| +44 голоса |
|
Сегодня об информационной безопасности модно много говорить и писать, поскольку важность ее обеспечения для бизнеса и государства в последние годы возросла многократно. Однако, вместе с тем, количества специалистов по информационной безопасности (далее для простоты – безопасников), которых сегодня готовят ВУЗы, явно недостаточно для современных условий на рынке труда.
Заработная плата безопасников заметно отличается в большую сторону от среднестатистической: например, в Москве профессиональные безопасники могут претендовать на суммы до 120 тыс. рублей в месяц (около 3,5 тыс. долл.). За эти деньги, конечно, нужно не только пить кофе и читать новости, но и работать
Естественно, от безопасника требуются определенные навыки, которые находятся на пересечении таких областей знаний, как информационные технологии, юриспруденция, психология и даже в некоторой степени криминалистика. Часто на первый план выступают аналитические способности специалиста, которые необходимы как для оценки качества работы созданной им системы обеспечения ИБ, так и для расследования инцидентов, связанных с несанкционированным доступом и утечками конфиденциальных данных.
Сегодня в России большинство специалистов по информационной безопасности, особенно на достаточно высоких должностях (ИБ-директор, заместитель генерального директора по ИБ и т.д.), можно разделить на две группы. Первая, более многочисленная, – это выходцы из «органов», которые в силу своей подкованности в компьютерах смогли переквалифицироваться в специалистов по ИБ. Вторая – это ИТ-специалисты, которые вынуждены были переквалифицироваться в силу каких-то жизненных обстоятельств или «производственной необходимости» для той компании, в которой они работали. Фактически, специалистов по информационной безопасности, которые получили бы профильное образование в этой области, сегодня на рынке труда практически нет, поскольку само образование в сфере ИБ сегодня является скорее экзотикой, чем распространенной для российских ВУЗов практикой.
Сегодня, впрочем, достаточно легко найти связанные с ИБ специальности в отечественных ВУЗах – достаточно воспользоваться поиском «Гугла» или «Яндекса». В одной только Москве более двадцати ВУЗов предлагают абитуриентам специальности, связанные с обеспечением информационной безопасности. Среди них – Московский государственный технический университет имени Н.Э. Баумана, Московский финансово-юридический университет МФЮА. Международная академия бизнеса и управления, Московский государственный университет приборостроения и информатики, Московский авиационный институт (государственный технический университет).
Но вряд ли все, кто закончит соответствующие отделения, сможет полноценно работать по специальности, так как зачастую под модными названиями скрываются устаревшие специальности, на которых вместо профильных курсов преподают то, что студенту никак не пригодится в его будущей профессиональной практике.
Так что с ВУЗами, которые готовят безопасников, все сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь. Не зря сегодня информационной безопасностью в России занимаются, в основном, по большому счету, самоучки, которые почерпнули необходимые знания в ходе изучения практических пособий и общения с другими, более опытными специалистами
Тем не менее, сегодня все большее количество работодателей указывает в требованиях для нанимаемого ими ИБ-специалиста профильное образование. Вот такой парадокс, который лично мне достаточно трудно объяснить. Как и трудно сказать, когда ВУЗовское ИБ-образование перестанет быть образованием ради «корочки», и станет полноценным средством подготовки специалистов.
А у вас какое мнение по данному вопросу?
Образование в сфере информационной безопасности: все грустно
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +44 голоса |
|
Я учился на ФизТехе КПИ. Сейчас, насколько я знаю, на Физтехе уже существует несколько вариаций специальности "безопасность" (ТЗИ, ММЗИ и т.д.), но когда я учился, безопасность даже не была еще признана официально специальностью (давали "инженера-математика" со специализацией). Тем не менее, было очень даже неплохо: была и общая теория, и практические аспекты. Практические знания, конечно, устаревают моментально, но фундамент отличный: читали в т.ч. люди из Института стратегических исследований, Глушкова, НацБанка, etc, причастные к разработке национальных и международных политик, стандартов и конкретных продуктов для ИБ и безопасности в целом. Боюсь соврать, но, вроде даже драфты ISO27001 проходили, еще не принятого, т.к. препод был в составе рабочей группы (может, не 27001, но а какая-то из ревизий CC, не помню). Практику проходил в одном из крупных системных интеграторов. ПионЭром, конечно, но опыт работы с реальным железом в реальных проектах был очень ценен.
В общем, я очень доволен. Хоть мой профиль лишь косвенно связан с ИБ - знания очень помогают. Сейчас полно "спецов", которые выучив два-три каких-то продукта заявляют, что они "знают безопасность", но при словах "модель угроз" впадают в транс :-) Физтех учил основательно.
Согласен с вами, но как видите, ключевое слово в комментарии - ФизТех.
В прошлом году я вёл наш мини-курс лабораторных в БГУ (скажем так, в порядке эксперимента). У пятикурсников предмет не вызвал особого интереса. Скорее всего просто потому, что уже к этому времени подавляющее большинство из них (если не все) нашли себе работу и что-то менять не хотели.
Учтя ошибку с "фокус группой", в других вузах мы переориентировались на 2-3 курс и не прогадали. Интерес у студентов был, но вскрылся новый нюанс. Оказывается, большинству из них до вводной лекции были неведомы основные понятия той же социальной инженерии. Не знали, как развиваются вирусные угрозы, инсайдерство и прочее.
Такая информация быстро впитывается, поэтому ситуация не слишком критична. Главное, чтобы было кому рассказать. Но студенты ДУИКТ'а задали важный вопрос: какие сертификаты лучше получить (какие курсы лучше закончить), чтобы получить работу там-то и там-то?
И вот, где настоящая проблема. Диалогу студент-преподаватель нужен третий голос. Голос работодателя. Без него сейчас неразбериха получается.
Когда-то на просторах сети наткнулся на интересное мини-исследование. Источник, к сожалению, не вспомню.
Выборка из 50 вакансий, размещённых на hh.ru с заявленной заработной платой выше 50 000 рублей.
Общее необязательное:
· Стаж (от 1-2 лет)
· Высшее профильное образование (почти везде)
· Английский язык на уровне понимания технической документации
Общее обязательное:
1. Знание основных требований:
- ГОСТ-ов 34.х
- ГОСТ-ов 19.х
- документов МО РФ
- ЕСКД
- ЕСПД
- СниП, к проектной документации и др. стандартов оформления документов
- РД ФСТЭК
- РД ФСБ
- РД по ИСПДн
- СТО БР ИББС
- ISO 27.x
- ISO 17799
- ISO 13335
2. Навыки написания научно-технической документации, разработки нормативно-методической документации (концепция, политика, регламенты, положения, инструкции и др.)
3. Знание технологий:
- МСЭ/Firewalls
- антивирусные решения
- IDS/IPS
- DLP (Zlock)
- VipNet
- Криптосредства (Сигнал-КОМ, Крипто-Про, Верба-OW)
- PKI
- СЗИ от НСД (Аккорд-АМДЗ, Аккорд-NT/2000, Соболь, Secret Net, Dallas Lock)
- активное сетевое оборудование (Cisco, Nortel, AT Huawei)
- криптомаршрутизаторы
4. Знание работы протоколов- TCP/IP, SMTP, POP3, IMAP, FTP, HTTP, LDAP, DNS, IPSec, SSL
5. Знание рынка:
- систем безопасности, поставщиков оборудования в данном сегменте
- линеек серверного и активного сетевого оборудования ведущих вендоров
6. Знание методов анализа рисков, организационных и технических методов защиты информации, а также технологий и программно-технических средств защиты информации
7. Навыки проведения аудитов ИБ информационных систем, предпроектных обследований объектов защиты
8. Навыки экспертизы выполнения требований по ИБ
9. Базовый уровень технических знаний в области СКУД, систем видеонаблюдения, ОПС, СКС, электрики
10. Знание возможностей и принципов функционирования сетевого оборудования и средств защиты информации от НСД ведущих производителей: аутентификации, контроля и разграничение доступа, обеспечение целостности, обнаружения и предотвращения вторжений, антивирусной защиты, анализа защищенности, межсетевого экранирования
11. Знание порядка проведения специализированных работ по:
- Аудиту
- Оценке уровня ИБ
- Построению систем ИБ
- Разработке организационно-распорядительных документов
- Проектированию технических подсистем ИБ
12. Желательно прохождении одного или нескольких курсов:
- Внутренний аудит
- Аудит на соответствие различным стандартам
- Безопасность информационных систем и баз данных
- Сетевая и прикладная безопасность
- Организация защиты конфиденциальной информации
13. Желательно наличие сертификатов: CISSP, CISA, CISM, CCSP
14. Навыки администрирования операционных систем (Windows/Unix)
15. Анализ защищенности сети
16. Мониторинг и анализ сетевой активности в сетевой инфраструктуре
17. Разработка политик сетевой безопасности
18. Знание современных стандартов шифрования
19. Знание Best practice в области построения локальных и территориально распределенных вычислительных сетей (VLAN, VPN и т.д.)
20. Знание Best practice в области построения автоматизированных информационных систем (архитектура клиент-сервер, трехзвенная архитектура, терминальный доступ и т.п.)
21. Умение составлять и читать логические и физические схемы локальных и территориально распределенных вычислительных сетей и автоматизированных информационных систем, в том числе работа в MS Visio 2003/2007/2010
Вывод: работодатель хочет располагать человеком-оркестром, при этом не сильно много ему платить.
Ну да, осталось дописать еще, чтобы работал от батареек, помещался в чемодан, и про услуги интимного характера что-нибудь добавить :) Про зарплату не вспоминать - за $1.5K такой человек работать не будет :) Странно, что стаж такой маленький.
Вопрос "голоса работодателя" решается путем построения ВУЗом партнерских связей с профильными конторами, когда специалисты из этих контор читают упомянутые вами мини-курсы, а студенты проходят там практику (опционально, диплом). Работодатель отбирает себе кадры еще в процессе созревания, (годный) студент к 4-5 курсу уже нашел себе работу, ВУЗ получает свою долю профита.
Полностью согласен с вами.