Вот уже три месяца мы, двое студентов четвертого курса, работаем в отделе информационной безопасности "ЛАНИТ-Интеграция". Мы хотели бы поделиться своими впечатлениями от этого этапа вхождения в профессию и в большой ИТ-бизнес. Эта статья будет полезна всем, кто собирается устраиваться на работу по специальности или кому интересно, с чего нужно начинать изучение курса «Информационная безопасность». Она поможет понять, что примерно вас будет ждать в первые месяцы работы в крупной компании, какие проблемы возникнут на пути, а самое главное — как их решать.

Источник

Глава 1. Информационная безопасность с нуля или …


Далеко не секрет, что в России студентам после окончания университета сложно найти работу по их специальности, не говоря уже о хорошей практике во время учебы. Люди, полные желания усваивать знания и работать, вынуждены слушать отказы от каждого работодателя, требующего сразу большой опыт работы. Такой подход прочно закрепился в России, из-за чего молодые умы и действительно хорошие ребята, закончившие институт, должны идти работать в любимые нами булочные под контролем тех, кто не доучился и решил трудиться в местной столовке ещё на первом курсе или после армии. Как ни крути, но это не значит, что абсолютно всех ждет такая участь.

Будучи студентами третьего курса специальности «Информационная безопасность» университета на «Курской» и находясь в ожидании очередной сессии, наша группа занялась поиском организаций, которые позволили бы пройти у них производственную практику по нашей специальности. В процессе поиска рабочего места, мы столкнулись с типичными проблемами нашего профиля обучения и не только. Дело в том, что у нас не хватает опыта работы и даже практики (хотя мы за ней и пришли), и в том, что руководители организаций сами не знают, куда бы нас поместить для наилучшего функционирования ИБ в компании.

В итоге за три года обучения полученные знания не позволяют ярко описать картину, которая будет ждать нас после окончания университета. Появляется страх, что мы окажемся среди людей, не устроившихся на работу по специальности, на которую уже потрачена часть жизни.

«Информационная безопасность» — словосочетание, которое где-то кто-то быть может и слышал, но не придавал ему особенно большого значения. Так вышло, что специальность важная, но обучение по этой специальности развивается плохо.

В процессе поиска места работы мы уже отчаялись, но желаемое пришло к нам в университет само в лице руководителя отдела ИБ компании "ЛАНИТ-Интеграция" с предложением посетить День открытых дверей. Цель мероприятия заключалась в том, чтобы найти достойных людей для стажировки в представляемой им компании. Мы обрадовались появившемуся шансу, хотя со стороны нам показалось, что это выглядело так, как еле протоптанная по газону дорожка трехногого мопсика врезается в автомагистраль с бесконечным числом полос.

Мне и моей группе повезло, что руководитель отдела информационной безопасности «ЛАНИТ-Интеграции» относится к тем, кто помогает и даёт шанс молодым людям при устройстве на работу. От нас не требовалось быть мастерами в сфере ИБ, нужно  было лишь показать свое искреннее желание и целеустремленность в обучении и развитии.

На Дне открытых дверей нас встретили чаем и печеньками. Мы выслушали выступление руководства компании и приступили к написанию вступительных тестов. Их было три: на знание технической части, английского и тест на IQ. Также нужно было написать сочинение на тему «Почему я хочу работать здесь». Нас сразу предупредили, что знания на данном этапе — не панацея, главное — продемонстрировать свое желание развиваться в сфере IT. Написав очень специфическое сочинение, я надеялся, что оно зацепит читателей своей неординарностью. И это зашло.

Следующим этапом было ожидание. Мы заняли роль Хатико в преддверии важного ответа после встречи. Мы хотели быть лучшими среди всех, кто пытался попасть в ЛАНИТ, но до дрожи в коленках боялись, что нас пустят мимо кассы. Когда были объявлены результаты встречи, мы поняли, что не зря всё это затеяли, и то, что нам дадут шанс проявить себя уже в штате отдела информационной безопасности.

В первый день заполнили все, что от нас требовалось, закинулись дешёвыми булками из ближайшей палатки, как подобает бедным студентам, и уже были готовы исследовать новую главу нашей жизни, которая на данный момент еще не открыта и может слипнуться в любой момент, как страницы с девушками из автомобильного журнала в руках четырнадцатилетнего подростка 90-х. В первые дни нашего знакомства с коллегами у них не возникло нужды говорить: «Забудьте всё, чему вас учили в институте», ведь невозможно забыть того, чего и не было в наших головах, в отличие от мыслей вашей девушки о Райане Гослинге. Может, минимальные знания и были, но их уж точно не хватало, чтобы адекватно воспринимать, то что обсуждают в офисе, и это никак не связано с тем, что у вас сложности с Райаном.

Источник

Главная проблема знаний, полученных в университете, заключалась в неравномерной подаче, без определенной последовательности и без понимания главной идеи сферы деятельности. Поэтому становится ясно, что первой нашей задачей стало изучение основ ИБ.

Глава 2. Дабл тап по ИБ после дабл капов


В первую неделю нашей работы в «ЛАНИТ-Интеграции» было не понятно, за что хвататься. Чтобы мы уяснили, чем занимается компания, кураторы собрали нас в переговорной, где в общих чертах  объяснили, куда нам можно двигаться. Было принято решение поделить нас и давать знания в стиле «Одному — одно, другому — другое», так как отдел ИБ в «ЛАНИТ-Интеграции» делится на два основных направления: консалтинг и инжиниринг.

Первое направление подразумевает наличие глубоких знаний нормативно-правовой базы и международных стандартов в сфере ИБ. Помимо этого, консультантам необходимо хорошо разбираться в современных информационных технологиях, чтобы общаться с техническими специалистами заказчиков на одном уровне. Основная деятельность данного направления — это взаимодействие с клиентами, формирование набора мер по защите информации и трансляция технических требований инженерному направлению. Инженеры же прорабатывают полученные данные. Они должны понимать, какими средствами защиты лучшего всего воспользоваться в том или ином случае. Так что мы сразу начали осознавать, как устроен процесс и у кого какие обязанности.

Получилось так, что я оказался на направлении консалтинга, а мой друг — на инжиниринге. Мы решили, что еще рано жестко выбирать специализацию, так как еще не побывали на передовой. Поэтому мы взялись за разные задания в разных направлениях вместе. Вот тут и возникли первые трудности.

Задание консалтинга заключалось в изучении базовых законов и наиболее часто встречаемых правовых документов в деятельности "ЛАНИТ-Интеграции". Так что первыми в наш багаж знаний упали:

  • ФЗ-149 «Об информации, информационных технологиях и о защите информации», на котором основывается вся правовая сторона об информации,
  • ФЗ-152   «О персональных данных»,
  • ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»,
  • приказ ФСТЭК №21,
  • приказ ФСТЭК №17,
  • приказ ФСТЭК №235,
  • приказ ФСТЭК №239,
  • приказ ФСБ №378,
  • Постановление Правительства №127,
  • Постановление Правительства №1119.

Читать, изучать и понимать федеральные законы, постановления правительства и прочие документы в сфере ИБ нам давалось достаточно легко, а вот задание по техническому направлению — намного сложнее. Его суть заключалась в том, что нужно было подробно описать все средства защиты информации (СЗИ).  Примеры таких систем — IPS/IDS, SIEM, PAM, DLP, межсетевые экраны и т.д.

Это не весь список, так как средств много, и они пересекаются между собой. Но даже для этого маленького списка было очень тяжело найти простую и нужную информацию, повествующую о принципах работы, а не об основных функциях. В институте нам редко доводилось встречаться с такими понятиями, как СЗИ, поэтому материал ложился плохо на хромающую техническую базу.   

К концу первой недели мы поняли, что нам нужно структурировать получение информации и заложить правильную и грамотную основу. А в начале второй недели мы встретились с кураторами, чтобы обсудить материал и последовательность действий. В итоге пришли к соглашению, что изучать одинаковую информацию нам вдвоем удобнее и продуктивнее. Мы обсудили индивидуальный план развития на испытательный срок, в первый месяц которого включается книга Шон Харрис «CISSP All-In-One Exam Guide».

Каждый начинающий специалист по ИБ должен уделить время этой книге. Она была написана ещё в 2011 году. Некоторые вещи в ней уже не актуальны на сегодняшний день, но она очень информативна, затрагивает все аспекты обеспечения ИБ в организации: от физической безопасности и международных стандартов до подробного описания большинства протоколов и квантовой криптографии. Мы впитывали огромные объемы данных, написанные на понятном языке и грамотно структурированные. Параллельно с этим выполняли внутренние задачи. Например, такие, как составление опросников по различным средствам защиты информации. И даже побывали на встрече с одним из заказчиков. В ходе бесед коллег между собой мы слышали множество непонятных слов, которые тут же вбивали в поисковики, а найденную информацию записывали на стикерах и расклеивали, где только можно.

Мое рабочее место в первый месяц работы

Вторую и третью неделю мы продолжали изучать «CISSP All-In-One Exam Guide». Это занятие не обещало быть веселее и интереснее местного патихарда, но нам это требовалось, чтобы войти в курс дела. На прочтение девятисот страниц у нас ушло две недели. Технический материал ложился в мозг местами очень тяжело, но суть была понятна. Самое главное, что мы поняли, — идея ИБ должна исходить от руководства. Оно несет самую большую ответственность за всю информацию, активы и персонал, а значит должно всячески способствовать защите информации и созданию необходимых условий для функционирования системы ИБ. Также в книге хорошо описана деятельность на разных уровнях:  административном, физическом, техническом. Каждый уровень описывается подробно с аналогиями и, самое главное, понятно. Эта книга поможет всем, кто хочет понять, что же это такое ИБ, пусть не очень глубоко, но понимание уже появится, а это и есть фундамент.

Глава 3. Коллектив и общение  


На любом рабочем месте всегда важно обращать внимание на взаимоотношения людей внутри организации. Всегда хорошо, когда люди открыты и когда можно разговаривать на различные темы, касаемые не только работы. Особенно если речь идёт о том месте, где человек находится очень длительное время. Для меня было важно, чтобы я мог контактировать с коллегами и быть с ними на одной волне. В «ЛАНИТ-Интеграция» у меня не возникло никаких проблем в общении с кураторами и другими коллегами, разве что куча вопросов, затрагивающих непосредственно конкретную работу. Хочется их всех поблагодарить за помощь, внимание и большое терпение, которые они нам уделяют, ведь нам приходится много чего спрашивать, уточнять и исправлять. Взаимоотношения в нашем отделе я могу описать как добрые и свободные. Вспоминается сериал «Офис», я часто привожу аналогии с ним.

Хорошие взаимоотношения не ограничиваются только отделом. Они касаются всей организации в целом. Информация, которая распространяется внутри компании, всегда направлена на обеспечение эффективной и комфортной работы как в офисе, так и вне его. Сотрудники получают уведомления о том, как лучше добраться домой, поздравления с  днем рождения, напоминания о праздниках и др. Все это делает атмосферу в коллективе теплее.

Источник

Глава 4. Конец испытательного срока и подведение итогов


В соответствии с договором у нас было три месяца на испытательный срок, по окончанию которого, должно быть принято решение о том, подходим ли мы компании «ЛАНИТ-Интеграция» или нет.

На протяжении этих месяцев мы изучали нормативно-правовые акты, средства защиты информации, посетили конференцию BISA Summit и мероприятие Positive Technologies, проводили анализ рынка информационной безопасности и IT-компаний, занимались разработкой документации для различных проектов и самое главное — впитывали много знаний и опыта. Нам стало ясно, что не стоит спешить с выбором направления в ИБ, поскольку и в консалтинге, и в инжиниринге есть как интересные виды деятельности, так и муторное заполнение документации. Необходимо иметь достаточную базу знаний и опыта в том или ином направлении, чтобы точно решить, что же нам по душе. Следовательно, на данный момент мы выполняем задачи и развиваемся в этих двух направлениях. Естественно, это не просто, но зато мы видим полную картину того, чем занимаются специалисты в области ИБ в нашей компании. Нам интересно заниматься тем, что мы делаем сейчас, пускай иногда задачи, напрямую не относящегося к ИБ в целом, но ими занимаются все и в этом нет ничего страшного.

В конце всего повествования хотелось бы отметить, что сложно сказать, что думают о нас коллеги и руководство: мы стараемся, а нам улыбаются. Что это значит, знают только они.

Итог испытательного срока будет известен уже после написания этих строк. Будем верить в лучшее. Всем добра и удачи, которая, надеюсь, и нас не оставит.



Статья написана вместе с RZhuravlev

P.S.

Продам ВАЗ 21011 1986 г., пробег 180к, цвет — спорт и роскошь
Цена договорная, торг у капота
8903363283* Максим

Комментарии (12)


  1. zxweed
    04.12.2018 16:37

    идея ИБ должна исходить от руководства

    вот, теперь донесите это до самого руководства :)


  1. pushthebutton
    04.12.2018 16:46

    Также нужно было написать сочинение на тему «Почему я хочу работать здесь»

    Серьезно? Сочинение «как я хочу к вам» для спецов ИБ?
    К вам уже пришли люди, выбравшие профессию и жаждущие работать в отрасли и, возможно, конкретно у вас.
    Дайте задачу и, если нужно, литературу/ментора/документацию — пусть делают то, к чему готовились три года.


    1. RZhuravlev
      04.12.2018 17:40
      +1

      Обе стороны прекрасно понимают, что три года в универе не дают знаний, которых хватит для выполнения даже начальных задач на серьезных проектах. Сочинение нужно для того, чтобы выявить четкую позицию во взгляде на работу и целей, которые она будет преследовать, а также умение формулировать и структурировать свои мысли. Помимо этого оно помогало выявить людей, которые действительно хотят познавать новое и развиваться в ИТ(ИБ).


      1. pushthebutton
        04.12.2018 18:14

        И? Сочинение магическим образом дает эти знания?
        Сочинение помогает выявить только людей, которые могут сочинять. И никогда не даст вам представление о, кхм, «четкой позиции о взгляде на работу».
        Хотя, если компании нужны люди, которые умеют сочинять — однозначно да


        1. Artifeks
          05.12.2018 00:00

          Я не могу плюсануть, но мысли золотые!


  1. Filex
    04.12.2018 17:01

    Все работают на ноутбуках?


    1. RZhuravlev
      04.12.2018 17:22

      Да, компания выдает только ноутбуки, стационарных ПК не видел ни одного.


  1. soomrack
    04.12.2018 20:51

    >> «CISSP All-In-One Exam Guide» Она была написана ещё в 2011 году

    хм.
    1-е издание вышло в 2001 году

    7-е издание вышло в 2016 году
    8-е издание вышло в 2018 году

    Устаревшие книги по безопасности могут принести очень много вреда.


    1. biskovs
      05.12.2018 20:03

      Только если парадигмы существенно изменились.


  1. ov7a
    05.12.2018 00:13
    +1

    Не согласен, что студентам тяжело найти работу. Сейчас на рынке труда очень большой дефицит квалифицированных кадров. Поэтому многим компаниям приходится растить рабочую силу себе практически с нуля. Толковым студентам, как мне кажется, найти себе работу на 3-4 курсе в ИТ не составит проблемы.


    1. pawellrus
      05.12.2018 10:05

      Это вы просто в провинции работу не искали. :)


      1. ov7a
        05.12.2018 22:04
        +1

        Так и ребята вроде учатся в загадочном "университете на Курской".