Недавно я опубликовал статью о сложившейся на сегодня ситуации в области информационной безопасности и о том, как стать специалистом в этой сфере. Проанализировав комментарии, понял, что данная тема имеет определенные нюансы и требует более глубокой проработки.

Как выяснилось, к безопасникам предъявляются достаточно серьезные требования со стороны законодательства. И в большинстве случаев одних лишь курсов недостаточно для трудоустройства. Сегодня попробуем разобраться, какие еще программы придется пройти, какими скилами нужно владеть на старте и где искать вакансии по ИБ.

Требования к безопасникам на законодательном уровне

В прошлый раз я получил от комментаторов справедливые замечания по поводу того, что большинство курсов от популярных образовательных платформ не котируются при устройстве на работу в области ИБ, поскольку они не согласованы с Федеральной службой по техническому и экспортному контролю (ФСТЭК).

ФСТЭК России – государственная служба, регулирующая вопросы организации информационной безопасности на территории РФ.

Чтобы разобраться, насколько важно для успешного трудоустройства в области ИБ пройти программы переподготовки, одобренные ФСТЭК, пройдемся по законодательной базе.

В соответствии с Постановлениями Правительства РФ от 03.02.2012 № 79 и от 03.03.2012 № 171 деятельность по технической защите конфиденциальной информации, а также по разработке и производству средств этой защиты, является лицензируемой.

Чтобы понять масштабы действия данных постановлений, разберемся с понятием «конфиденциальная информация». Прямого определения данного термина в российском законодательстве на сегодня нет. Но есть перечень сведений конфиденциального характера, утвержденный Указом Президента РФ.

В соответствии с данным документом, конфиденциальный характер носят сведения:

• касающиеся личной жизни человека и позволяющие его идентифицировать;

• составляющие тайну следствия и судопроизводства;

• связанные с коммерческой деятельностью, доступ к которым ограничен ГК РФ и федеральными законами;

• касающиеся сущности изобретений или разработок (до официальной публикации информации о них);

• связанные с профессиональной деятельностью, доступ к которой ограничен Конституцией или федеральными законами;

• служебные сведения, доступ к которым ограничен ГК РФ и федеральными законами;

• содержащиеся в личных делах осужденных;

• о принудительном исполнении судебных актов.

Получается, что компании, осуществляющие деятельность по обеспечению информационной безопасности, в организациях, где потенциально могут храниться перечисленные сведения (а это почти во всех), должны получить соответствующую лицензию в ФСТЭК.

Естественно, к соискателям лицензии предъявляется масса требований. Среди которых – наличие в штате:

• Руководителя, имеющего высшее образование в сфере ИБ (и стаж работы по специальности 5+ лет) или высшее образование в области математических и естественных наук, инженерного дела, технологий (и стаж работы по специальности 7+ лет), или любое другое высшее образование (и стаж работы по специальности 5+ лет), но при этом прошедшего обучение по программам профессиональной переподготовки в области информационной безопасности.

• Не менее 2-х сотрудников, имеющих высшее образование в сфере ИБ (и стаж работы по специальности 3+ лет) или любое другое высшее образование (и стаж работы по специальности 3+ лет), но при этом прошедших обучение по программам профессиональной переподготовки в области ИБ.

А пройти эту переподготовку можно только в тех образовательных организациях, которым программы согласовала ФСТЭК.

То есть, если руководитель и сотрудники не имеют профильного образования и не переобучились по одобренным ФСТЭК программам, компания не получит лицензию и не сможет осуществлять деятельность в сфере обеспечения информационной безопасности.

Теоретически, организации достаточно иметь хотя бы двух сотрудников, соответствующих требованиям регулятора. Остальным достаточно просто быть грамотными специалистами.

Но, при трудоустройстве преимущество всегда получает кандидат, прошедший переподготовку по программам ФСТЭК. Ведь в любой момент один из «ценных кадров» может уволиться. И тогда руководству компании придется сломя голову искать ему замену, пока контролирующие органы не обнаружили «недостачи». А при наличии стратегического запаса в виде обученных по программам ФСТЭК специалистов, подобных проблем не возникнет.

Вывод: получить высокие шансы на трудоустройство в сфере информационной безопасности можно двумя способами:

1. Сразу отучиться в вузе по направлению подготовки в области ИБ.

2. Получить любое другое высшее образование, отучиться на онлайн-курсах по ИБ (или пройти самостоятельное обучение), а потом обязательно пройти профессиональную переподготовку в области информационной безопасности по одной из программ, одобренных ФСТЭК.

А для тех, кто планирует устраиваться в государственные организации, «по одной из», это только для начала. Так, в соответствии с Постановлением Правительства РФ от 06.05.2016 № 399, специалисты по защите информации в органах государственной власти, местного самоуправления, организациях с госучастием и организациях ОПК должны на регулярной основе проходить повышение квалификации.

При этом в документе периодичность обучения обозначена достаточно размыто. Если в двух словах, то специалист должен повышать квалификацию таким образом, чтобы справляться с нагрузкой в условиях нарастающего количества киберугроз. А с какой скоростью они нарастают, вряд ли кто-нибудь сможет сказать.

Где можно обучиться по программам переподготовки, согласованным с ФСТЭК

Теперь разберемся, где специалисту по информационной безопасности пройти дополнительное обучение, чтобы соответствовать лицензионным требованиям в области ИБ. На официальном сайте Федеральной службы по техническому и экспортному контролю информационной безопасности опубликован перечень образовательных организаций, которые оказывают соответствующие услуги.

Стоит отметить, что не все программы из этого перечня подходят для обучения именно с целью попасть под лицензию, а только с продолжительностью от 360 аудиторных часов.

Несколько подходящих программ

Требования работодателей к специалистам по ИБ

Когда необходимое обучение пройдено, можно приступать к мониторингу вакансий для специалистов по ИБ. Посмотрим на примере крупнейшего российского job-ресурса HeadHunter, какие требования к соискателям предъявляют работодатели.

Сначала разберемся с переобучением по ФСТЭК. Введем соответствующий запрос в поисковую строку и посмотрим, скольким компаниям этот критерий действительно важен.

Всего для специалистов по ИБ на сегодня размещено 2461 вакансий. Из них в 279 присутствуют требования относительно повышения квалификации по программам, одобренным ФСТЭК. Всего 11,3% ‒ не так много. Но не факт, что вопрос о соответствии лицензионным требованиям не зададут в ходе собеседования. Стоит отметить, что в подавляющем большинстве случаев переподготовка в сфере информационной безопасности по ФСТЭК нужна мидлам или сеньорам.

Помимо этого, к соискателям на должность специалиста по ИБ предъявляется еще множество требований. Их полный перечень зависит от уровня открытой позиции.

Как видно, среди технических навыков отдельное место занимает знание нормативной базы и стандартов в области обеспечения информационной безопасности. Это связано с тем, что требования законодательства в данной сфере постоянно ужесточаются. И помимо выполнения практической работы, компаниям приходится разрабатывать огромное количество организационно-распорядительной документации:

• инструкций, руководств пользователя и администратора;

• приказов, распоряжений;

• положений;

• технических паспортов;

• планов;

•  моделей угроз безопасности;

• политики ИБ;

• форм журналов учета.

Поэтому сегодня большая нагрузка ложится на специалистов так называемой «бумажной» безопасности, занимающихся разработкой необходимой документации. К ним относятся аналитики и технические писатели по информационной безопасности, а также управленческие должности. Например, администратор СЗИ, менеджер по ИБ, директор по ИБ.

Стоит отметить, что вне зависимости от того, кем вы планируете работать в сфере информационной безопасности, для успешного старта желательно получить высшее образование. По возможности сразу профильное.

Требования зарубежных работодателей

Ни для кого не секрет, что сегодня многие айтишники из России перебрались в западные компании. Среди специалистов по кибербезопасности также сохраняется эта тенденция.

Разберемся, стоит ли проходить такое же серьезное обучение и заморачиваться с переподготовкой по программам, согласованным с ФСТЭК, для релокации за границу. Для этого просмотрим несколько вакансий, опубликованных на иностранных job-ресурсах.

Как выяснилось, большинство зарубежных нанимателей так же приветствуют наличие сертификации. Но ФСТЭК их абсолютно не интересует. Здесь на первый план выходят международные сертификаты (такие, как CISSP, CISA, CRISC, CSX-P).

Вот лишь несколько примеров. Скриншот из вакансии менеджера по ИБ (Лондон), размещенной на сайте рекрутинговой компании Barclay Simpson:

Вакансия американской консалтинговой фирмы Booz Allen Hamilton:

В Сингапуре тоже ценятся международные сертификаты. Вакансия компании ifm electronic Asia Pte. Ltd.:

Согласно отзывам наших соотечественников, работающих за границей, в иностранных компаниях действительно смотрят на наличие сертификатов. Однако на первый план там все-таки выходят hard skills, условия по которым аналогичны требованиям российских работодателей. В любом случае, чтобы повысить свою конкурентоспособность на рынке, все-таки лучше пройти международную сертификацию.

Где искать работу в сфере информационной безопасности

Продолжительное обучение – не единственная сложность на пути к началу карьеры в сфере информационной безопасности. С востребованностью ситуация стабильна. В сравнении с 2020 годом, в 2021 спрос на специалистов в области ИБ увеличился на 47%. 2022 год пока не закончился, поэтому окончательные выводы делать рано.

Но есть промежуточная статистика, по которой видно, что по итогам 2022 востребованность безопасников останется на высоком уровне:

Главная проблема заключается в том, что большинство вакансий для специалистов по ИБ сосредоточено в Москве и Московской области.

По информации HeadHunter, на сегодня предложения от работодателей для безопасников распределяются следующим образом:

Получается, что 72,3% вакансий приходится на Москву и область. В сложившейся ситуации у специалистов из регионов есть 3 варианта:

1. Попытаться пробиться в местные компании (подходит только тем, в чьем городе найдутся вакансии).

2. Релоцироваться поближе к столице.

3. Искать варианты с возможностью работать удаленно.

Попробуем найти предложения для безопасников на нескольких специализированных ресурсах с применением фильтра по удаленному режиму работы.

По итогам мониторинга наиболее популярных российских job-ресурсов (HeadHunter, SuperJob, Работа.ру, Зарплата.ру, ГородРабот) получаем такой результат:

Из 5767 предложений для специалистов по ИБ всего 740 вакансий с возможностью удаленной работы. Остальные 5027 – только на фултайм в офисе.

Как выяснилось, с помощью job-ресурсов новичку в сфере информационной безопасности будет достаточно сложно трудоустроиться.

Но не будем забывать о том, что много вакансий для айтишников публикуется и на других площадках – в тематических группах в соцсетях и мессенджерах, на профессиональных блогах и форумах, на специализированных сайтах.

Несколько ресурсов с вакансиями для ИТ-специалистов:

Телеграм-каналы:

• Код Подбора IT-вакансии;

• IT-вакансии удаленка/офис;

• IT Jobs - Ваканси I Резюме;

• Jobs Code: IT вакансии;

• Profunctor Jobs.

Тематические сайты для айтишников с разделами для вакансий:

• CyberForum;

• Хабр Карьера;

• VC.ru;

• Tproger;

• ITmozg.

Для тех, кто планирует релокацию:

• Glassdor;

• Indeed;

• Relocate;

• Dice;

• Computerfutures

• Gigajob.

Подведем итоги

Несколько главных выводов для тех, кто планирует начать карьеру в области информационной безопасности, но не хочет читать всю статью:

1. Спрос на специалистов по ИБ остается на высоком уровне. Согласно прогнозам, в этой сфере предвидится еще больший дефицит кадров.

2. Если хотите начать карьеру в области ИБ, лучше сразу получите профильное высшее образование.

3. При отсутствии такой возможности, обязательно пройдите переподготовку по программам, согласованным с ФСТЭК.

4. Приготовьтесь в общей сложности потратить на образование 5-6 лет.

5. Если планируете устраиваться за границу, не заморачивайтесь с ФСТЭК. Уделите внимание получению международных сертификатов.

6. Если живете в регионе, рассмотрите возможность релокации в сторону столицы. Или ищите подходящие вакансии не только на job-ресурсах, но и на специализированных площадках для айтишников.

7. Не забывайте о саморазвитии. Обучение по профильным программам не всегда дает знания, которые реально понадобятся на работе.

В завершение предлагаю взять на вооружение несколько полезных ресурсов по информационной безопасности:

Бесплатные курсы:

• Основы безопасности и анонимности в сети;

• Этичный/белый хакер: полный гид по профессии;

• Онлайн обучение в сфере кибербезопасности;

• Полный курс по безопасности и хакерству;

• OpenSecurityTraining.

Видеоуроки на ютубе:

• Защита информации;

• Этичный хакинг;

• Уроки информационной безопасности;

• Полный курс по кибербезопасности Volume 1;

• Cyber Security Full Course In 8 Hours.

Телеграм-каналы:

• Android Guards Chat;

• Код Подбора IT-вакансии;

• Кавычка;

• The Bug Bounty Hunter;

• Information Security.

Подкасты:

• Hack me, если сможешь;

• Информационная безопасность;

• Безопасность для всех.

Тренажеры:

• Упражнения по криптографии;

• Виртуальные машины для практики в цифровой безопасности;

• CTF-соревнования по поиску пропавших людей;

• Платформа для проверки хакерских навыков.