Информационная безопасность автоматизированных систем: что за профессия, кем работать?

ИБ для АСУ

Информационная безопасность для автоматизированных систем управления должна опираться на утвержденные стандарты. Наиболее востребованным является стандарт ISO/IEC 27000 Information Technology, на базе которого разработан и внедрен российский ГОСТ. Также применяется стандарт Международной энергетической комиссии, ISA/IEC 62443 Security for Industrial Automation and Control Systems, ряд частей которого тоже работают в части ГОСТов.

Частично задача безопасности АСУ решается на государственном уровне, они в обязательном порядке лицензируются и сертифицируются, на решение этой задачи приходится до 10 % от стоимости программного обеспечения. Основной задачей при обеспечении ИБ для АСУ становится контроль рисков с их предварительным ранжированием. Риски распределяются по уровням:

• управление предприятием;
• операционное управление производством;
• управление и мониторинг физических процессов;
• локальное управление оборудованием и процессами;
• управление датчиками и системой оповещения.

На каждом из уровней выявляются свои риски, блокировать которые от информационных атак или программных сбоев необходимо для обеспечения безопасности. В полноценной модели защиты АСУ от рисков должны быть реализованы:

• управление идентификацией и аутентификацией;
• контроль использования ресурсов оборудования;
• гарантия целостности системы и связей;
• доступность данных;
• контроль потоков данных, избежание утечек;
• ограниченное время реакции на инциденты.

При соблюдении этих требований можно говорить о том, что информационная безопасность автоматизированной системы управления обеспечена. 

Критерии отбора специалистов

Квалификационные характеристики должностных лиц службы информационной безопасности даны в Едином квалификационном справочнике. Документ утвержден Приказом № 205 от 22.04.2009 Министерством здравоохранения и соцразвития РФ.

Специалисты должны уметь:

• находить угрозы информации;
• разрабатывать программы по технической защите и внедрять их на практике.

Также ИБ-специалисты должны знать методы нарушителей (как получить удаленный доступ к различным механизмам и системам, внести изменения или уничтожить базы данных).

Зная методы злоумышленников, специалист сможет принять меры на опережение, создать надежную структуру обмена данными, устранить уязвимости в системе.

Чтобы стать востребованным в сфере ИБ, немаловажно:

• понимать принцип устройства гаджетов, компьютеров;
• разбираться в настройке и обслуживании специальных программ для защиты данных;
• иметь представление о стандартах информационной безопасности, в том числе – как функционируют корпоративные антивирусные программы и системы фиксации вторжений.

Профессиональные качества совершенствуются практикой и отражаются на карьерном росте новичка, часто вне зависимости от профиля его высшего или среднего образования.

Как стать специалистом по информационной безопасности

Сегодня в России практически невозможно получить высшее образование в сфере информационной безопасности, ориентированное на практику. Некоторые ВУЗы предлагают специализацию в сфере компьютерной криминалистики, но она чаще всего заточена на юридические аспекты, нежели на технические. Несмотря на то, что в большинстве случаев в компании нанимают людей с профильным образованием, часто встречаются истории, когда человек приходит на начальные позиции из другой сферы и получает опыт на месте. Главное — чтобы у него было понимание IT-сфер, высокая обучаемость и заинтересованность. Однако даже если базовых знаний в IT нет, их можно получить в среднем за год. Все зависит от мотивации конкретного человека. А дальше можно развиваться уже непосредственно в том направлении, которое нравится.

Зарплатная вилка в сфере информационной безопасности для junior-специалистов начинается от 40 до 80 тыс. рублей, а «потолка» зарплаты на более высоких позициях пока не существует. Однако чтобы быть хорошим специалистом в этой сфере, нужно постоянно держать руку на пульсе, даже в нерабочее время. Поэтому человек, который приходит заниматься информационной безопасностью только ради денег, обычно долго не задерживается. Также у такого сотрудника должны быть любопытство и усидчивость: иногда нужно брать очень много данных из разных источников, анализировать их. Например, вы подозреваете мошенничество в 1000 ссылках. Пока вы все их не изучите, не сможете увидеть полную картину. И эту работу, к сожалению, пока невозможно автоматизировать — чтобы ее сделать, нужно думать именно как человек и представлять себя на месте и мошенника, и жертвы.

Практически все кейсы в данной сфере нестандартны. Если человек привык делать всё по накатанной, у него не получится здесь работать

И последнее важное качество — оптимизм. Работа в информационной безопасности означает борьбу, которая никогда не заканчивается

Нужно понимать, что если здесь и сейчас никто не обманул очередную жертву, это уже победа.

Кого можно назвать специалистом по информационной безопасности

В представлении многих людей информационная безопасность — область романтической борьбы с киберпреступниками, захватывающие расследования, хитрые ловушки. На самом деле значительная часть работы в информационной безопасности — предотвращение потери данных в результате обычной беззаботности, например, пренебрежения регулярным резервным копированием.

Однако комплекс профилактических мер включает и шифрование, и поиск уязвимостей в системе, поэтому специалист по информационной безопасности должен иметь соответствующий бэкграунд: образование в области информатики, математики, программирования; знание языков программирования; возможно, опыт работы системным администратором.

Важно!

Крупные компании любят нанимать на эту должность перспективных студентов и выращивать из них специалистов самостоятельно.

Сейчас в России, как считают специалисты, практически негде получить хорошее образование в области программирования.

Связано это с тем, что традиционно российские вузы делают упор на теорию, а программирование, системное администрирование, информационная безопасность больше связаны с практической деятельностью.

Другая причина — инертность образовательной системы, что критично для такой быстро развивающейся отрасли. Пока студенты учатся, полученные ими знания успевают устареть.

В результате молодые специалисты выходят на рынок труда, но у них есть только теоретические знания сомнительной актуальности, и полностью отсутствуют практические навыки.

Приходится немало поработать на низкой зарплате, параллельно набивая шишки и посвящая свободное время изучению специальной литературы (подавляющее большинство которой не имеет хороших переводов на русский, так что читать приходится на английском языке).

Поэтому тем, кто не хочет долго топтаться на старте карьеры, а планирует сразу бодро идти в гору, необходимо серьезно задуматься о том, где получить образование.

Традиционно сильное образование дают вузы США и Великобритании. Но обучение в них, если нет гранта — серьезное финансовое испытание. Учеба в этих странах платная и, в основном, очень дорогая.

К сожалению, уровень интеллекта и таланта студента никак не связан с финансовым положением его семьи. Но есть способ получить качественное высшее образование за рубежом бесплатно — поступить в немецкий вуз. Здесь учеба бесплатная; взимают только небольшой семестровый взнос.

В последние годы немецкие вузы сравнялись с английскими и американскими по престижности и качеству обучения; многие из них входят в мировые рейтинги.

Успешные немецкие вузы получают внушительное государственное финансирование, благодаря чему постоянно развивают свою базу и могут предоставить студентам фантастические условия обучения.

Немецкое образование в области точных наук считается эталонным.

Есть и еще одно преимущество для тех, кто желает посвятить свою жизнь программированию: большое количество практики, обязательное для всех студентов. Благодаря этому правилу студент в процессе обучения успевает поработать в крупных компаниях, столкнуться с реальными задачами, заняться решением практических проблем. На этом этапе талантливый студент может найти работу, ведь многие компании выращивают своих безопасников самостоятельно, в соответствии с собственными требованиями.

В любом случае, выпускаясь из немецкого вуза, молодой специалист уже имеет за плечами опыт работы и может конкурировать на рынке труда.

Важно!

Тем, кто задумывается о карьере специалиста по ИБ за рубежом, важно определиться в планах заранее и получать образование в той стране, в которой хотелось бы работать. Это связано с комплаенсом — требованиями и законодательными нормами в области защиты информации, в которых безопасник обязан хорошо ориентироваться, а они в разных странах разные

Советуем изучить: Подбор программ обучения в вузах Германии

Плюсы и минусы профессии

У этого направления свои плюсы и минусы. Необходимо их изучить, чтобы понимать, получится работать на этой должности или нет.

Достоинства:

• Престижность;
• Высокая заработная плата;
• Карьерный рост;
• Возможность развития;
• Актуальность профессии;
• Возможно участие в крупных конференциях;
• Постоянное развитие, обучение новым технологиям;
• Серьезность профессии.

Недостатки:

• Высокая ответственность за защиту данных компании;
• В случае выхода из строя защитной системы и невозможности ее восстановить специалисту по информационной безопасности могут предъявить наказание и штраф;
• Возможны командировки в дальние города и страны на большой срок. Это минус для семейных людей.

Специалист по информационной безопасности – профессия, которая кажется сложной и недоступной, но при грамотном обучении, наработке опыта бояться нечего. Эта должность всегда будет востребована на рынке труда.

Информационные технологии развиваются очень быстро, вместе с ними растет количество мошенников и хакеров, которые пытаются взломать различные инфосистемы или базы данных пользователей глобальной сети.

Где учиться

Чтобы устроиться на работу, человек должен понимать устройство компьютера и уметь разбираться в автоматизированных ПК системах.

Школьное образование не дает необходимых навыков и знаний в этой теме, поэтому профильную специальность возможно получить в колледжах и ВУЗах. Обучение длится несколько лет, за это время студентам дают большой объем знаний, которые понадобятся в будущем.

Если не хочется несколько лет отдавать ВУЗу, можно отучиться на специализированных курсах, обучение занимает 6-12 месяцев.

В любом случае нужна практика, благодаря чему быстрее проходит обучение и нарабатывается опыт.

Какими качествами обладает специалист по защите информации?

В современный век информационных технологий, когда развитие компьютерной техники идет невозмутимо быстрыми шагами, появляются люди, которые хотят завладеть чужими данными и частной информацией.

Именно с целью противоборства им в игру вступают специалисты по защите информации, которые имеют идентичные знания, но работают в белом направлении. Специалист по защите информации впервые стал востребован после появления первой вычислительной техники, хранящей информацию.

Его основные обязанности заключались в защите хранящихся на жестких дисках данных, когда как сегодня он отвечает за безопасность не только информации, хранение которой осуществляется на съемных носителях, но и серверном оборудовании (серверах).

Специалист по защите информации бывает постоянным и непостоянным. Первый работает на компанию на протяжении долгого протяжения времени по соответствующему трудовому договору. Последний же, в свою очередь, является сменным или временным сотрудником, который приходит с целью проверки систем на безопасность.

Обязанности специалиста по защите информации

Специалист по защите информации выполняет функции по защите информации, которая хранится на серверном оборудовании и других накопителях предприятия, организации, компании и государственного учреждения.

Он делает все возможное для защиты последних от незаконного взлома и проникновения, коими чаще всего занимаются преступные группировки хакеров или компании-конкуренты.

Их нанимают за большую заработную плату крупные компании, когда как мелкие фирмы предпочитают работать с удаленными сотрудниками (фрилансерами), которые проверяют безопасность хранящейся информации после получения вознаграждения и не более двух-трех раз в месяц.

Специалисты по защите информации в большинстве своем имеют отличные знания в программном коде и хорошо разбираются с программными элементами.

Профессиональные специалисты такого профиля являются отличными программистами и опытными хакерами, которые благодаря знаниям своими силами проверят безопасность системы посредством постоянного давления на последнюю через попытки взлома.

Востребованность специалистов по защите информации

На сегодняшний день должность специалиста по защите информации является одной из самых востребованных и, маловероятно, что это изменится в течение следующих двадцати или тридцати лет.

Пока существуют классические виды систем, хранящих информацию, нынешние специалисты по защите информации останутся востребованными даже у самых малых компаний, которые стремятся полностью минимизировать попытки взлома информации с ее последующим уводом.

Конечно, спустя десятилетия, знаний, которыми обладают нынешние специалисты по безопасности, будет недостаточно для ведения плодотворной деятельности выполнения первично ставящихся со стороны начальства задач, но, как и техника, люди развиваются, узнают что-то новое и получают совершенно другие знания.

Как стать специалистом по защите информации

Чтобы стать специалистом по защите информации, не обязательно обучаться в каком-либо учебном учреждении. Большинство из известных лиц, работающих в данной области, являются самоучками, которые благодаря своей усидчивости и желанию достигли больших высот и на сегодняшний день могут быть наняты ведущими мировыми корпорациями.

Чтобы получить знания по защите информации, достаточно иметь доступ в интернет и зарегистрироваться на профильных сайтах и форумах, которые нередко ведутся действующими специалистами по защите информации. И, самое главное, необходимо иметь соответствующее желание, которое не уйдет со временем.

Обучение

Специалист по IT-безопасности должен иметь вузовское образование в области информационных технологий или по направлению “Компьютерная безопасность”.

Самостоятельно освоить эту специальность тяжело, т. к. это затратно по времени и можно пропустить важные детали. Необходимые знания и навыки можно приобрести с помощью курсов по кибербезопасности. Их проходят как в качестве дополнительного обучения, так и в качестве основного, если нет возможности пойти в вуз.

Прохождение курсов позволит изучить актуальную, структурированную и полезную информацию, а также можно будет пообщаться и расспросить опытных специалистов, которые уже работают в сфере IT-безопасности и защиты.

Идеален тот способ обучения, при котором минимальное количество необходимой теории сочетается с максимумом практических занятий. Просто изучить список потенциально возможных угроз недостаточно

Важно применить знания в деле и испытать на себе кибератаку

Такие платформы, как Skillbox, Нетология, GeekBrains и SkillFactory предлагают программы, в которых теория подкрепляется большим объемом практики:

• Профессия специалист по кибербезопасности
• Специалист по кибербезопасности
• Специалист по информационной безопасности
• Основы кибербезопасности
• Факультет информационной безопасности
• Кибербезопасность и цифровая грамотность
• Основы безопасности и анонимности в сети
• Специалист по информационной безопасности
• Профессия Этичный хакер

Познакомиться с полным перечнем курсов по информационной безопасности можно в отдельной статье на блоге iklife.ru.

Новоиспеченным специалистам по кибербезопасности не помешают знания английского языка. Сразу они могут не пригодиться, т. к. достаточно будет понимать лишь интерфейс программы. Но чем сложнее будут рабочие задания, тем более глубокие знания английского понадобятся.

Можно выбрать курс, в программу которого включены занятия по иностранному языку. Так не придется отвлекаться на посторонние темы, а изучение будет направлено на специальную лексику, которая понадобится в работе.

Также английский понадобится для самообразования, ведь многие полезные книги, журналы, статьи и лекции по IT-безопасности не переведены на русский язык.

Специалист по информационной безопасности должен обладать высшим техническим образованием

Без технического высшего образования работать в сфере информационной безопасности — невозможно. Человека, который не окончил университет, не возьмет в штат ни одна компания. Даже маленькая. Вне зависимости от того, какой опыт работы он имеет. 

Рекомендуем подростку поступать на специальности, которые имеют в названии слова «автоматизация» или «безопасность». Получить работу смогут выпускники и тех ВУЗов, которые закончили «программирование». 

Чтобы устроиться в крупную компанию, совершенно необязательно учиться в столичных университетах вашей страны. Подросток может получить качественное высшее образование и в регионах

Важно, чтобы в ВУЗе была соответствующая специальность. А то, в каком университете образование было получено — столичном или региональном — второстепенно

Соискатель должен идеально знать английский язык

Рекомендуем подростку, который планирует работать в сфере информационной безопасности, пойти на курсы английского. После окончания университета он должен знать его идеально. Причем, не только разговорный, деловой английский язык. Но и технический. Это повысит шансы подростка на получение высокооплачиваемой работы.

Какие навыки подростку предстоит получить для трудоустройства в компанию?

Чтобы подросток смог гарантированно устроиться на высокооплачиваемую работу, ему нужно получить ряд навыков и дополнительных знаний:

1. Он должен выучить криптографию. 
2. Он должен выучить математику.
3. Он должен разбираться в технических элементах. Компьютерах, различных электронных устройствах, камерах, телефонах и прочем. 
4. Он должен знать, как устроена архитектура различных сетей. Причем, не только в теории. Но и на практике.
5. Он должен иметь навыки системного администратора. Уметь работать с MS. А также Nix.
6. Он должен уметь работать с серверами. В частности, с IBM. Или HP. Опыт в этом должен быть хотя бы минимальным.

Большинство этих навыков подросток получит в университете по выбранной специальности. Если у него не будет знаний по чему-либо из вышеназванного, то отдайте его на соответствующие курсы. Там подростка научат всем необходимым навыкам. И даже дадут попрактиковаться.

Подростку нужно иметь сильный внутренний стержень и уметь дискутировать с людьми

Работа специалиста по безопасности — очень сложная. Хотя бы в том плане, что подростку предстоит часто отстаивать свое мнение в компании. Доказывать руководителю, почему определенное действие нужно проделать так, как предлагает специалист-безопасник. А не так, как хочет начальник.

Для этого подросток должен обладать сильным внутренним стержнем. И знать психологию людей. Чтобы уметь тактично давить на своего собеседника. И побеждать в любых спорах.

Где подросток сможет работать после окончания университета?

После того, как подросток закончит университет, он должен в обязательном порядке набраться опыта. Без соответствующей записи в трудовой книжке на работу его никто не возьмет. Поэтому рекомендуем подростку отправляться на стажировку в какую-нибудь крупную компанию. Сначала он будет работать там за бесплатно или за мизерную заработную плату. Но зато, со временем, сможет улучшить свои навыки. И его повысят. Начнут выдавать заработную плату.

Подростку нужно хорошо проявить себя на практике в университете

Университет наверняка отправит подростка на практику в какую-либо компанию. Тинейджеру нужно хорошо проявить себя там. И, благодаря этому, он сможет с легкостью остаться на этом месте работы после университета. Начнет расти. И его заработная плата будет постепенно увеличиваться.

Что нужно знать для старта работы

Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий

Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.

Только сети — если посмотреть на структуру таких курсов, то окажется, что это учёба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ

Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.

Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.

Стек навыков

• Настроить сетевой стек.
• Провести аудит системы, проанализировать, какое место уязвимое.
• Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
• Настроить систему мониторинга и систему предупреждения о проблемах.
• Учитывать человеческий фактор в построении защиты.

Стек инструментов

• Linux — сделайте свою сборку, почитайте о популярных уязвимостях самой системы и внутренних программ.
• Windows — пригодится умение настраивать как пользовательские, так и серверные решения. Знать, как проводить атаки через обновления, подмену драйверов или служебных утилит.
• DLP — попробуйте популярные технологии защиты утечек данных. Проще говоря, это программы, которые умеют блокировать запись на флешку или отправку в соцсети или на почту определенных видов данных. Например, Sophos или McAfee DLP
• IDS — системы выявления сетевых атак. Такие инструменты, если их грамотно настроить, сообщат о срабатывании определённого правила. Например, попытки неавторизованного доступа или повышения прав определённого пользователя.
• SIEM — система, которая в реальном времени анализирует события в сетевых устройствах и реагирует при появлении настроенного правила. Проще говоря, смотрит, изменилось ли что-то в настройках, и если да — делает то, что придумал специалист по ИБ. Можно потрогать решения Splunk, IBM и LogRhythm.
• Kubernetes. Если вы умеете разворачивать кластер Kubernetes, работать с конфигурацией и сетевой безопасностью, то шансы устроиться стажером в любую облачную компанию повышаются в разы.

Почему стоит уделять внимание защите информации

Представьте, что приложения или сайты будут работать без защитных программ. Тогда их можно взломать за 1 минуту. Мы не сможем переписываться с друзьями, безопасно производить оплату и многое другое, что делаем каждый день.

Фото и переписки окажутся в руках взломщиков, а с наших счетов спишутся все денежные средства. Одним словом Интернет рухнет.

Взлом, хищение и удаление информации для предприятия или частной компании могут оказаться крахом. Вся накопленная информация за несколько лет или удалиться, или попадет в руки злоумышленникам, а это недопустимо.

Сейчас все компьютерные данные содержатся на жестких дисках серверах компаний и чтобы до них никто не добрался нужно обеспечить безопасность специализированным программным обеспечением.

Например, антивирусы, которые уничтожают вредоносные файлы, сертификаты, личные учетные записи пользователей и другие средства инфозащиты.

В организациях системы защиты более продвинутые, кроме антивирусов туда входят специальные системы шифрования данных, защитные ключи, электронные подписи. Все больше компаний для защиты информации используют биометрические данные.

Для сохранения данных нетронутыми, крупные корпорации, маленькие частные организации и государственные предприятия вводят в штат дополнительную техническую должность.

Повышение квалификации по защите информации

Работнику бизнес-компании нужно постоянно повышать квалификацию. Чтобы оставаться ценным сотрудником необходимо изучать сторонние ресурсы, проходить сертифицированные тестирования, подрабатывать частными заказами, читать профильную литературу. Крупные организации устраивают тренинги, конференции, олимпиады и зарубежные поездки для повышения квалификации сотрудников.

На тренинге или олимпиаде есть возможность сравнить и повысить свой уровень знаний

Гиганты IT-сферы расширяют круг специализаций, поэтому стараются набрать штат дипломированных и перспективных работников с малым уроном для организации. Компании ежегодно устраивают хакатоны или профессиональные конкурсы, ярмарки, где удача или знания помогают программистам получить высокооплачиваемую должность. Участникам мероприятий выдают сертификаты, которые существенно увеличивают шансы найти работу.