особо ценятся несколько таких сертификатов. 

Для специалистов по сетевой безопасности — это вендорская сертификация Cisco.

Она проходит в 3 этапа, по мере повышения компетенции специалиста. У других вендоров уровней обычно всего два: администратор и пользователь. В отличие от стандартных вендорских курсов Cisco дает не только знания по своим продуктам, но и по сетевым технологиям и общим принципам безопасности. 

Для руководителей отделов безопасности, управленцев, ценится сертификация международной ассоциации по аудиту и контролю информационных систем ISACA (Information System Audit and Control Association) — CISM (Certified Information Security Manager) или CISSP (Certified Iinformation Systems Security Professional). В программах обучения, тестовых заданиях основное внимание уделено управлению. Для того чтобы получить сертификат CISM, необходимо иметь опыт работы в области информационной безопасности не менее 5 лет, причем не менее 3 лет по управлению защитой в тех областях, которые перечислены как темы экзамена. После получения сертификата CISM специалист должен его периодически подтверждать. 

Владельцев сертификата CISSP в России единицы. Они являются элитой сферы информационной безопасности. Уникальной особенностью сертификации является кодекс этики ICS, который подписывает каждый обладатель сертификата. 

Причины и необходимость обучения 

Можно выделить несколько причин для прохождения обучения: 

  • Требование регулятора. 
Обучение проходится исключительно с целью предъявить сертификат регулирующим органам и получить конкурентное преимущество при смене работы. 

  • Личное желание. 
Обучение проходится с целью карьерного роста и повышения заработной платы. 

  • Для последующей эмиграции. 
Наличие международных сертификаций является обязательным для желающих переехать в другую страну. При выборе страны необходимо изучить, какие именно сертификаты там популярны и востребованы. 

Секрет востребованности 

Работодатель, выбирая хорошего специалиста, хочет, чтобы соискатель имел большой профессиональный опыт, надежные сертификаты и пр. Но самое главное – специалист по информационной безопасности должен понимать бизнес-процессы компании. Бизнес должен нормально функционировать не вопреки безопасности, а по согласованным друг с другом законам и правилам. Если соискатель приходит работать в банковскую структуру, он обязан разбираться в работе банковской системы. В большей степени это касается специалистов, приходящих на «топовые» позиции. Невозможно написать работающую стратегию развития отдела безопасности, не понимая и не разбираясь в нюансах функционирования информационной инфраструктуры. Бизнес стал более требовательным к безопасности. 

Но даже если вы обладаете всеми навыками и знаниями, получить хорошую работу через популярные ресурсы практически невозможно. Сфера ИБ — это самостоятельный, закрытый организм. Самые интересные позиции закрываются по авторитетным рекомендациям. Системы защиты информации закупаются также по рекомендациям знакомых из профессионального сообщества. 

Итог: 

  • Следите за новостями сообщества 
  • Участвуйте в наиболее знаковых событиях 
  • Выступайте с презентациями, докладами, ведите блог 
  • Общайтесь с коллегами на Facebook 
  • Заводите нужные знакомства 

В заключение можно добавить, что специалист по информационной безопасности должен быть немножко предпринимателем, немножко банкиром, стратегом, оратором, блоггером. В общем, он должен быть человеком публичным и коммуникативным. 

Сегодня специалист по информационной безопасности работает в первую очередь не «против», а «для».
Чему учиться и кому пригодится Сертификация некриптографических средств защиты информации