Отступление
Речь не пойдет о собеседованиях на должности апсеков и инженеров SOC, речь в статье пойдет только о классических специалистах ИБ - универсалах своего дела.
Рассмотрим 2 сценария:
собеседование в компанию имеющую штат специалистов по ИБ;
собеседование в компанию, которая ищет первого безопасника, не всегда целью поиска является создание целого подразделения и соответственно собеседование именно на руководителя такого подразделения, часто работодатель хочет нанять просто специалиста чтобы понять его значимость.
Собеседование в компанию не имеющей безопасников
Часто на собеседованиях в компании, которые только начинают формировать штат ИБ, вообще не задают каких-то технических вопросов, мое видение проблемы такое:
у работодателя нет того, кто бы хоть как-то разбирался в комплаенсе ИБ глубже даже начинающего безопасника;
собеседует ИТ-шник, но он сам боится задать вопрос на стыке ИТ и ИБ.
Итого обычно основное вступление у подобных соискателей такое: у нас есть то-то и то-то, хотим примерно то-то, опасаемся этого, видим примерно такие-то проблемы. Вступление может и вообще отсутствовать. У работодателя в итоге вытекают логичные вопросы:
как по вашему мнению должно выглядеть подразделение ИБ в нашей компании;
сколько в нем должно быть человек;
с чего начнете работу в нашей компании;
в каком порядке и что вы будете делать, пожалуйста, по подробнее.
Можно добавить, что будут вопросы в части администрирования операционных систем, различного оборудования. Работодатель хочет понять насколько соискатель имел опыт практической работы пусть и не по направлению ИБ.
В целом подобные собеседования для работодателя - это возможность увидеть взгляд на свою проблему разными людьми, а тех кто увидел проблему в лучшем свете по мнению работодателя и ждет офер.
Стоит отметить, часто поиском безопасника работодатели начинают заниматься из-за появления подозрений, что их внутренняя информация начала попадать конкурентам. Цель поиска безопасника для них - это не выполнение требований регуляторов и усиление состояния защищенности организации в целом, а именно решение конкретной проблемы, но опыт и мнение соискателя тоже интересно послушать.
Собеседование в компанию со штатом ИБ
В данном случае уже присутствуют технические вопросы, вопросы по ИБ.
Стоит разделить вопросы на собеседованиях относительно предлагаемого уровня должности.
Собеседование на начальные позиции:
что такое модели TCP/IP либо OSI?
назовите названия уровней одной из моделей?
что такое криптография?
какие виды криптографии бывают и для чего применяются?
что такое электронная подпись и чем отличается от хэша?
для того чтобы безопасно передать информацию получателю, каким ключом ее подписывать, а каким шифровать?
назовите нормативные акты по ИБ и кратко опишите их назначение;
что такое риск ИБ и как им управлять?
какие методологии управления ИБ вам известны?
чем отличается антивирус от EDR?
каких производителей какого-то (зависит от потребностей конкретного работодателя) средства защиты знаете?
как бы Вы реализовали процесс управления доступом?
как защититься от утечки информации?
что такое DMZ?
Как видим вопросы достаточно базовые и достаточно редко они будут на знание именно нормативки регуляторов либо лучших практик, скорее таких вообще не бывает.
Собеседование на позиции выше.
В данном случае ищут как универсала, так и безопасника, который будет заниматься узкой деятельностью, перечень вопросов можно прикинуть из описания обязанностей в вакансии и требований к соискателю.
Часто собеседующему безопаснику достаточно услышать начало ответа на вопрос и он начинает накидывать следующий вопрос на основе ответа не дав ответить соискателю так как понимает, что соискатель знает ответ. Бывает так, что работодатель либо собеседующий безопасник задает сразу 5 вопросов и просит на них ответить. Суть сводится к возможности соискателем вспомнить все вопросы и ответить на все вопросы при условии дополнительных вопросов по ходу ответов на условные 5 вопросов.
Примерный список общих вопросов:
этапы создания системы защиты информации?
приведите перечень основных уязвимостей информационных систем либо ПО (намек на перечисление уязвимостей из списка OWASP TOP 10 либо БДУ ФСТЭК Росси);
раскройте описание одной из уязвимостей OWASP TOP 10, обычно это SQL-инъекция, XSS, неверная аутентификация;
какие средства и методы защиты применяют для защиты того-то и того-то, например, сейчас актуальна тема удаленного доступа;
опишите процесс работы протокола безопасности, часто это Kerberos или TLS;
опишите процесс реализации атаки, например, подбор пароля, какой-то из видов спуфинга на один из протоколов модели OSI, DNS-тунель;
опишите как бы вы защищались от угрозы, выбранная угроза зависит от текущих потребностей работодателя;
минимальная длина пароля для учетных записей в AD и почему?
Как видим, вопросы уже на более глубокое понимание процессов, но опять де, по нормативке вопросов минимальное количество. Все хотят видеть знания именно в технике процессов и защиты.
Вопросы по резюме
Суть вопросов сводится к пониманию того, что написал в своем резюме сам соискатель:
вы пишете, что занимались тем-то, расскажите что конкретно делали и чего добились;
на основе каких нормативных документов и лучших практик вы занимались указанной в данном пункте резюме деятельностью;
у вас указан опыт работы с тем-то продуктом, опишите что бы вы улучшили на предыдущем месте работы в части работы с этим продуктом;
у вас указан опыт работы с тем-то продуктом, опишите как он работает.
Как можно понять, работодатель пытается понять правда ли написана в резюме у соискателя и понимает ли он что вообще написал.
Общие вопросы
Тут все просто:
почему в поиске?
какое из направлений вам более интересно: комплаенс, администрирование СЗИ, аналитика, написание документов, безопасная разработка, тестирование на проникновения, реагирование на инциденты?
какие паблики по ИБ читаете?
как еще прокачиваете свои навыки?
пишите ли статьи или может в Twitter что публикуете?
готовы ли к переезду на север либо в иную глушь:) ?
перечислите 3 ваших достижения, обычно за весь опыт либо за опыт в конкретной компании?
в каком направлении хотели бы развивать в перспективе?
P.S.
Если есть интересные вопросы из вашего опыта, оставьте их комментарием.
Комментарии (33)
amarao
17.09.2021 14:47Антивирус - это программа для бесполезной траты процессорного времени, последнее время, специализирующаяся на майнинге криптовалют.
PereslavlFoto
17.09.2021 15:05Вместе с тем антивирус очень серьёзно экономит время программиста, тем самым давая возможность, чтобы программист починил печать на компьютере у бухгалтера.
amarao
17.09.2021 15:15... особенно, когда отправляет на карантин свежеобранный бинарник. Без права вынуть его оттуда. Есть у меня знакомый в тухлой конторе с корпоративным антивирусом. Грубый эстимейт потерь компании от его наличия на машинах сотрудников - 20-30% ФОПа.
PereslavlFoto
17.09.2021 15:18В ваших примерах, в ваших наблюдениях вы правы. Всё так и есть.
Но ведь не везде так. Есть предприятия, на которых очень остро стоит вопрос защиты от вирусов, которые приходят из электронной почты или из интернета, а программист слишком занят, чтобы настроить для сотрудников индивидуальные логины.amarao
17.09.2021 15:31А могут ли такие компании предложить существенную зарплату и чувство самореализации для хорошего специалиста? Я подозреваю, что такая компания и в вакансию для отдела безопасности напишет ту же самую сумму, как и "программисту на заводе".
Вот, например: https://hh.ru/vacancy/47760360
ЗАО ТК ОПТГАЛАНТ
Специалист по информационной безопасности
МОСКВА
45000 рублей до вычета налогов.
А рядом другая вакансия:Продавец-кассир в кафе на АЗК
от 45 000 до 60 000 руб. до вычета налоговPereslavlFoto
17.09.2021 15:33В объявлениях довольно хорошая зарплата указана.
Protos Автор
17.09.2021 15:50Средняя зарплата в ИТ 130.000₽
PereslavlFoto
17.09.2021 15:53Да. Потому что в неё входят зарплаты в крупных городах, зарплаты в областных центрах и зарплаты удалённых сотрудников.
Protos Автор
17.09.2021 16:25+1Ну не знаю, мне для нормальной жизни и в областном городе такой зарплаты мало, а тут зарплата Москвы указана. Я если бы в Москву переезжал, то мне бы ее не то что на аренду квартиры не хватило, на садик и парковочное место тем более.
AlexUl
17.09.2021 17:18Это средняя температура по больнице. Даже скорее температура в амбулаторной, а ИБ это интенсивная терапия.
В ИТ в среднем зарплата выше чем в ИБ. А в ИБ зарплата пентестера в среднем выше чем АИБа, если вы конечно найдете вакансию чистого АИБа.
tommy_lee
18.09.2021 07:55Хорошая для продавца-кассира или для специалиста по информационной безопасности?
AlexUl
17.09.2021 14:51Не во всем согласен с автором, но вопросы такие встречал. Чаще всего, на начальной позиции.
Потом научился в ответ спрашивать "вам шашечки или ехать" и собеседования начали проходить более продуктивно)А вообще это скорее перечень вопросов-клише и "плохих советов", т.к.:
Типов специальностей в ИБ уйма, так что любой из вопросов по отдельности для каждой конкретной позиции должен идти с контекстом, из-за чего когда их много на собесе это явно говорит что интервьюер не понимает что будет конкретно делать работник.
Рассказать про серьезные вещи с прошлой работы не получится, так как даже если нет NDA и совести, то это не значит что то каким СЗИ и как ты защищал на прошлом месте пользовательские эндпоинты можно разглашать. На мой взгляд на такие вопросы будут давать информацию об опыте 5-ти летней давности, что как бы уже мало релевантно, а учитывая что СЗИ мог покупаться только ради закрытия комплаенса, то это вряд ли поможет в определении навыков.
Опять же про СЗИ с которыми работал на предыдущем месте - это вполне может быть запрещено к разглашению или человек не скажет просто ради того, чтобы перестраховаться.
Если мы говорим о "специалистах ИБ - универсалах своего дела", то тут не вопросов про бизнес-процессы, а ведь универсал должен, в том числе понимать и учитывать потребности бизнеса.
Спрашивать про антивирус в 2021 - некорректно, чистых антивирусов почти не осталось. Если уж и упоминать, то в ключе "антивирусного движка" и в каких еще классах СЗИ они встречаются и как используются, кроме эндпоинтов.
Ну и отдельно насмешивший лично меня вопрос:
минимальная длина пароля для учетных записей в AD и почему?
amarao
17.09.2021 15:03+1Вполне себе представляю ИБ-специалиста, который на это спросит "а что такое AD? Что-то на виндах? Извините, я с ними не очень" и будет вполне себе востребован. Основной бизнес уже давно не на виндах, и фокус давно тоже не.
Supply chain attacks куда страшнее, чем "notpetya" требующий биткоин в обмен на фоточки с компьютера бухгалтера.
Protos Автор
17.09.2021 15:37Насмешил вопрос. На самом деле тут кроется секрет в понимании атак на NTLM. Выводом из атак определяется минимальная длина пароля в Windows инфраструктуре при наличии активной аутентификации по NTLM.
amarao
17.09.2021 15:42... при её наличии. Все сотрудники на маках, но спец по ИБ следит за длинной пароля в AD.
Protos Автор
17.09.2021 15:47+1Не у всех компаний все работники на маках вы же понимаете, скорее это исключение. А как из простых векторов атаки актуален.
AlexUl
17.09.2021 17:14По моему личному, субъективному наблюдению, среди пользовательских компьютеров ~80-90% это Windows, той или иной степени актуальности. Правда, тенденция на "отечественную ОС" потихоньку начинает менять баланс сил.
AlexUl
17.09.2021 17:12Рассмешил не в смысле, что вопрос плохой.
Я просто вспомнил случай из практики, когда пользователь сумел обойти минимальную длину и когда пришел срок менять, система не принимала "старый пароль", считая что такого быть не может =)
Shaman_RSHU
17.09.2021 17:46часто работодатель хочет нанять просто специалиста чтобы понять его значимость
Опытные ИБ специалисты будут обходить стороной компании с таким сценарием. Зачем компании отдельное обеспечивающее направление, пусть и из одного сотрудника, если они сами не понимают её необходимость? Специалисту ИБ с маленьким опытом и уж тем более начинающему туда идти совершенно противопоказано - в конечном итоге из-за недостатка опыта превратишься еще в одни "руки" для ИТ отдела и развиваться в направлении ИБ не будешь.
ИБ даже не в крупных компаниях уже ушла дальше установки антивирусов и заклеивания USB портов. Это и взаимодействие с кадрами в части защиты ПДн, и с юристами в части Compliance, согласование договоров, проверка контрагентов, безопасная разработка и мого чего ещё. По вопросам же на собеседовании для данного сценария складывается впечатление, что компания определяет бюджет по ИБ. Такие вопросы нужно задавать, наняв консалтинг и уже на основе отчета набирать команду по ИБ.
saboteur_kiev
и вот это
Противоречие? Наизусть знать нормативные акты?
Protos Автор
Нет, смысл в том, что вас вряд ли спросят как реализовать конкретный пункт нормативки или как бы вы трактовали такой-то пункт. Просто общие вопросы на знание хотя бы названий документов и их суть в пару слов.
Грубо говоря если по технике спросят как реализовать конкретную уязвимость и как защититься - надо знать как эксплуатируется уязвимость, без этого и меры защиты то не предложишь, то в части нормативки спрашивают какие законы знаешь и о чем они. Вопрос как реализовать закон не спрашивают.
amarao
Интересно, а можно быть спецом в ИБ и класть с пробором на "нормативные акты" и прочие физиологические акты? Нормативные акты - это compliance, к ИБ относится постольку-поскольку. А задача ИБ - чтобы не взломали и не упёрли.
AlexUl
К сожалению нельзя, есть нормы и их нужно выполнять, так или иначе. А про соотношение с реальной безопасностью - вопрос неоднозначный и у каждого тут свое мнение.
amarao
Почему ИБ должен выполнять какие-то нормы? У него ровно такая же мотивация их выполнять, как у (условного) программиста. Прийдёт compliance с требованием что-то делать или не делать - будем. Не придёт - будем делать то, что наиболее эффективно.
Требовать от ИБ соблюдения compliance как основы профессии, всё равно, что требовать от программиста, чтобы он печать с принтера у бухгалтера на компьютере починил. Ты же программист!
AlexUl
Ну, во-первых, за невыполнение можно получить «по голове» от надзирающих органов. Даже если условные разработчики сидя в России зарегистрированы на Кипре, это не значит что им не надо выполнять местный (или Европейский) комплайнс. На свою вину не знаю ситуацию на Кипре, но у Европы и Америки свои есть нормы и правила, за которые наказывают не менее строго. Другой вопрос про их соотношение с реальной безопасностью, но на эту тему уйма материалов и мнений в сети. Во-вторых, закрывать требования регулятора когда он уже стучится в дверь чревато. В нашей стране, в зависимости от целей и настроения проверяющего органа, можно получить по полной, даже если клятвенно обещаешь доделать все в самые короткие сроки. В-третьих, ИБ как раз про предотвращение потерь, а не реагирование в последний момент. В зависимости от типа компании, вполне разумнее прикрыть «тылы» от требований регуляторов заранее. В-четвёртых, есть организации, которым по закону необходимо выполнять требования и тут уже зависит от руководства, им «шашечки или ехать», т.е. выполнять требования все равно придётся, но будет ли при этом обеспечиваться реальная безопасность - не всегда зависит от безопасника «на местах». В-пятых, даже в наших РД есть best practices которые не выполняются теми, кто обязан, потому что в их понимании все РД бесполезны полностью и они лучше знают. В-шестых, и последних, иногда, все наши приказы ФСТЭК и прочие РД единственный способ у безопасника выбить деньги из бюджета на новую СЗИ.
Если коротко, то это на значит что без всего содержания РД нельзя безопасника считать безопасником, но ориентироваться в них уметь это такой же навык как владения сканерами сети, умение настраивать специфичные NGFW или владение скриптовыми языками - добавляет ценность.
amarao
А ещё можно присесть, если мухлевать с налогами, не подавать бухгалтерскую отчётность и не обновлять лицензию на деятельность (кому нужно). А ещё можно конкретно попасть с МЧЗ за отсутствие пожарных выходов и радиоточки у охраны. Это не трогая вопросы столовой и санинспекции. И? Какое это отношение к ИБ имеет?
Tangeman
Если, к примеру, у вас интернет-магазин с приёмом кредиток (особенно если клиенты вводят номера прямо на вашем сайте) — то compliance уже у вас (PCI DSS), придётся выполнять все нормы и регулярно тестироваться на соответствие.
А так да — если требований и проверяющих нет, если закон/клиенты/партнёры не требуют наличия чего-то — то никакие нормы выполнять не надо, главное чтобы не влезли.
С другой стороны, сами нормы (которые либо содержат, либо легко приводятся в форму чек-листа и сценариев реализации) очень сильно помогают любому безопаснику (по крайней мере если он не машина) — людям свойственно ошибаться и забывать, даже самым крутым, по списку же легче и реализовывать и проверять — если, конечно, список сам по себе грамотный (увы, не все нормы адекватные).
Protos Автор
На самом деле да, некоторые работодатели честно заявляют об отсутствии в необходимости защиты персданных клиентов по законодательству, требуется только управление рисками ИБ.