Согласно данным исследовательского центра Positive Research, результативность кибератак осталась на уровне 2021 года: количество атак возросло, но, к сожалению, увеличилось и число успешных взломов. Причин этому несколько: рост числа уязвимостей и их неустранение, нехватка кадров более чем у 90% компаний.

В связи с этим спрос на специалистов по информационной безопасности из года в год растет. По данным сайта hh.ru, количество вакансий по данной специальности – более 3000. Для сравнения, в апреле 2022 года – ~2400 вакансий.

Сотрудник Центра информационных технологий Татарстана рассказывает, как "вкатился" в ИТ, нужно ли высшее образование, и в чем особенности рынка ИБ.

В последнее время в России наблюдается несколько ключевых факторов, которые оказали влияние на состояние рынка кибербезопасности.

Во-первых, наблюдается рост числа хакерских атак на компании различных отраслей и активная реакция со стороны регуляторов и государства, которые признают кибербезопасность одной из важнейших потребностей.

Во-вторых, значительное количество зарубежных производителей средств информационной защиты покидают страну, что также повлияло на рынок.

По данным исследования Центра стратегических разработок «Прогноз развития рынка решений для информационной безопасности в Российской Федерации в 2022–2026 годах», в августе 2022 года, несмотря на негативные прогнозы аналитиков, предполагавших сокращение объема рынка на 11%, предварительная экспертная оценка компании Positive Technologies показала рост на 10-20% в прошлом году. Массовые атаки на инфраструктуру российских компаний способствовали увеличению спроса на услуги в области кибербезопасности, такие как анализ уязвимостей, мониторинг событий в области информационной безопасности, реагирование на инциденты и их расследование.

Конечно, как и остальные рынки, рынок ИБ делится на заказчиков и исполнителей.

На рынке информационной безопасности, в основном, заказчиками являются государственные организации, банки и предприятия крупного и среднего бизнеса.

Согласно распространённому мнению, в государственных организациях главная задача в области информационной безопасности заключается не только в защите от хакеров и вредоносного программного обеспечения, но и в соблюдении законодательных и отраслевых требований. Именно это становится основной проблемой на российском рынке. В этой сфере считается хорошо понимать, какие законы в области информационной безопасности существуют, как их трактуют, как они относятся к конкретной организации и как можно соответствовать им.

Фактически это работа с документацией: разработка внутренних распорядительных документов, регламентов и положений, связанных с государственной и коммерческой тайной, а также обработка информации, связанной с персональными данными или данными для служебного пользования. Здесь важно знать, как классифицировать информацию, какие части информационной системы относятся к определенным категориям, и какими средствами защиты это должно быть обеспечено (это описывается соответствующими государственными службами), а также нужно ли вообще защищать эту информацию. Кроме того, существуют отраслевые требования, которые могут быть более широкими, чем законодательные требования, указания и положения.

Но бывает и такое, что госкомпания – исполнитель, и у вас может быть реальная возможность «потыкаться в железки», осуществить пилотирование того или иного решения, заниматься реальными задачами в сфере ИБ.

Хочу рассказать свою историю о том, «как я вкатился в ИБ» на примере ГУП «Центр информационных технологий Республики Татарстан».

Перед трудоустройством я изучил, чем вообще занимается ЦИТ РТ, и есть ли у них ИБ направление. У меня нет опыта в ИТ или ИБ, но зацепиться очень хотелось, и тогда я изучил, какими базовыми навыками должен обладать ИБ специалист,. Это оказались сети. Поэтому я устроился сначала в отдел техподдержки, а проработав там около двух лет, прокачавшись в сетях и немного в Linux, и пройдя тестовое задание по средствам криптографической защиты, смог перейти в департамент информационной безопасности ЦИТ РТ. Спустя буквально два месяца меня направили на обучение по курсу «Администрирование системы защиты информации ViPNet». По результатам прохождения курса я сдал тест и получил свой сертификат администратора.

Могу сказать, что спектр работ, с которыми приходится сталкиваться молодым специалистам, широк. Это и внедрение, и настройка средств защиты информации и средств криптографической защиты информации, работа с SIEM в мониторинге и реагирование на инциденты в ИБ и аналитика инцидентов, анализ кода, защита от высокоуровневых атак (которая выполняется 24/7) и т.п.

Нужно ли высшее образование в ИБ?

Конечно, многие организации в описании своих вакансий пишут об обязательном высшем образовании и наличии опыта работы. У некоторых такое требование чисто «номинальное», другие, например, банки, стараются набирать специалистов только с высшим образованием или с наличием прохождения курсов по ИБ (512 часов).

Есть конечно направления, в которых образование необходимо. Это: «бумажный безопасник», который пишет приказы и другие документы; аудитор безопасности, который эти приказы проверяет в других организациях, также он проверяет соответствие стандартам, например, pcidss или iso27001.

Получить же высшее образование по специальностям ИБ можно от 28 тысяч до 550 тысяч, в зависимости от того, будете получать образование очно/очно-заочно или даже заочно (было найдено как минимум два ВУЗа в России, где обучают заочно).

Что касается курсов по ИБ в формате 512 часов, то обучение занимает в среднем от 3 до 6 месяцев. При этом цена зависит от того, согласована ли программа обучения с ФСБ/УМО по ИБ России/ФСТЭК. Бывают разные комбо, от этого зависит и ценник. Если хотите собрать бинго из двух или трех позиций, то стоимость курса начинается от 120 тысяч рублей (к примеру, Академия информационных систем), если комбо от одного, ценник начинается от 70 тысяч рублей. Можно также пройти данные курсы без согласования с вышеперечисленными организациями. Непонятно, насколько актуальны и востребованы на рынке данные курсы, но ценник у них самый дешевый, и начинается от 16 900 рублей.

Даже ФТСЭК предложил снизить требования. Теперь для уполномоченного руководителя субъекта КИИ не нужно обязательно высшее образование (до изменений в 2023 году высшее образование было обязательным). Достаточно «иного профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов; в старой редакции было не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет».

Какие выводы?

Да, требования к образованию и опыту работы в сфере ИБ могут различаться в зависимости от конкретной организации и ее потребностей. Но существуют и другие пути входа в сферу, такие как получение опыта работы в других ИТ-направлениях и постепенное развитие навыков и знаний в области информационной безопасности. Курсы и сертификации также могут быть полезны для приобретения специализированных знаний и демонстрации своей компетентности.

Цены на образование и курсы по информационной безопасности могут значительно варьироваться в зависимости от программы обучения, его продолжительности и престижности учебного заведения. Важно обратить внимание на актуальность программы обучения, ее соответствие стандартам и рекомендациям относительно согласования с соответствующими организациями, такими как ФСБ, УМО по ИБ России и ФСТЭК.

Изменения в требованиях, предложенные ФТСЭК, указывают на то, что для уполномоченного руководителя субъекта КИИ высшее образование уже не является обязательным, а может быть заменено другим профессиональным образованием и прохождением обучения по программе профессиональной переподготовки по ИБ. Это может предоставить больше возможностей для специалистов, не имеющих высшего образования, но обладающих соответствующим опытом работы и обучением в области информационной безопасности.

В целом, требования к образованию и опыту в ИБ могут различаться, и каждый человек должен выбрать наиболее подходящий для себя путь развития в этой области, учитывая свои возможности и цели.

А что думаете вы?