В жизни каждого HR-а рано или поздно встречается ОН… Безопасник! И как подступиться к хантингу людей на эту позицию - обычно, бывает непонятно.

Дело в том, что безопасник – редкий зверь. Обычно, их в ИТ-компании нанимают из расчёта 1 человек на 80-150 сотрудников. В не-ИТ компаниях это соотношение ещё меньше. А ведь безопасность – очень неоднородная область, в которой существует куча направлений. И специалисты из этих направлений, часто имеют околонулевой опыт в другом направлении безопасности. Плюс ко всему, при составлении резюме на русском часть безопасников пользуется языком Российско-гостовой безопасности, часть использует международные термины, что тоже добавляет головной боли рекрутёрам.

Как итог – ко мне нередко приходили HR с предложением рассмотреть вакансию, не относящуюся к моему профилю, знакомые HR-ы просили проконсультировать, да и на текущем месте работы ко мне приходил HR c вопросами «На что, вообще, смотреть, когда резюме отсматриваю?» Тут к ребятам претензий никаких – когда впервые ищешь спеца в том или ином направлении, вполне резонно возникает куча вопросов. А ИБ - сфера, в плане найма, очень специфическая и имеет множество подводных камней - недаром во многих крупных странах Security Recrutier, уже начинает восприниматься, как отдельная профессия.

Поэтому, я решил попробовать создать такой гайд для HR-ов, не сталкивавшихся с наймом ИБ-шников – какие направления в ИБ бывают, на что обращать внимание при просмотре резюме, какие скиллы и опыт нужны на ту или иную позицию, переход с какого направления на какое будет безболезненным и т.д.

За ревью статьи со стороны рекрутёров спасибо Михаилу Демидкову

Сразу сделаю несколько оговорок и пояснений:
  • Хотя все разделы я попросил отревьювить специалистов, погружённых в соответствующее направление, любые правки и дополнения - приветствуются.

  • Эта статья ни в коем случае не претендует на положение истины в последней инстанции и инструкции для рекрутёров, регулярно занимающихся поиском безопасников. Скорее, это такое общее введение в хантинг безопасников для тех, кто совсем не знаком с данной темой. Поэтому, тут я не планирую рассматривать такие направления в информационной безопасности, которые есть только в ИБ-шных компаниях и в регулирующих деятельность ИБ органах. В них, обычно, рекрутёры достаточно глубоко погружены в контекст и ориентируются в вопросе, думаю, лучше меня.

  • Не по всем направлениям есть устоявшиеся наименования специальностей, иногда одни и те же названия применяются к разным позициям. Поэтому, я постараюсь привести весь список вариантов заголовков резюме/вакансий. С другой стороны – есть много достаточно близких позиций, которые пришлось объединить в одну группу, чтобы не увеличивать объём, и так, немаленькой статьи.

  • Первый пункт в описании каждой позиции – «скиллы/теги» - это такие якорные точки, за которые HR может зацепиться, просматривая резюме. Совсем не обязательно наличие полного списка в резюме кандидата, но, чем большее соответствие – тем лучше.

  • Не у всех направлений есть хорошие сертификации. Но, там, где они есть – постараюсь указать наиболее релевантные для позиции. С более полным перечнем можете ознакомиться по ссылке - https://pauljerimy.com/security-certification-roadmap/ Сертификации буду указывать общие для направления. Как для ролей уровня Junior, так и Senior. Если решите составлять вакансию, опираясь на эту статью - просьба смотреть, какие подходят, именно, для вашей роли.

  • Переход между отдельными направлениями ИБ вполне возможен, как и поиск сотрудников в не-ИБ-областях с релевантным опытом. Но, чтобы этот переход был комфортен и для сотрудника, и для компании - переход этот нужно совершать аккуратно. Поэтому, для каждой специальности я так же укажу наиболее комфортные позиции для перехода на неё.

  • Знак “/” в рамках статьи использован для того, чтобы показать, что перечисленное ПО, оборудование и названия специальностей можно рассматривать в связке. Это названия, одного и того же, принятые в русскоязычной и англоязычной среде. Это грейды в рамках одного направления. Это специальности, переход между которыми будет максимально простым и т.д.

Навигация по статье

Cybersecurity Specialist / Information Security Specialist /Security Administrator / Специалист по информационной безопасности/ Администратор по информационной безопасности.

Скиллы/теги: администрирование сетей (межсетевой экран / firewall, VPN, удалённый доступ, IPS / IDS / система обнаружения вторжений / система предотвращения вторжений), антивирус, DLP / СЗИ от НСД (Средство Защиты Информации от Несанкционированного Доступа), внедрение средств защиты, администрирование операционных систем - Windows, Linux, MacOS (в зависимости от используемых в компании), реагирование на инциденты, опыт пентеста, участие в CTF, hackthebox, tryhackme, администрирование SIEM (чем больше компания, тем критичнее), знание базовых нормативных актов (Для РФ - ПП 1119, 152-ФЗ… Для мирового рынка - GDPR, ISO 27001, NIST… Для финтех-компаний – PCI DSS).

Сертификации: любые сертификации по ИБ других специальностей из этой статьи.

Наиболее простой переход из ролей: специалист тех.поддержки, системный администратор, DevOps, другие направления ИБ из этой статьи, кроме AppSec и Web3-security researcher.

Начнём с базовой роли, к которой приходят все компании, когда преодолевают планку в 100-150 сотрудников. В этот момент в компании появляются первые специалисты по информационной безопасности и до момента, когда команда достигает 3-4 человек, строгой дифференциации ролей Иб-шников, обычно, в ней не бывает – ищут мастеров на все руки. На этой позиции человек, часто, и новые средства защиты внедряет, и события безопасности мониторит, и пентест проводит, и на соответствие законодательству документацию и информационные системы компании проверяет. С одной стороны – знания нужны максимально широкие. С другой – эти знания могут быть не на таком высоком уровне, как на других позициях. Поэтому, эта позиция, часто, является точкой входа в профессию из других специальностей, на неё достаточно легко переходят специалисты из разных направлений ИБ, но и с неё можно уйти в более узкую специализацию.


SOC-engineer / SOC L1 / SOC L2 / SOC L3 / Security Operations Engineer / SOC Analyst / SIEM Engineer / Incident Response Specialist / Threat Detection Engineer / Defensive security engineer / Security Monitoring Specialist / Blue team engineer / Специалист по реагированию на инциденты / Администратор SIEM

Скиллы/теги: знание операционных систем - Windows, Linux, MacOS (в зависимости от используемых в компании), чтение логов, реагирование на инциденты, расследование инцидентов, администрирование SIEM, SOAR, IRP, лог-коллекторы и системы мониторинга (Syslog, Zabbix, Grafana и т.д.), использование плейбуков, администрирование средств защиты информации (межсетевые экраны / firewall, Anti-DDoS, IPS / IDS / система обнаружения вторжений / система предотвращения вторжений, DLP / СЗИ от НСД / Средство Защиты Информации от Несанкционированного Доступа, антивирусы), базовые знания языков программирования (обычно используется python) и скриптовых языков (bash, powershell), базовые знания сетей и сетевых протоколов, tryhackme, cyberdefenders, letsdefend.io.

Сертификации: для РФ – вендорские сертификаты SIEM-систем. На мировом рынке – SSCP, CompTIA Security+, CCOA, GSEC, GSOC, CCD, CSA, CTIA, ECIH

Наиболее простой переход из ролей: DevOps, Cybersecurity Specialist (Специалист по информационной безопасности), Cybersecurity System Engineer (инженер по информационной безопасности), Monitoring Engineer.

Это тот случай, когда под флагом «Обнаружения и реагирование на инциденты» пришлось объединить всё. В целом, специалисты в этом направлении – люди тоже довольно универсальные, так как им приходится иметь представление о всех средствах защиты информации, логи с которых они анализируют. А, если компания не закупает услуги по внедрению этих средств на аутсорсе, то и настраивают эти СЗИ, часто, сами безопасники. Но, при всём при этом, главным скиллом для этого направления является, конечно, аналитическое мышление, способность анализировать логи, вовремя обнаруживать инциденты и реагировать на них.

За ревью раздела спасибо Вячеславу Третьякову


Pentester / Penetration tester / Red team engineer / Offensive security engineer / White hat engineer / Vulnerability Management Engineer /  Ethical hacker / Пентестер / Специалист по тестированию на проникновение / Специалист по управлению уязвимостями / Специалист по анализу уязвимостей / Специалист по поиску уязвимостей / Этичный хакер

Скиллы/теги: знание серверный операционных систем - Windows, Linux (в зависимости от используемых в компании), базовые знания сетей и протоколов (не только сетевых), Kali Linux, Parrot OS, сканеры уязвимостей, системы контроля и анализа защищенности, поиск уязвимостей, управление уязвимостями, базовые знания языков программирования (обычно используется python) и скриптовых языков (bash, powershell), участие в CTF, Bug Bounty, hackthebox, tryhackme, Standoff365, социальная инженерия, social engineering, OSINT, OWASP Top 10, CVE, БДУ ФСТЭК.

Сертификации: для РФ – нет. На мировом рынке – CompTIA PenTest+, CEH, GPENT, GWAPT, GXPN, GCPN, GEVA, OSCP.

Наиболее простой переход из ролей: QA, Системный администратор / Software Engineer / Cybersecurity Specialist (Специалист по информационной безопасности), Cybersecurity Engineer (Инженер по информационной безопасности), System Engineer (Системный инженер), OSINT-специалист.

Опять же, специалисты с достаточно широким перечнем скиллов, так как для того, чтобы ломать какие-то системы, видеть в них уязвимости, надо быть знакомым с этими системами.

Самое известное направление ИБ, о котором снимают фильмы, сериалы, делают игры. Популярность направления принесло в него немало особенностей, о которых стоит знать рекрутёрам. 

  1. Большое число онлайн-школ за последние пару лет открыли курсы по этому направлению, так что, вот-вот стоит ожидать потока джунов, как на позиции QA или по программированию.

  2. Это то направление ИБ, в котором есть свои признанные “хакатоны” - CTF. Участие в них достаточно высоко ценится. в проф.среде. Но, стоит учитывать, что умение решать CTF задачи - это что-то сравни умению решать олимпиадные задачи по программированию - повышает вероятность того, что человек будет делать работу качественно, но совсем не гарантирует, что он сможет применить “олимпиадные” скиллы в реальной “боевой” обстановке.

  3. Есть признанные на мировом уровне площадки для тренировки, вроде hackthebox и tryhackme. На мировом рынке ссылки на аккаунты с этих площадок, часто вставляют в резюме, на свои страницы Ln и т.д. Особенно часто это делают джуниор-специалисты. В РФ локальные площадки обретают всё большую популярность, но большинтсво из них публичную статистику аккаунтов не предоставляет – прикладывать ссылку на него пока возможности нет.  Наверное, самая близкая аналогия для тех, кто хантил программистов - это LeetCode. Опять же, это, как и CTF, что-то близкое к олимпиадным задачам.

  4. Для специалистов этого профиля есть своеобразные фриланс-площадки - Bug Bounty программы, в которых различные компании предлагают сотрудникам, не состоящим в их штате, искать уязвимсоти в продуктах этих компаний. Наиболее известные площадки – HackerOne, Bugcrowd, Synack, Intigriti. В РФ, пожалуй, самой крупной на данный момент является площадка от Positive Technologies - bugbounty.standoff365.com


System Engineer / Network Security Engineer / Endpoint Security Engineer / Cloud Security Engineer / Implementation Engineer / Системный инженер / Специалист по сетевой безопасности / Специалист по безопасности конечных устройств / Специалист по безопасности облаков / Специалист по внедрению средств защиты информации

Скиллы/теги: администрирование операционных систем - Windows, Linux, MacOS (в зависимости от используемых в компании), знания сетей (межсетевой экран / firewall, VPN, удалённый доступ, IPS / IDS / система обнаружения вторжений / система предотвращения вторжений), антивирус, DLP / СЗИ от НСД (система защиты информации от несанкционированного доступа), внедрение средств защиты информации, знание продукции конкретных производителей - вендоров средств защиты информации (список очень обширный, тут придётся уточнять у команды, знания продукции какого вендора в приоритете).

Сертификации: для РФ – вендорские сертификаты СЗИ (Большинство крупных производителей СЗИ проводят сертификацию по знанию своих продуктов. Так как продуктов куча - все сертификаты сюда не влезут) и облаков. На мировом рынке – SSCP, CISSP, ISSAP, CompTIA Security+, CompTIA SecurityX (CASP+), CND, CISA, CISM, CCNA, вендорские сертификаты СЗИ и облаков (Про вендорские сертификации можете подробнее глянуть тут).

Наиболее простой переход из ролей: Cybersecurity Specialist (Специалист по информационной безопасности), Cybersecurity Engineer (Инженер по информационной безопасности), Implementation Engineer (Специалист по внедрению - не обязательно СЗИ).

Опять же, тут много что пришлось смешать в одну кучу - перечисленные специальности, понятно, занимаются разными технологиями, но подход к их хантингу плюс-минус одинаковый. Да и в компаниях все эти должности, часто, не мудрствуя лукаво называют одинаково. Например, “Системный инженер”.

Тут возможны два варианта:

  1. Человек будет работать в интеграторе и заниматься, в первую очередь, внедрением средств защиты информации.

  2. Человек будет работать инхаус, обеспечивая поддержку средств защиты информации в рамках компании.

В обоих вариантах сотрудник, обычно, специализируется на определённом типе средств защиты информации (СЗИ для конечных устройств, сети или облаков) и, часто, даже на конкретном вендоре. Поэтому, в первую очередь ценится, конечно, наличие опыта работы с ПО/оборудованием данного вендора и сертификаты, подтверждающие этот опыт.


Compliance Specialist / Cybersecurity Manager / Data Protection Officer / Методолог информационной безопасности / Менеджер по информационной безопасности / Аудитор по информационной безопасности

Скиллы/теги: знание нормативных актов (Причем, набор необходимых нормативных актов зависит от специфики компании. Полный список - огромен. Поэтому, чуть ниже приведу базовый джентельменский набор со ссылкой на более полный перечень для РФ (Есть ещё вот такая регулярно обновляемая статья на Хабре, можно поглядывать в неё, но я не думаю, что кто-то будет указывать такой подробный перечень. Хотя… кто знает?). И пожелаю вам удачи, если вы ищете такого специалиста на международном рынке, так как там у каждой страны перечень свой).

Нормативные акты: Для РФ - ПП №1119, 152-ФЗ, Приказ ФСТЭК №21, Приказ ФСТЭК №17, Приказ ФСТЭК №239, ПП №127, 187-ФЗ, ГОСТ 57580, 572-ФЗ, Приказ ФСБ России №378… Для мирового рынка - GDPR, CSA, DORA, ISO 27001, ISO 27002,  ISO 27003, NIST, SOC2… Для финтех-компаний – PCI DSS

Сертификации: для РФ – нет. На мировом рынке – SSCP, CGRC, ISSAP, CISA, CISM, GDEIT, CompTIA Security+, CompTIA SecurityX (бывший CASP+).

Наиболее простой переход из ролей: юрист, системный администратор, DevOps, другие направления ИБ из этой статьи, кроме AppSec и Web3-security researcher.

Пожалуй, самое неуниверсальное (в плане географии) направление в ИБ. Опыт человека здесь целиком завязан на знание законодательства конкретной страны, а в плане законодательства по ИБ многие страны в последние годы запустили бешеный принтер. Поэтому, если вам не повезёт искать специалистов по этому направлению одновременно сразу в РФ, ЕС и США, например - это будет три совсем разных истории. Да, безусловно, законодательство большинства стран в сфере ИБ строится на похожих принципах, и, если человек умеет грамотно работать с законодательством, он сможет переключиться с одного рынка на другой, но на изучение даже основных критичных особенностей может уйти немало времени. 

Плюс, учитывая количество законодательства, которое генерируется по ИБ, этот вид безопасников дополнительно разделяется по типам защищаемой информации. В той же РФ список необходимой для изучения документации при защите персональных данных, банковских и медицинских систем, гостайны, государственных информационных систем и критической информационной инфраструктуры очень разный.

При этом, да - хоть технические навыки в этой роли и требуются, они тут не так важны, как в остальных направлениях. Поэтому, в отдельных случаях может быть проще и полезнее рассмотреть человека с юридическим опытом, а не безопасника-технаря, особенно, если он из-за рубежа. В первую очередь это, конечно, относится к маленьким странам, не входящим в ЕС с небольшим числом безопасников на рынке труда, хотя и в условной РФ эта позиция может быть неплохой точкой входа в ИБ для человека с юридическим бэкграундом. 

Однако, и переход с других направлений кибербеза в комплайенс и обратно вполне реален, так как какой бы технической роль не была у человека, работая в ИБ от работы с законодательством – никуда не денешься.


AppSec / Application Security Engineer / Application Security Analyst / Специалист по безопасности приложений

Скиллы/теги: DevOps, CI/CD, SDL / SDLC, IAST ( Interactive application security testing), SAST (Static Application Security Testing), DAST(Dynamic Application Security Testing), Single Point of True, знание языков программирования (в зависимости от тех, которые используются в компании) и их основных фреймворков, code review, OWASP Top 10, OWASP SAMM, BSIMM, design review, анализаторы кода.

Сертификации: для РФ – нет. На мировом рынке – CSSLP, CASE, WAHS.

Наиболее простой переход из ролей: Software Engineer, Security Champion (разработчик, ответсвенный за взаимодействие с AppSec-командой), QA, Project Manager, DevOps, DevSecOps, Pentester, Blockchain Security Researcher.

Application Security Engineer - это человек, который занимается не защитой инфраструктуры компании целиком, а отвечает за безопасность продуктов, разрабатываемых компанией.

Несмотря на большой перечень технических скиллов и слово Engineer в английском наименовании профессии, роль AppSec-а, во-многом, менеджерская. Когда в компании появляется первый AppSec, его основная цель - выстроить процессы и встроить безопасность в процесс разработки. Технических задач у AppSec-а всегда хватает, но помимо, собственно, поиска уязвимостей в коде, он занимается ещё и обучением команды, и перестройкой дизайна приложения, например.

Поэтому, хорошими AppSec-ами часто становятся не только программисты или QA, имеющие опыт написания безопасного кода, поиска проблем с безопасностью и проведения code review, но и Project Manager-ы, обладающие архитектурным видением, способные помогать перестраивать дизайн разрабатываемых приложений так, чтобы снижать вероятность появления уязвимостей.

Сертификации для AppSec-а имеются, в том числе и от признанных на мировом уровне компаний, сертифицирующих ИБ-специалистов, но они не так сильно котируются, как сертификации в других направлениях ИБ (плюс, как можете заметить, их существует сильно меньше, чем по другим специальностям)

За ревью раздела спасибо Максиму Мосарову


DevSecOps / SecDevOps / DevOpsSec

Скиллы/теги: DevOps, AppSec-платформы, сканеры уязвимостей, GitLab, Docker, Kubernetes, CI/CD, SDL / SDLC, IAST ( Interactive application security testing), SAST (Static Application Security Testing), DAST(Dynamic Application Security Testing),  RASP (Runtime application self-protection), SCA (Software Composition Analysis), Валидация уязвимостей, Дупликация уязвимостей, OWASP Top 10, знания языков программирования (обычно используется python) и скриптовых языков (bash, powershell).

Сертификации: для РФ – нет. На мировом рынке – CSSLP, ECDE.

Наиболее простой переход из ролей: DevOps, AppSec (Специалист по безопасности приложений).

Обычно, DevSecOps-а определяют, как AppSec-а с техническим уклоном. Если AppSec - больше менеджерская роль, то DevSecOps, в основном, техническая. Он появляется в команде, обычно, после AppSec-а и старается автоматизировать процессы, внедрённые им. Однако, в бязанности девсека, часто, тоже входит и обучение команды по написанию безопасного кода.

Как и в случае с AppSec-ами, сертификации для DevSecOps-специалистов имеются, в том числе и от признанных на мировом уровне компаний, сертифицирующих ИБ-специалистов, но они не так сильно котируются, как сертификации в других направлениях ИБ (плюс, как можете заметить, их существует сильно меньше, чем по другим специальностям).

Ещё хочется обратить внимание на варианты наименования этой позиции. Как можете догадаться, наименование позиции - это добавление к DevOps (Development, Operations) ещё и Sec - Security. Оговорюсь, что это далеко не 100% правило (иногда выбор того или иного варианта - это просто региональная особенность), но часто, положение этого Sec в названии позиции в конкретной компании определяет приоритеты в задачах у специалиста. То есть, DevOpsSec - это, в первую очередь, DevOps, SecDevOps - безопасник, а, чаще всего встречающийся вариант DevSecOps - баланс между тем и другим.

За ревью раздела спасибо Максиму Мосарову


Blockchain Security Researcher / Web3 Security Researcher / Blockchain Security Engineer / Web3 Security Engineer / Web3 Security Analyst / Blockchain Security Analyst, Smart Contract Security Engineer / Smart Contract Auditor

Скиллы/теги: blockchain, смарт-контакты, smart-contracts, web3, web 3.0, DevOps, CI/CD, SDL / SDLC, IAST ( Interactive application security testing), SAST (Static Application Security Testing), DAST(Dynamic Application Security Testing), Single Point of True, знание языков программирования (в зависимости от тех, которые используются в компании - как базовых, типа Python, так и используемых для смарт-контрактов - например, Solidity/RUST/GO/Vyper) и их основных фремворков, code review, OWASP Top 10, OWASP SAMM, BSIMM, design review, анализаторы кода, Bug Bounty, CTF, хакатоны.

Сертификации: нет.

Наиболее простой переход из ролей: Blockchain Engineer, Cybersecurity Specialist, Cryptography Researcher, Cryptographer, AppSec, DevSecOps, Pentester.

Чаще всего, даже когда в заголовке позиции стоит “web3”, а не просто “blockchain”, речь идёт, именно о последнем - в остальных направлениях web3 позиции безопасников ближе к классическим и не имеют настолько ярко выраженных особенностей (разве что, применительно к безопасности нейросетей в последние годы люди стали задумываться об утечках через их выдачу). Поэтому, ниже речь пойдёт, именно об этом направлении. 

Подходов к позиции может быть несколько - обычно, они зависят от размера компании. 

Если мы говорим про относительно крупные (для крипто-стартапов) команды, то в них, обычно, есть отдельный “общий” безопасник (Cybersecurity Specialist), а Blockchain Security Engineer выполняет роль DevSecOps-инженера с уклоном в web3. Для этой позиции (помимо стандартных скиллов  DevSecOps-а) важным будет понимание blockchain-технологий, в целом, и смарт-контрактов, в частности. В таком случае, за счёт специфики профессии, человек из blockchain-сферы с опытом разработки смарт-контрактов подойдёт даже больше, чем любой безопасник из-за пределов web3. За исключением, разве что, AppSec и DevSecOps. Ну и, возможно, в некоторых случаях, Pentester-а.

Если компания растёт ещё сильнее, то эта роль может ещё сильнее раздробиться, и из неё выделится роль Pentester-а смарт-контрактов. Тут навыки будут схожими с Pentester-ами из “классической безопасности”, но, разумеется, так же добавится необходимость работы с Web3-технологиями. Для этого направления пентеста также существуют свои CTF и BugBounty-платформы. Но для этой роли переход из “классической” ИБ (например, Web2-пентеста) будет уже не таким болезненным. Особенно, если он уже имел какой-то опыт работы с web3-технологиями - например, участия всё в тех же CTF-ах или программах BugBounty под Web3.

Если же речь идёт о небольшой компании, в которой на плечи сотрудника, помимо обязанностей по обеспечению безопасности smart-контрактов ляжет ещё и роль классического безопасника (Cybersecurity Specialist), а идеально-подходящего спеца найти не удастся, то тут уже вам придётся решать, что для вас критичнее в его скиллах и какого специалиста брать - безопасника или спеца по web3 - так или иначе, какую-то часть ему придётся в ускоренном темпе навёрстывать.


Площадки для поиска специалистов

С направлениями закончили, теперь давайте пройдёмся по ресурсам для хантинга (не HH единым, так сказать…)

https://t.me/dubaicybersec - русскоязычный канал с вакансиями ИБ. Ресурс не очень живой, но иногда воскресает

https://cyberr.ai/ - сайт с вакансиями ИБ-специалистов

https://startup.jobs/ - вакансии в стартапах

https://web3.career/ - вакансии для Web3-сферы

https://www.notion.so/aleksei-pyrinov/Remote-and-relocation-job-TG-channels-59920fdbb6a64a8f9ea3789103fcb951 - большая подборка ТГ-каналов и ботов с удалёнкой и релокацией

Теперь по РФ. 

https://t.me/RuSecJobs и https://t.me/CyberJobsRussia - крупнейший канал с ИБ-вакансиями и чат к этому каналу. С приходом новой администрации публикации вакансий стали платными, а за слова о том, что джуны не могут зарабатывать по 10к$ в месяц теперь можно получить бан, но это всё ещё крупнейшие площадки с ИБ-вакансиями в РФ, не привязанные к hh…

https://t.me/cvcyber - чат с резюме специалистов от создателей канала выше.

https://t.me/ptcareerhub - канал для ИБ вакансий от компаний “дружественных Positive technologies”. Что создатели вкладывают в термин “дружественные компании” - сказать сложно, но канал немаленький, вакансии периодически публикуются

https://t.me/hackdevjob и https://t.me/infosec_work - в основном, репосты вакансий с прочих площадок, но, думаю, можно договориться и о размещении непосредственно в канале.


Ну и напоследок пара личных ссылок...

Подборка материалов по старту карьеры в Информационной безопасности

Мой телеграм-канал

Комментарии (4)


  1. Shaman_RSHU
    05.11.2024 18:23

    И где же тут самый главный - CISO? Можно захантить самого крутого Специалиста по сетевой безопасности. Он сможет настроить любые вещи на межсетевом экране, решить все проблемы с доступностью. Но кто ему скажет, какие именно настройки проводить? Кто рассмотрит совместно с бизнесом все риски?

    Или до сих пор считается, что командой безопаников должен рулить Руководитель ИТ, бывший "КГБшник" или любой другой ТОП, который не владеет профессионально информацией о современных угрозах и как их можно применить на бизнес-процессы Компании? Умные кандидаты ИБ, без особой нужды, не пойдут в такую компанию.


    1. fiexagon Автор
      05.11.2024 18:23

      Каюсь! Упустил! Надо будет дополнить)


      1. Shaman_RSHU
        05.11.2024 18:23

        Это тема отдельной статьи :)


  1. andrettv
    05.11.2024 18:23

    Если есть желание более системно разобраться в том, какие бывают безопасники, предлагаю начать с карты компетенций. Наиболее известная - NIST NICE, я недавно писал о ней здесь. В ней более 50 ролей, каждая из которых состоит из своих задач, навыков и знаний. В зависимости от масштаба компании один специалист может выполнять как несколько ролей сразу, так и часть одной роли. Также можно посмотреть европейскаюую ECSF, состоящую всего из 12 ролевых профилей. В любом случае, у каждой организации своя специфика, и найти готовые описания ролей не получится. Можно воспользоваться каким-то фреймворком как конструктором и собрать из него то, что требуется конкретному бизнесу, адаптируя и добавляя недостающее. Например, роль MLSecOps вы пока там не найдёте. Но уже есть DevSecOps, и добавляя к его требованиям конвейер Continuous Training с DataOps получается что-то похожее на нужную роль.