О работе специалиста по информационной безопасности

Специалист по информационной безопасности и отказоустойчивым высоконагруженным информационным системам

– Чем занимаются специалисты по информационной безопасности1?
– Прежде всего хочется сказать о довольно странном стереотипе: первая ассоциация со словами «информационная безопасность» — какие-то страшные хакеры, которые куда-то влезают или что-то ломают. Возможно, я сейчас кого-то разочарую, но подавляющее большинство инцидентов информационной безопасности — это потеря данных из-за отсутствия резервных копий. Да и все остальные, как правило, тоже связаны с самой обычной человеческой глупостью во всех ее проявлениях.

Работа специалиста по информационной безопасности состоит в попытках предугадать и по возможности предотвратить глупости, которые могут привести к разглашению, искажению или уничтожению информации. Это цикличный процесс: разрабатывается методика, пишутся инструкции, все это начинает как-то работать, потом проводится аудит (проверка), насколько хорошо данная процедура отвечает предъявляемым требованиям, и по результатам вносятся изменения в методику.

Простейший пример: заказчику нужно понять, насколько надежно в его компании организовано хранение информации. Аудит проходит в два этапа: на первом — смотрим документы и сопоставляем их с общепринятыми практиками (использование надежных накопителей, их хранение и ротация), на втором — смотрим, как соблюдаются описанные требования (не пытается ли кто-то использовать флешку вместо внешнего жесткого диска).

Кстати, внешний жесткий диск — это устройство, которое я рекомендую вообще всем. Комплект из диска и USB-«корыта» (USB-контейнер — прим. сайта) к нему можно купить за три-четыре тысячи рублей, а это вполне приемлемая сумма даже для домашнего пользователя.

– Специалист по информационной безопасности проделывает эту работу в одиночку?
– В небольших компаниях всеми вопросами, связанными с ИТ, обычно занимается один специалист, чья должность, как правило, называется «системный администратор».

В более крупных компаниях предусмотрены отдельные должности методистов и аудиторов информационной безопасности: методисты разрабатывают регламенты и следят за их внедрением, аудиторы проверяют их актуальность и соблюдение. Если эти специалисты хорошо сработались, они прекрасно дополняют друг друга.

– В каких отраслях могут работать специалисты по информационной безопасности?
– Практически везде. Да, в первую очередь вспоминаются банки, чуть менее очевидны силовые структуры, а, например, сфера медицины не так очевидна, хотя там хранится и обрабатывается информация о пациентах, и нельзя допускать ее потерю или утечку.

– Какое высшее образование нужно получить, чтобы стать специалистом по информационной безопасности?
– Когда я нанимаю сотрудников, то смотрю не столько на вуз, сколько на то, чему человек смог там научиться. А когда у кандидата уже есть опыт работы хотя бы порядка трех-пяти лет, на диплом никто и смотреть не станет, зато подробно расспросят, над чем он работал, какие задачи возникали и как он их решал.Однако у большинства моих коллег либо физико-математическое, либо техническое образование. При этом я встречал людей, которые учились по специальности «информационная безопасность», но, насколько я понял из их рассказов и видел на практике, эта специальность ближе к архивному делу и имеет не так много общего с современным понятием информационной безопасности.

Сам я учился на факультете вычислительной математики и кибернетики МГУ. Оказались ли полезными полученные знания? Определенно да. Хотя, например, программирование (которому, с моей точки зрения, хорошо не учат нигде) и криптографию (наука о защите информации посредством шифрования и цифровых подписей) я изучал самостоятельно.

– Как студенту или выпускнику найти работу в области информационной безопасности?
– Люди приходят по-разному. Некоторые начинают карьеру со скандальных историй, когда, например, во времена студенческой молодости человек куда-то влез и что-то сломал. Но вообще на перспективных студентов идет самая настоящая охота, когда работодатели чуть ли не соревнуются за право нанять молодого специалиста.

Кроме этого, студенту доступно множество других способов обратить на себя внимание, из которых я бы выделил участие в разработке свободного программного обеспечения — в частности, применительно к информационной безопасности оно может состоять в поиске уязвимостей. Денег это первое время не приносит, но репутацию формирует.

– Какой карьерный рост может быть у специалиста по информационной безопасности?
– Как и у большинства ИТ-специалистов: руководитель группы, отдела, более крупных структурных подразделений. Высшая точка — технический директор или IT директор.

– Сколько получает специалист по информационной безопасности?
– Хороший вопрос. Отвечу так: в Москве для хорошего специалиста 100 тысяч рублей в месяц — далеко не предел.

– Какие компетенции необходимы специалисту по информационной безопасности?
– Пожалуй, я могу выделить только одно качество, без которого не могу представить никого из своих коллег: любопытство. Именно им обусловлено желание что-то понять, изучить, попробовать на практике. Если для удовлетворения любопытства нужны какие-то дополнительные знания, это опять же мощнейший стимул их получить.

– От чего можно устать в вашей профессии?
– Больше всего раздражает основная причина возникновения инцидентов — пресловутая человеческая глупость во всех ее проявлениях. Типичный пример: человек получает спам с предложением заработать много денег и переходит по ссылке, ни на секунду не задумавшись, почему отправители этого сообщения не воспользовались своим уникальным способом заработка сами. А в результате на компьютере оказывается троян, считающий биткойны для злодеев — то есть деньги человек зарабатывает, но не для себя.

– Чем может заняться специалист по информационной безопасности, решивший попробовать себя в чем-то новом?
– Обычно такие люди уходят в разработку: становятся архитекторами (специалистами по созданию проекта программного обеспечения, которые определяют и детализируют внешние и внутренние свойства системы — прим. сайта) либо тестировщиками. По сути они продолжают делать то, что и делали раньше: отлавливают ошибки либо еще до написания программного кода, либо сразу после.

– Существует ли какая-либо возможность еще в школе получить опыт, который в будущем поможет стать специалистом по информационной безопасности?
– Разумеется. Например, можно попробовать убедить своих друзей регулярно делать резервные копии. Вроде бы все понимают, что оборудование может выйти из строя, особенно такое сложное, как современный жесткий диск, но почему-то считают, что на их компьютерах нет ничего важного, вплоть до того момента, когда теряют, например, уникальные фотографии. В общем, я не сомневаюсь, что впечатлений будет масса.

Еще один вариант — самостоятельно выяснить, какую информацию о пользователях собирают поисковые службы и т. н. «социальные сети», а также подумать, что из этого им знать совершенно не следует, и сделать так, чтобы больше не давать им такую информацию.

– Что вы могли бы посоветовать почитать и/или посмотреть тем, кто хочет больше узнать об информационной безопасности?
– Прежде всего — изучить программирование. Для этого рекомендую выпущенный в 2016 году учебник «Программирование. Введение в профессию» от Андрея Викторовича Столярова, который преподает на факультете вычислительной математики и кибернетики МГУ. В настоящий момент выпущены два тома, которые доступны на сайте автора.Также могу порекомендовать книги Брюса Шнайера — американского криптографа, известного прежде всего как создатель нескольких хороших криптоалгоритмов. «Прикладная криптография» не требует от читателя знаний за пределами школьной программы, а посвященная практическим аспектам «Секреты и ложь» ближе к публицистике, чем к научному труду.

Еще один автор, которого хотелось бы упомянуть — Мао Венбо, автор учебника «Современная криптография: теория и практика». Рекомендовать его школьникам я не готов, а вот студентам курса так третьего — очень даже. К сожалению, хорошего русского перевода мне не попадалось, поэтому, думаю, есть смысл читать его в оригинале. Да, обойтись без знания английского не получится — это язык профессионального общения в среде ИТ в целом и ИБ (информационной безопасности — прим. сайта) в частности. К счастью, он достаточно прост и его изучение, как правило, не вызывает особых сложностей.

Ну и самое главное — использовать по назначению голову, то есть думать и сопоставлять информацию из разных источников, а не бездумно кидаться на какие-то методы и технологии просто потому, что они модные. Впрочем, это справедливо не только для направления информационной безопасности, но и для всей индустрии ИТ в целом: нам здесь нужны люди, которые не просто что-то знают, а постоянно следят за состоянием дел в отрасли и актуализируют свои знания. И, думаю, именно такая способность, такое умение постоянно учиться еще долго будут определяющими факторами.

 


  1. ^ В некоторых источниках эта профессия может также называться «специалист по кибербезопасности» — прим. cайта.