Согласно данным исследовательского центра Positive Research, результативность кибератак осталась на уровне 2021 года: количество атак возросло, но, к сожалению, увеличилось и число успешных взломов. Причин этому несколько: рост числа уязвимостей и их неустранение, нехватка кадров более чем у 90% компаний.
В связи с этим спрос на специалистов по информационной безопасности из года в год растет. По данным сайта hh.ru, количество вакансий по данной специальности – более 3000. Для сравнения, в апреле 2022 года – ~2400 вакансий.
Сотрудник Центра информационных технологий Татарстана рассказывает, как "вкатился" в ИТ, нужно ли высшее образование, и в чем особенности рынка ИБ.
В последнее время в России наблюдается несколько ключевых факторов, которые оказали влияние на состояние рынка кибербезопасности.
Во-первых, наблюдается рост числа хакерских атак на компании различных отраслей и активная реакция со стороны регуляторов и государства, которые признают кибербезопасность одной из важнейших потребностей.
Во-вторых, значительное количество зарубежных производителей средств информационной защиты покидают страну, что также повлияло на рынок.
По данным исследования Центра стратегических разработок «Прогноз развития рынка решений для информационной безопасности в Российской Федерации в 2022–2026 годах», в августе 2022 года, несмотря на негативные прогнозы аналитиков, предполагавших сокращение объема рынка на 11%, предварительная экспертная оценка компании Positive Technologies показала рост на 10-20% в прошлом году. Массовые атаки на инфраструктуру российских компаний способствовали увеличению спроса на услуги в области кибербезопасности, такие как анализ уязвимостей, мониторинг событий в области информационной безопасности, реагирование на инциденты и их расследование.
Конечно, как и остальные рынки, рынок ИБ делится на заказчиков и исполнителей.
На рынке информационной безопасности, в основном, заказчиками являются государственные организации, банки и предприятия крупного и среднего бизнеса.
Согласно распространённому мнению, в государственных организациях главная задача в области информационной безопасности заключается не только в защите от хакеров и вредоносного программного обеспечения, но и в соблюдении законодательных и отраслевых требований. Именно это становится основной проблемой на российском рынке. В этой сфере считается хорошо понимать, какие законы в области информационной безопасности существуют, как их трактуют, как они относятся к конкретной организации и как можно соответствовать им.
Фактически это работа с документацией: разработка внутренних распорядительных документов, регламентов и положений, связанных с государственной и коммерческой тайной, а также обработка информации, связанной с персональными данными или данными для служебного пользования. Здесь важно знать, как классифицировать информацию, какие части информационной системы относятся к определенным категориям, и какими средствами защиты это должно быть обеспечено (это описывается соответствующими государственными службами), а также нужно ли вообще защищать эту информацию. Кроме того, существуют отраслевые требования, которые могут быть более широкими, чем законодательные требования, указания и положения.
Но бывает и такое, что госкомпания – исполнитель, и у вас может быть реальная возможность «потыкаться в железки», осуществить пилотирование того или иного решения, заниматься реальными задачами в сфере ИБ.
Хочу рассказать свою историю о том, «как я вкатился в ИБ» на примере ГУП «Центр информационных технологий Республики Татарстан».
Перед трудоустройством я изучил, чем вообще занимается ЦИТ РТ, и есть ли у них ИБ направление. У меня нет опыта в ИТ или ИБ, но зацепиться очень хотелось, и тогда я изучил, какими базовыми навыками должен обладать ИБ специалист,. Это оказались сети. Поэтому я устроился сначала в отдел техподдержки, а проработав там около двух лет, прокачавшись в сетях и немного в Linux, и пройдя тестовое задание по средствам криптографической защиты, смог перейти в департамент информационной безопасности ЦИТ РТ. Спустя буквально два месяца меня направили на обучение по курсу «Администрирование системы защиты информации ViPNet». По результатам прохождения курса я сдал тест и получил свой сертификат администратора.
Могу сказать, что спектр работ, с которыми приходится сталкиваться молодым специалистам, широк. Это и внедрение, и настройка средств защиты информации и средств криптографической защиты информации, работа с SIEM в мониторинге и реагирование на инциденты в ИБ и аналитика инцидентов, анализ кода, защита от высокоуровневых атак (которая выполняется 24/7) и т.п.
Нужно ли высшее образование в ИБ?
Конечно, многие организации в описании своих вакансий пишут об обязательном высшем образовании и наличии опыта работы. У некоторых такое требование чисто «номинальное», другие, например, банки, стараются набирать специалистов только с высшим образованием или с наличием прохождения курсов по ИБ (512 часов).
Есть конечно направления, в которых образование необходимо. Это: «бумажный безопасник», который пишет приказы и другие документы; аудитор безопасности, который эти приказы проверяет в других организациях, также он проверяет соответствие стандартам, например, pcidss или iso27001.
Получить же высшее образование по специальностям ИБ можно от 28 тысяч до 550 тысяч, в зависимости от того, будете получать образование очно/очно-заочно или даже заочно (было найдено как минимум два ВУЗа в России, где обучают заочно).
Что касается курсов по ИБ в формате 512 часов, то обучение занимает в среднем от 3 до 6 месяцев. При этом цена зависит от того, согласована ли программа обучения с ФСБ/УМО по ИБ России/ФСТЭК. Бывают разные комбо, от этого зависит и ценник. Если хотите собрать бинго из двух или трех позиций, то стоимость курса начинается от 120 тысяч рублей (к примеру, Академия информационных систем), если комбо от одного, ценник начинается от 70 тысяч рублей. Можно также пройти данные курсы без согласования с вышеперечисленными организациями. Непонятно, насколько актуальны и востребованы на рынке данные курсы, но ценник у них самый дешевый, и начинается от 16 900 рублей.
Даже ФТСЭК предложил снизить требования. Теперь для уполномоченного руководителя субъекта КИИ не нужно обязательно высшее образование (до изменений в 2023 году высшее образование было обязательным). Достаточно «иного профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» (со сроком обучения не менее 72 часов; в старой редакции было не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет».
Какие выводы?
Да, требования к образованию и опыту работы в сфере ИБ могут различаться в зависимости от конкретной организации и ее потребностей. Но существуют и другие пути входа в сферу, такие как получение опыта работы в других ИТ-направлениях и постепенное развитие навыков и знаний в области информационной безопасности. Курсы и сертификации также могут быть полезны для приобретения специализированных знаний и демонстрации своей компетентности.
Цены на образование и курсы по информационной безопасности могут значительно варьироваться в зависимости от программы обучения, его продолжительности и престижности учебного заведения. Важно обратить внимание на актуальность программы обучения, ее соответствие стандартам и рекомендациям относительно согласования с соответствующими организациями, такими как ФСБ, УМО по ИБ России и ФСТЭК.
Изменения в требованиях, предложенные ФТСЭК, указывают на то, что для уполномоченного руководителя субъекта КИИ высшее образование уже не является обязательным, а может быть заменено другим профессиональным образованием и прохождением обучения по программе профессиональной переподготовки по ИБ. Это может предоставить больше возможностей для специалистов, не имеющих высшего образования, но обладающих соответствующим опытом работы и обучением в области информационной безопасности.
В целом, требования к образованию и опыту в ИБ могут различаться, и каждый человек должен выбрать наиболее подходящий для себя путь развития в этой области, учитывая свои возможности и цели.
А что думаете вы?
Комментарии (11)
BNKOHT
20.07.2023 12:57На самом деле порог входа достаточно низкий. Даже для "бумажных безопасников". Достаточно получить документы о повышении квалификации по ПДн, КИИ и ты востребованный специалист в этой области.
nikhotmsk
20.07.2023 12:57+1Причин этому несколько: рост числа уязвимостей и их неустранение, нехватка кадров более чем у 90% компаний.
А еще сложность самих систем. В старые времена юзеры могли самостоятельно искать и исправлять ошибки в софте. Теперь это могут только иб-шники. Если сложность софта продолжит расти, то обычный живой человек уже не сможет разобраться. Нужно уменьшать сложность.
Darka
20.07.2023 12:57+1Есть же парадигма DevSecOps, тут вопрос в менеджерах, которые хотят двигать фичи в прод а не безопасность.
Wex1979
20.07.2023 12:57+1Получить же высшее образование по специальностям ИБ можно от 28 тысяч до 550 тысяч, в зависимости от того, будете получать образование очно/очно-заочно или даже заочно (было найдено как минимум два ВУЗа в России, где обучают заочно).
Вы не могли бы уточнить название / ссылку на ВУЗы, где предусмотрена заочная форма образования. Беглый поиск, выдает только очные формы обучения.
Спасибо
Gor40
20.07.2023 12:57+3Конечно, многие организации в описании своих вакансий пишут об обязательном высшем образовании и наличии опыта работы.
Без высшего образования устроился в безопасность Сбера (вышку закончил во время работы). При собеседовании в вышестоящем отделении, ИБ сказало "уберите из его должностной инструкции обязанности по ИБ и пусть работает", экономическая безопасность дала добро. В выше выше стоящем отделении сказали "уберите из его должностной инструкции обязанности по экономической безопасности и пусть работает", ИБ дала добро. Два таких полусогласия дали одно согласие на всё. Отработал 5+ лет. В профессиональой ИБ дуб дубом. Да там надо было просто выполнять инструкции напечатанные, да девчонкам по голове лупить за пароли приклеенные на мониторы.
Тупое выполнение бумажек не даст профи. Это просто тупое выполнение инструкций.Shaman_RSHU
20.07.2023 12:57Ну эта позиция хоть и относится к ИБ, но так же, как сидеть в окошке сберкассы и относить себя к финансистам. Всё по скриптам (не программными :) ) и инструкциям, шаг влево, шаг вправо - наказание.
Gor40
20.07.2023 12:57А в "госконторах" иначе нельзя. "Шаг влево, шаг вправо - побег. Прыжок на месте - провокация."
Да и в принципе в ИБ тебе нельзя на месте придумывать своё, есть разработанная инструкция - выполняй или уволят при каком-то происшествии.
Darka
20.07.2023 12:57Фактически это работа с документацией: разработка внутренних
распорядительных документов, регламентов и положений, связанных с
государственной и коммерческой тайной, а также обработка информации,
связанной с персональными данными или данными для служебного
пользования.Наверное это как-то связанно с этим:
результативность кибератак осталась на уровне 2021 года: количество атак
возросло, но, к сожалению, увеличилось и число успешных взломов.Бумажки перекладывать научили, а людей умеющих работать руками как не было, так и нет. Причем как я понимаю, эта проблема в целом рынка ИБ, а не только в РФ.
vilgeforce
Думаю, что правильнее было бы написать "в российскую окологосударственную ИБ". А ей, как вы понимаете, все не ограничивается...