26.07.2016 10:37
lukasafonov 22 15400 Источник


Несмотря на высокую популярность профессии, обилие информационных ресурсов и материалов в открытом доступе рынок испытывает нехватку квалифицированных кадров, особенно связанных с практической информационной безопасностью.

В данной статье будет раскрыта тема востребованности специалистов по информационной безопасности, специфика требований и навыков.


Cтатистика


По статистике одного из HR-агенств, специалистам по информационной безопасности в конце 2015 г. предлагали в среднем на 21% больше, чем в январе 2015 г. Это указывает на то, что даже в условиях кризиса квалифицированные специалисты востребованы, более того, рынок ощущает их нехватку.

Действительно, тема информационной безопасности стала как никогда актуальной — это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.

Даже те компании, штат которых укомплектован специалистами по информационной безопасности, нуждаются в квалифицированной оценке зрелости защитных систем, безопасности периметра, веб-приложений и иных элементов инфраструктуры — показательно всё увеличивающееся количество инициаторов BugBounty программ, причём сумма выплат колеблется от $100 до $20000 за уязвимость.

Вакансии


Исходя из данных, представленных на сайтах по размещению вакансий средний уровень заработной платы специалистов по информационной безопасности с опытом 1-3 года находится на уровне 40.000-70.000 рублей. Это относится к специалистам начальной группы (junior), с малым опытом работы, по профессиональным требованиям и обязанностям это хорошо видно (здесь и далее представлены «усреднённые» показатели):

Обязанности:
  • Администрирование межсетевых экранов Cisco ASA и Kerio Connect;
  • Администрирования сервера антивирусной защиты, мониторинг состояния клиентов, удаление вирусов, тонкая настройка защиты;
  • Поиск уязвимостей с помощью специализированного ПО и их устранение;
  • Мониторинг выхода обновлений для ОС, ПО и сетевого оборудования;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Периодический анализ логов.

Требования:
  • Опыт администрирования ОС Windows от 1-го года;
  • Базовые знания ОС Linux от 1-го года, уверенная работа в командной строке;
  • Базовые знания работы сетей. IP адресация, статическая маршрутизация, модели ISO OSI, TCP;
  • Опыт администрирования Active Directory: настройка групповых политик(GPO), управление правами пользователями;
  • Опыт настройки систем защиты от НСД на базе Windows;
  • Опыт настройки антивирусных систем;
  • Опыт разработки сложных конфигураций межсетевого экрана IPTables;
  • Умение настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.

Как видно из описания это скорее системный администратор с уклоном в ИБ, нежели «чистый» безопасник. Какую-то определенную конкретику в навыках выделить сложно. Кто ищет кандидатов — компании любой направленности, выделить область сложно.

Специалисты с опытом 3-6 лет относятся уже к middle. Навыков и опыта требуется больше, но и уровень заработной платы гораздо выше. Эти специалисты, как правило, имеют хороший технический бэкграунд (системное администрирование, поиск узявимостей), хорошо знают приложения, техники и методологию. Этих специалистов условно можно разделить на два направления — нападение и защита. Универсалов на этом уровне (пентестер + специалист по обеспечению ИБ) — практически не бывает в природе (либо это уже уровень senior). Средняя вилка — 70.000-100.000 рублей.

Специалист по защите информации:

Обязанности:
  • Настройка и управление подсистемами безопасности;
  • Управление инцидентами безопасности;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Анализ логов-файлов и журналов событий;
  • Участие в сопровождении IT-инфраструктуры Заказчика: обеспечение информационной безопасности и защиты персональных данных;
  • Мониторинг и контроль функционирования средств обеспечения ИБ;
  • Поддержка работоспособности, администрирование и обеспечение бесперебойной работы специальных средств защиты информации;
  • Внесение изменений в настройки средств обеспечения безопасного межсетевого взаимодействия при обнаружении признаков атаки на ВС;
  • Контроль нештатной активности внутренних пользователей ВС;
  • Анализ инцидентов ИБ и их решение;
  • Проведение аудитов, подготовка организационно-распорядительной документации и отчетов по ИБ.

Требования:
  • Высшее образование (ИТ, информационная безопасность);
  • Знание принципов построения и функционирования сетей и протоколов стека TCP/IP;
  • Знание модели ISO/OSI;
  • Понимание принципов компьютерной и сетевой безопасности, безопасности web- приложений;
  • Знание принципов работы средств обеспечения безопасности (корпоративные антивирусы,WAF, системы обнаружения вторжений и т.д.);
  • Windows и Linux на уровне администратора;
  • Опыт автоматизации (bash, perl, python);
  • Опыт проведения анализа защищенности;
  • Профессиональные знания используемого в инфраструктуре работодателя профильного ПО (от корпоративных антивирусов до DLP/IDS/IPS/SIEM и т.д).

Пентестер:

Обязанности:
  • Выполнение тестирования информационных сред и программных продуктов компании;
  • Тестирование информационных систем на отказоустойчивость;
  • Инструментальный анализ информационных систем;
  • Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
  • Тестирование на проникновение;
  • Анализ безопасности исходных кодов программных продуктов.

Требования
  • Опыт работы по выявлению уязвимостей систем;
  • Опыт работы с Burp Suite, Hydra;
  • Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
  • Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
  • Знание принципов построения и работы веб-приложений;
  • Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
  • Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
  • Опыт проведения тестирования на проникновение;
  • Опыт проведения аудита систем ИТ и ИБ.

В требованиях к таким специалистам больше конкретики, заточенной на область применения в той или иной сфере, включая методологии и тип используемого программного обеспечения. Таких специалистов ищут представители e-commerce, финансового сектора, интеграторы, крупные/распределенные ритейл-компании и т.д.

Cпециалисты с опытом работы от 5-6 лет — senior. Как правило это руководящая должность — начальник отдела анализа защищенности; начальник отдела управления информационной безопасности; аналитик; крупный сейл ИБ-вендора; узскопециализированный пентестер. Уровень заработной платы от 120.000 до 200.000 рублей.

Людей из этой категории довольно мало, и, как правило, они «на слуху» в отрасли. Это специалисты, хорошо разбирающиеся в предметной области, и, как правило, имеющие экспертную квалификацию в узкой специализации. Приветствуется опыт выступления на конференциях либо другая общественная активность — значит кандидат следит за трендами и получает своевременную оценку профессионального сообщества.

Из требований здесь встречаются следующие:
  • Высшее ИБ/ИТ образование;
  • Наличие сертификатов;
  • Наличие публикаций и статей в предметной области;
  • Опыт публичных выступлений;
  • Знание основных методик, классификаций и международных практик (OSSTMM, OWASP, WASC, NIST SP800-115 и др.);
  • Навыки выявления угроз ИБ на основе сведений об уязвимостях (классификация угроз, формирование рекомендаций по устранению уязвимостей и минимизации бизнес-рисков);
  • Знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов РФ, регулирующих отношения, связанные с защитой информации ограниченного доступа (не относящейся к гостайне), руководящих документов ФСТЭК, ФСБ, в том числе по защите банковской тайны, АСУ ТП, коммерческой тайны, знание СТО БР ИББС, PCI DSS, ISO 27xxx;
  • Английский язык;
  • Наличие лидерских качеств, умение добиваться поставленных целей, инициативность, активность, навыки самоорганизации, ответственность;
  • Умение программировать на одном или нескольких скриптовых языках;
  • Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks и Cisco ASA. и т.д);
  • Экспертные знания в узкоспециализированных системах: (например SCADA/ERP/SS7/Hardware);
  • Опыт разработки собственных средств/утилит/методик;
  • Опыт разработки технической и аналитической документации;
  • Опыт проведения статистических исследований;
  • Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика;
  • Опыт участия в крупных проектах по анализу защищенности или аудиту информационной безопасности.

Требования представлены в усредненном варианте для вышеперечисленных специалистов. Профессиональные навыки соискателя, как правило, известны и таких людей «хантят» не под определенную задачу, а под целый этап или уровень жизнедеятельности компании. Такого рода специалисты востребованы в финансовой сфере, ИТ-интеграторах, ИБ-вендорах, крупных ИТ-компаниях.

Вершина пирамиды (lead) — специалисты с опытом от 10 лет. К этой категории относятся CTO, CISO, системный архитектор, team lead. Уровень зарплаты от 200.000. Как правило, это известные люди в отрасли информационной безопасности, с обширным опытом и связями.

Требования/навыки: здесь обычно смотрят на выполненные проекты, направление деятельности. По навыкам могут запросить полный список с предыдущих позиций (а он обычно обширный к этому этапу), либо просто будет указан необходимый результат работы. В случае этих позиций смотрят уже не на знания, а на достижения.

Такие специалисты требуются крупным интеграторам, ИБ-вендорам, крупнейшим технологическим компаниям, финансовой сфере, в государственном секторе.

Подводя итоги


Защита информации для участников рынка становится одной из приоритетных задач. Обеспечить такую защиту только автоматизированными средствами, практически невозможно. Востребованность специалистов в сфере ИБ растет с той же скоростью, с которой развиваются и сами информационные технологии.

Проблема образования и дальнейшего трудоустройства заключается в извечной проблеме «нет работы, потому что нет опыта, потому, что нет работы…» и читать эту фразу можно по кругу бесконечно. Общепризнанный факт, что диплом сам по себе не дает приоритета. К моменту выпуска бОльшая часть знаний уже не котируется.
Наиболее быстрый и удачный выход из ситуации – самообразование. Изучение последних тенденций посредством специализированных курсов, который проводят специалисты с более чем 10-летним стажем работы в области практической ИБ. На курсах «Корпоративные лаборатории» мы поможем получить и применить нехватающие знания, и, как следствие, повысить уровень практических навыков и востребованность на рынке труда.

Оставаться годами junior или стремиться и дорасти до lead – личный выбор каждого.
Поделиться с друзьями
-->

Комментарии (22)


  1. vilgeforce
    26.07.2016 13:46
    #9716068
    +1

    Ни слова про Olly, IDA, Hiew. Странная ИБ какая-то…


    1. LukaSafonov
      26.07.2016 13:55
      #9716096
      +2

      Требования усредненные. АВ сектор тут слабо представлен, но требования обычно чуть выше, даже для т.н. «дятлов».


    1. nuclear_skillet21011
      26.07.2016 17:42
      #9716592

      Поддерживаю проходил несколько раз интервью на позицию — security officer и всегда спрашивали про опыт работы с radare2/IDA/Olly — IDA просто must have. Просят что-нибудь дизассемблировать на интервью( один раз вообще прям тут же свеже-криптованную адаптацию Zevs`a под android, на почту, письмом скидывают, вообщем интересные интервью на этих позициях.)

      В статье набор требований для junior и middle не похож на настоящий( для западного рынка крайней мере). Тут скорее имелся ввиду админ-безопасник для средне-статистического российского банка.

      Да также про X-Spider, Max-Patrol на западе мало кто слышал. Без обид ребята.


      1. LukaSafonov
        26.07.2016 17:42
        #9716596
        +5

        Требования и навыки взяты с сайтов по размещению вакансий, что указывают работодатели/HR — то я и указал в статье.


        1. nuclear_skillet21011
          26.07.2016 17:47
          #9716610
          +2

          И на том спасибо. Жаль плюсик поставить не могу.


  1. HatsuneAkeno
    26.07.2016 14:09
    #9716122
    +7

    Боже, на каком я до сих пор дне… сколько еще всего учить. Спасибо за статью.


  1. Zed_IVC
    26.07.2016 15:27
    #9716258

    Я может быть не увидел, а где РП? У интеграторов Пи-Эмы занимаются проектами, а не «Вершина пирамиды (lead)»…


    1. Zwerg
      26.07.2016 16:42
      #9716414
      +1

      ПиЭмы в общем случае знают только методологию работы с проектом, продвижения проекта по фазам, планирование и бюджетирование. Опять же, как правило, они понятия не имеют о конкретных рисках, угрозах, атаках и защите, и имеют исключительно общее представление об ИБ — на уровне CISM. Менеджер проекта это не техническая должность. Хорошо когда ПиЭм вырос из аналитика ИБ, но это дорога в чистое управление, и путь к утрате любых технических знаний в сфере ИБ.


      1. Zed_IVC
        26.07.2016 16:56
        #9716460

        Но профессия ПиЭм в ИБ тоже существует… Теперь я понял, что статья ориентирована только на техническую сторону профессий в ИБ. Спасибо за ответ.


  1. amarao
    26.07.2016 15:33
    #9716266
    +1

    Выглядит как довольно грустная карьера. Безумные требования по социализации, и связям, дурацкие регламенты, которые надо знать, и умеренная з/п даже спустя годы и годы.


    1. shanker
      26.07.2016 16:36
      #9716404

      amarao
      Насколько я понял, Вы работаете в другой стране. Можете на своём опыте (и\или на опыте Ваших знакомых) провести хотя бы какое-то сравнение? Спрашиваю не для того, чтоб поспорить. А чтобы читатели комментария (такие как я) лучше понимали как Вы пришли к своему выводу (может, поэтому кто-то уже минусанул Ваш коммент на момент написания этого текста). Да и вообще, жутко интересно каково это: работать «там» (в смысле — за границей). Хотя, наверное, развёрнутый ответ будет уже претендовать на отдельную статью


      1. amarao
        26.07.2016 17:58
        #9716652

        Работать спокойно, жить спокойно. Никаких «вставаний с колен» и необходимости «перетерпеть для доказательства величия страны».


  1. whiplash
    26.07.2016 16:10
    #9716334
    +1

    А смысл быть таким спецом в России, точнее даже в Москве?

    Сколько здесь платят спецам уровня того же Лео Соснина например? При том, что сам Лео в США претендует на суммы вида до 200к$ в год, если я не путаю.


    1. shanker
      26.07.2016 16:29
      #9716392
      +1

      Кого что интересует. Я знаю не одного человека, который из Питера в Москву не торопится переезжать (на з\п выше). Что уж говорить про иммиграцию (которую мудрые люди советуют не путать с туризмом)


  1. shanker
    26.07.2016 17:01
    #9716468
    -1

    Может, я делаю неверные выводы. Но мой опыт на такой вывод наталкивает.
    Не более года назад я размещал (на некоторое время) своё резюме на хедхантере. Мне стоило определённых усилий составить так, чтоб с одной стороны довольно полно описать свои навыки. С другой — не перегружать излишними деталями. Сознательно не стал указывать желаемую з\п — чтоб знать сколько мне могут предложить. Мои ожидания были точно не выше тех расценок, что тут в статье указаны. По должности — начальник отдела или руководитель группы.
    Итог: за 3 месяца поступали предложения в других городах (Москва, Казань; я из Питера) и на меньшую з\п (относительно той, которая уже была у меня на моём текущем месте работы).
    В итоге вывод: чем выше должность, тем сложнее найти на неё работу в своём городе, с указанными в стетье з\п. Во всяком случае, просто разместив резюме.


  1. shanker
    26.07.2016 17:23
    #9716524
    -4

    мы поможем получить и применить нехватающие знания, и как следствие повысить уровень Ваших навыков и востребованность на рынке труда

    На основании чего сделано заявление? Неужели есть статистика вида: «X клиентов (желающих трудоустроиться на з\п выше текущей) получали з\п=Y(x) прошли наши курсы и теперь получают Z(x). Где Z(x) > Y(x)»?


  1. DeOhrenelli
    26.07.2016 17:30
    #9716552

    Это какая-то странная карьера и странные требования.
    Про криптографию ни слова. Везде сплошной web и системная, прости господи, администрация. Английский в требованиях — только и seniors (а должен быть у выпускника средней школы).Про самостоятельный поиск уязвимостей без сканеров написанных кем-то другим — ни единого слова.

    Ни IDA, ни отладчиков, ни систем анализа исходного кода нет (даже про клокворк ни слова).
    Про ассемблер — ни слова. Про embedded и прочий IOT — опять ни слова. SDL нет.
    Разработка собственных методик/утилит — только на уровне senior(а должен быть junior).

    Короче, эти вряд ли научат чему то полезному.


    1. DeOhrenelli
      26.07.2016 19:07
      #9716764

      Ну надо же как синхронно минусуют, обалдеть можно.
      Это из за того, что здесь рекламный хаб или вам английские слова перевести?


  1. sevens
    27.07.2016 10:17
    #9717492

    «Администрирование межсетевых экранов Cisco ASA и Kerio Connect;»
    У Вас неточность в обязанностях. Kerio Connect — это почтовый сервер.
    Наверное имелось ввиду Kerio Control.


  1. zone1508
    27.07.2016 14:28
    #9718110

    Взгляд со стороны.
    Недавно была статья в хабе разработка. Стажер — находка для шпиона https://habrahabr.ru/post/306066/
    И там в комментариях очень много мыслей на тему что в реальном бизнесе ИБ не особо и нужна, или если и нужна то минимальная т.к. замедляет продуктивность, стопорит скорость разработки внедрения изменений и т.д.
    В этой же статье пишут что профессия востребована и повсеместно полезна и чем дальше тем все более полезнее.
    И кому верить в итоге?


  1. nopernik
    28.07.2016 15:18
    #9720866
    +1

    Работа ИБ специалиста очень востребованна. Профессионалов в области ИБ катастрофически не хватает.
    Сам я пентестер (OSCP+OSCE), живу в Израиле, фактический опыт работы 2 года, Senior, и немного не согласен с автором по поводу требований и навыков.
    К примеру:
    1. Высшее ИБ/ИТ образование — никому не нужно если ты мастер своего дела и умеешь говорить правильные слова. Покажи на что ты способен, и скажи сколько ты стоишь.
    2. Статусы Junior/Middle/Senior зависят не от кол-ва лет работы, а от опыта впринципе. Опять же, на собеседовании не мыкай и не тянись в дальние области своей памяти за ответом. (два года в сфере, тоесть я еще должен быть junior… ага.)
    Тут должно быть предельно просто: junior — должен уметь пользоваться програмками и скриптиками, senior — должен знать как эти программы работают и быть способным написать такое же с нуля в nano.
    3. Требования действительно в IT отдел а не в ИБ.
    4. Узкая специализация? Согласен, но не совсем. Можно сказать так: Junior должен уметь делать 2 + 2, когда Senior должен уметь складывать и вычитать переменные из разных сфер и техник. Тем самым, с опытом работы специализация должна становиться шире а не уже.

    Зарплаты пентестеров и консультантов ИБ в Израиле:
    Тут всё зависит от компании в которой работаешь. Если это консалтинг, то выше 5500$ не прыгнешь. Но если это фирма производящая какой-либо продукт (к примеру PayPal, Akamai, General Motors, Sales Force и тому подобные) потолок з/п который мне приходилось слышать +- 10500$ в месяц.
    Начинающий пентестер до 1 года опыта: 2000$
    Более опытный 1-3 года: 2500 — $5500 в месяц. Конечно же, зависит от реальных навыков.
    А теперь интересный факт: стоимость одного часа работы консультанта за границей (включая Россию) начинается с 250$.
    Тоесть нижняя планка для ИП: 250 * 8 часов * 22рабочих дня = 44k$ в месяц
    Ах да, меня всегда раздражает упоминание зарплат в какой-либо стране, без учета стоимости на проживание в той же стране.
    Так, на вскидку (цены в Израиле, цены приведены в рублях по курсу на сегодня):
    Литр молока: 100р
    Хлеб: 170р
    Пачка мальборо: 570р
    0.5 пива в баре: 500р
    Съем 2-х комнатной квартиры в ~центре страны: 60,000р
    Новая Mazda3: 2,000,000р
    Делайте вывод сами.

    Статья конечно реклама, но тоже выскажусь.
    Хочешь чему-то научиться и работать в infosec сфере? Строй самостоятельно лабы, взламывай виртуалки из vulnhub, бери всемирно известные курсы и не спи ночами.
    Всё.

    P.S. и да, английский нужен всем.


  1. HatsuneAkeno
    29.07.2016 12:29
    #9723316
    +1

    Смотрю затронули тему криптографии. Лично я считаю, что ИБ может рекомендовать определенные стандарты шифра для той или иной информации, но сама реализация и т.д должна уходить на отдел криптоаналитиков и криптографов. Т.к из выше описанного я вижу, что специалист ИБ больше относится к проектировке и внедрению систем безопасности. А криптография сама по себе входит в уже готовые системы ИБ.
    Допустим в компанию решили установить Lotus Notes, программа уже сама по себе обладает шифрованием. И когда ее представляет специалист, то он уже укажет на то, что сообщения и доступ к профилю без id файла — получить затруднительно (все зависит от выбора шифра и его стойкости).


    Поправьте, если понял что-то не так.