В связи с высокой стоимостью информации как актива компании в индустрии появляются новые игроки, чьи цели сводятся к незаконному обладанию данными активами. Более того, на защищенность информации влияет человеческий фактор, который приводит к неумышленной утечке, модификации и недоступности информации. В совокупности это рождает потребность в относительно новом виде деятельности - комплексной ИБ.
Можно выделить два основных направления в ИБ: техническое и организационное. К первому относятся специалисты, обладающие следующими знаниями: настройка и администрирование СЗИ, языки программирования, умение "заэксплотировать" распространенные уязвимости, такие как SQL injections, Cross-Site Scripting, Request Forgery, DOS-атака, функционирование ОС Windows, Linux на самом высоком уровне и многое другое.
Образование по специальности/Entrance level
Из-за ускоряющегося технологического прогресса сфера ИБ диктует новые, постоянно меняющиеся требования к своим специалистам. Но специалистов какого уровня на самом деле готовят университеты на Entrance level? Для того чтобы ответить на этот вопрос, были проанализированы учебные программы российских вузов по следующим специальностям:
- "Комплексное обеспечение информационной безопасности автоматизированных систем" (090105);
- "Организация и технология защиты информации" (090103);
- "Компьютерная безопасность" (090102);
- "Комплексная защита объектов информатизации" (090104);
- "Информационная безопасность" (090303);
- "Информационная безопасность автоматизированных систем";
- "Организация и технология защиты информации" (090905).
Специалисты по организационному направлению должны в совершенстве составлять документацию по ИБ, проводить анализ рисков организации, безупречно знать не только отечественные стандарты информационной безопасности, но также ведущие мировые, такие как ISO 2700X, NIST CobiT. Зачастую организации требуют от кандидата знания в обоих направлениях. |
Основной упор образовательных программ делается на математический аппарат, включающий в себя знания высшей математики и сложных криптографических алгоритмов, таких как эллиптические кривые и решение уравнений над полями и кольцами вычетов. Большую часть образовательных программ занимают языки и методы программирования. К более профильным модулям относятся такие как:
- "Безопасность операционных систем";
- "Безопасность сетей";
- "Технические средства и методы защиты информации";
- "Программно-аппаратные средства защиты информации";
- "Организационное обеспечение информационной безопасности".
Первые два года студенты активно изучают такие дисциплины, как: "Электротехника и схемотехника", "Аппаратные средства вычислительной техники", "Экономика" и т.д. и т.п. Более того, кадровый состав российских университетов - как правило, люди, получившие образование в далеких 1970-х или раньше. Бесспорно, поучиться есть чему, но если говорить о современных направлениях ИБ, то тут этих знаний уже недостаточно. В итоге на выходе из университета, если человек следует сугубо учебной программе и не занимается самообразованием, мы получаем специалиста, совершенно не готового к реальным требованиям рынка.
Современные требования
При условии стремительного технологического развития за время обучения будущего специалиста реальная ситуация на рынке труда может много раз в корне измениться. С учетом того что обновление российских образовательных программ происходит крайне редко и с большим трудом, получаем не только неправильно сбалансированную программу, но еще и значительно отставшую от реального прогресса.
Порою смешно смотреть на требования российских работодателей и на предлагаемую ими зарплату. Находятся и такие, которые копируют требования с зарубежных компаний и при этом предлагают зарплату в 5-6 раз ниже. Несмотря на сегодняшнюю недооцененность на российском рынке, с углублением контактов с западным миром отношение к специалисту по информационной безопасности должно измениться в лучшую сторону. |
А чего же требует рынок от специалистов? Для ответа на этот вопрос был проанализирован внушительный список вакансий на одном из ведущих сайтов по трудоустройству - HeadHunter.ru .
Прежде всего от соискателей требуются навыки в области защиты ПДн, а также знание основных федеральных законов по ИБ, ГОСТов, нормативных документов ФСТЭК и ФСБ. Обязательно знание современных методов и средств защиты информации. Желательны не только знания, но и наличие сертификата по международному стандарту ISO 27001. Уровень английского языка - начиная от уровня чтения технической литературы. Не лишними окажутся навыки работы с сетевым оборудованием Cisco и соответствующие сертификаты. Приветствуются практические знания в поиске и эксплуатации уязвимостей, так же как и участие в хакерских соревнованиях. Но самым нокаутирующим требованием является опыт работы со всем, что написано выше, минимум от двух лет.
Уровень заработной платы
Заработная плата при соответствии соискателя вышеперечисленным требованиям существенно варьируется в зависимости от региона и уровня компании. Основная доля рабочих мест сконцентрирована в Москве. Здесь кандидату будет предложена заработная плата в размере от 40 000 до 60 000 руб. С теми же требованиями в городах Санкт-Петербург, Казань, Уфа, Новосибирск и других миллионниках соискателю будет предложена заработная плата от 30 000 до 40 000 руб. Если рассматривать города с населением меньше миллиона, то тут ситуация омрачается еще сильнее: заработная плата - от 18 000 до 30 000 руб.
Для того чтобы стать востребованным специалистом по информационной безопасности, необходимо вложить в образование минимум 800 000 руб. Но даже это не поможет сразу начать карьеру, так как одним из основных требований является опыт работы в отрасли. Даже если вам повезло и вы сразу устроились на работу в Москве по специальности, окупаемость образования займет 1,5 года, считая все заработанные средства. Для сравнения, в Лондоне образование окупится за четыре месяца. |
Следующая ступень карьерной лестницы начинается с практическим опытом работы со специфическими средствами защиты информации, наличием таких сертификатов, как CISSP и CISA. Среди требований часто можно встретить опыт проведения аудита ИБ. Ну и, конечно же, опыт работы в данной сфере от 3-6 лет. Если кандидат соответствует всем этим требованиям, то тут зарплата в Москве составит 60 000-90 000 руб., в регионах - 50 000-70 000 руб. В небольших городах специалисты такого уровня практически не требуются.
По большому счету требования в ИБ не слишком отличаются по всему миру. Разница лишь в знании локального законодательства по ИБ, отдельных средствах защиты, обязательных стандартах, к которым зачастую относится ISO 27001 и COBIT, а также в знаниях и опыте в таких областях, как business continuity plan и disaster recovery plan ISO 22301. Самое большое отличие зарубежных вакансий от отечественных - уровень заработной платы. Для его определения за основу был взят крупнейший зарубежный ресурс по поиску работы - monster.com . Начальный уровень в Лондоне начинается с зарплаты (в переводе на российский рубль) от 150 000 руб. "чистыми" в месяц. При наличии опыта и сертификатов уровень заработной платы повышается до суммы в 60 000-90 000 фунтов в год, что в российском эквиваленте составляет 250 000-375 000 руб. в месяц.
Теперь рассчитаем окупаемость образования специалиста по ИБ.
Высшее образование 400 000-600 000 руб. за 5 лет обучения.
Подготовка и сдача экзамена CISCO CCNA - 25 000-30 000 рублей, CCNP - 37 000-15 000 руб.
ISO 27001 Lead Implementer Training Course - 150 000 руб., ISO/I EC 27001 Lead Auditor Training Course - 150 000 руб.
Certified Information Systems Auditor (CISA) - 90 000 руб., включая сдачу экзамена.
Certified Information Security Manager (CISM) - 90 000 руб., включая сдачу экзамена.
Certified Information Systems Security Professional (CISSP) 100 000 руб., не считая сдачи экзамена, + 5 лет опыта работы.
MSc Information Systems Security - 500 000-1 000 000 руб.
