Требования к профессионалам в области информационной безопасности

Илья Сачков, менеджер по информационной безопасности ОАО "Арктел" эксперт по безопасности "Group-IB" при НИЛ МГТУ-ТЕСТ

МНОГИМ сотрудникам HR-подразделений приходится сталкиваться с проблемой поиска кадров в отделы ИБ. В самом начале поиска становится ясно, что это задача непростая, хотя в России начиная примерно с 2003 г. во многих, даже непрофильных университетах появляются кафедры информационной безопасности.

С 2000 г. ИБ в России активно популяризуется, благодаря маркетинговым программам и прессингом в СМИ. И несмотря на то что прошло около 8 лет с начала галопирующего роста ИБ, найти соответствующего специалиста, профессионала в области защиты информации или менеджмента ИБ, очень сложно.

Требования к специалистам ИБ

Во-первых, профессионал в области И Б стоит дорого. В зависимости от опыта, знаний, а главное - оборотного капитала компании и ценности ее информационных активов уровень заработной платы находится в пределах $800-15 000 (последняя цифра относится к предприятиям нефтегазовой отрасли).

К сожалению, многие специалисты придерживаются мнения, что повышение требований к заработной плате зависит от того, что профессия является востребованной и "модной". На самом деле историческая причина высокой оплаты труда сотрудников безопасности связана с секретностью, повышенной ответственностью, личными качествами и другими особенностями этой работы. Слово "безопасность" имеет корень "опасность", и специалистам приходится иметь дело именно с опасностью, в отличие от других ИТ-профессий. От действия сотрудников службы ИБ во многих ситуациях может зависеть судьба бизнеса, а значит, и судьба связанных с ним людей. Именно поэтому в одной организации специалист отдела И Б должен зарабатывать больше сотрудника, например, ИТ-подразделения. Кроме того, ИБ-специалист обязан иметь хорошие знания в правовом и юридическом поле. Многие работы по ИБ должны сопровождаться соответствующей документацией или даже иметь лицензии ФСБ или ФСТЭК. Если речь идет о расследовании внутрикорпоративных инцидентов, то соответствующими политиками и регламентами должны быть закреплены многие вещи, например описание системы ведения информационных журналов. Современной тенденцией ИБ является ее активная привязка к бизнесу, бизнес-процессам и менеджменту, и специалист должен это учитывать. ИБ, оторванная от бизнеса, сейчас никому не нужна. Отсюда следует, что профессионал в сфере ИБ должен иметь знания во многих направлениях, а не только в техническом.

Советы

Если вы проводите собеседование и видите повышенные требования к заработной плате, то:

Совет № 1: Попытайтесь узнать, чем вызвано данное требование, кроме наличия у кандидата опыта и знаний. Поговорите на тему повышенной ответственности и критичности ИБ для бизнеса. Кандидат должен понимать, что ИБ - это не мода, а повышенная ответственность, возможно, даже опасность и серьезная, очень часто выматывающая и вызывающая сильный стресс работа. Спросите у него, что он будет делать, если из-за нарушения ИБ, несмотря на проделанную им работу, бизнесу будет нанесен существенный урон? Этот вопрос может поставить в тупик и очень опытного профессионала.

Относительно образования в области И Б уже было опубликовано много статей и обзоров. Общий их смысл в том, что российское высшее образование в области ИТ-безопасности сильно отстает и не может выпустить полноценного специалиста. Но с каждым годом ситуация улучшается. Хорошей, современной литературы, информационных порталов, журналов, статей по предметной области сейчас много. Поэтому студент, если захочет, получит необходимые знания. Кроме того, кто мешает получать необходимые знания на практике, работая в реальных условиях? Ведь знать - одно, а применить знания на практике -другое. Говорить об образовании и молодых специалистах можно бесконечно, поэтому я дам лишь несколько советов.

Совет № 2: Не диплом красит человека, а человек диплом. Поэтому обращайте внимание на диплом не в первую очередь. Конечно, в определенных университетах (МГТУ, МИФИ, МФТИ) кафедры ИБ держат марку, но это не всегда о чем-то говорит.

Совет № 3: Если у потенциального кандидата нет опыта, то это не повод ему отказывать. Давая шанс раскрыть свои знания на практике (особенно это будет хорошо, если есть наставник), вы получаете высокомотивированного сотрудника. И если грамотно построить взаимоотношения между ним и компанией, то он будет работать с каждым днем все эффективней и останется в компании надолго.

Сертификация

Сертификация специалистов по ИБ позволяет работодателю упростить собеседование при приеме на работу. Если имеется сертификат, то обычно это означает, что специалист прошел обучение и тестирование по определенной технологии или методике. По моему личному мнению, только два сертификата достойны того, чтобы обратить на них внимание, - CISSP (Certified Information System Security Professional) и сертификация по сетевой безопасности Cisco. Сертификация по CISSP подтверждает, что человек знает 10 ключевых направлений безопасности, имеет практический опыт работы от 3 до 5 лет в одном из этих направлений и знает английский язык, так как экзамен проходит именно на этом языке и результаты экзамена проверяются в США (требования эти обязательны). Если не ошибаюсь, всего несколько десятков специалистов в России имеют такой сертификат, и эти люди являются действительно элитой в области ИБ. Важной и уникальной особенностью CISSP является "кодекс чести" (кодекс этики ICS), который подписывает каждый обладатель сертификата. Это значит, что кроме знаний по ИБ CISSP уделяет большое внимание вопросам морали, которые так важны в деле безопасности. Сертификация по программе Cisco отличается от других вендор-сертификаций в первую очередь тем, что огромное внимание уделяется сетевым технологиям и общим принципам безопасности, а не только продукции вендора, как это бывает в других программах аттестации.

Совет № 4: Сертификат, как и диплом о высшем образовании, вторичен: важны потенциал, рекомендации. Но если это сертификат CISSP или один из Cisco, то стоит обратить внимание на этого кандидата.