Документ представляет собой обширный анализ карьеры в области информационной безопасности (ИБ), описывающий требования к специалистам, образовательные стандарты и актуальные перспективы трудоустройства в России. В нем подчеркивается значимость получения практических знаний и соответствующих сертификатов, а также раскрывается проблема нехватки квалифицированных работников в этой сфере. Обсуждаются основные навыки, требуемые на рынке труда, и роль различных специалистов в обеспечении ИБ.

1. Прозоров Андрей, CISM
Руководитель экспертного направления
Solar Security
Мой блог – https://80na20.blogspot.ru
Мой твиттер - https://twitter.com/3dwave
Развитие карьеры в ИБ:
с чего начать, какие знания
получать, какие навыки пригодятся?
2017-05-12

2. 2
Прозоров Андрей, CISM
Руководитель экспертного направления
Solar Security
Опыт в ИБ: 10 лет
Рабочие группы по ИБ: Совет Федерации,
Государственная Дума РФ, Совет Безопасности РФ,
ФСТЭК России, ЦБ РФ, АРПП и пр.
Членство в ассоциациях ИБ: АРСИБ, АЗИ, ISACA, BISA, RISC
Преподаю курсы по ИБ: РАНХиГС, НИУ ВШЭ
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave

3. 1 презентация для студентов в год…
3

4. и 1 в год про личную эффективность…
4

5. 5

6. Начало карьеры
6
• Я работаю специалистом по ИБ с 2007 года.
• Диплом в ВУЗе писал по теме «Разработка
методики комплексной защиты
конфиденциальной информации
предприятия от инсайдеров»
• С 2012 года в моей трудовой написано
«эксперт»

7. Специальности по ИБ в России
7
• 090101 Криптография
• 090102 Компьютерная безопасность
• 090103 Организация и технология защиты информации
• 090104 Комплексная защита объектов информатизации
• 090105 Комплексное обеспечение информационной
безопасности автоматизированных систем
• 090106 Информационная безопасность
телекоммуникационных систем
• 090107 Противодействие техническим разведкам
• 090108 Информационная безопасность

8. Я специалист по ЗИ (ОиТЗИ)
«Специалист по защите информации выполняет сложные работы, связанные с обеспечением
комплексной защиты информации на основе разработанных программ и методик.
Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью
выработки и принятия решений и мер по обеспечению защиты информации и эффективному
использованию средств автоматического контроля, обнаружения возможных каналов утечки
сведений, представляющих государственную, военную, служебную и коммерческую тайну.
Анализирует существующие методы и средства, применяемые для контроля и защиты
информации, и разрабатывает предложения по их совершенствованию и повышению
эффективности этой защиты.
Участвует в обследовании объектов защиты, их аттестации и категорировании.
Разрабатывает и подготавливает к утверждению проекты нормативных и методических
материалов, регламентирующих работу по защите информации, а также положений, инструкций
и других организационно-распорядительных документов.
Организует разработку и своевременное представление предложений для включения в
соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и
защите информации.
Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и
сооружений и другие разработки по вопросам обеспечения защиты информации.
Участвует в рассмотрении технических заданий на проектирование, эскизных, технических и
рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим
документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств
автоматизации контроля, моделей и систем защиты информации, оценке технико-
экономического уровня и эффективности предлагаемых и реализуемых организационно-
технических решений.» 8

9. 9
Выглядит хорошо, но что-то меня
настораживает, хм…

10. Программа 090103 ОиТЗИ
Программа:
1. Общие гуманитарные и социально-экономические дисциплины – 1800 ч
2. Общие математические и естественнонаучные дисциплины – 1400 ч
3. Общие профессиональные дисциплины (см.далее) – 3640 ч
4. Дисциплины специализации – 970 ч
◦ История и современная система защиты информации в России
◦ Системы защиты информации в ведущих зарубежных странах
◦ Организация и управление службой защиты информации
5. Факультативы (военная подготовка) – 450 ч
Всего часов обучения - 8260 ч
Срок программы – 256 недель, практики не менее 12 недель
10

11. 090103 ОиТЗИ
11
1. Введение в специальность - 50 ч
2. Вычислительная техника и программирование - 220 ч
3. Средства и системы технического обеспечения
обработки, хранения и передачи информации - 200 ч
4. Теория информационной безопасности и
методология защиты информации - 200 ч
5. Правовая защита информации - 220 ч
6. Организационная защита информации - 240 ч
7. Защита и обработка конфиденциальных документов -
200 ч
8. Инженерно-техническая защита информации - 220 ч
9. Криптографическая защита информации - 120 ч
10. Программно-аппаратная защита информации - 120 ч
11. Защита информационных процессов в компьютерных
системах - 120 ч
12. Комплексная система защиты информации на
предприятии - 220 ч
1. Структура и основы деятельности
предприятий различных форм
собственности
2. Менеджмент
3. Системы организационного
управления
4. Социальная психология
5. Управление персоналом
6. Документоведение
7. Экономика защиты информации
8. Безопасность
жизнедеятельности
9. Национально-региональный
(вузовский) компонент
10. Дисциплины и курсы по выбору
студента, устанавливаемые
вузом
Итого: 2130 часов «условно полезных знаний по специальности ИБ» (~25 %)
Общие профессиональные дисциплины – 3640 ч

12. Проблема образовательных стандартов
• Очень мало практики
• Уже не актуальная теория
• Слишком верхнеуровневая теория, часто оторванная от
реальной жизни (а надо ли оно работодателям)
• Слишком мало по специальности
Чему не учат:
• Рынок ИБ в России и Мире: куда пойти работать, что актуально
• Как строить карьеру?
• Soft Skills (социальные навыки)
12

13. 13
Работодателям нужны специалисты по CyberSecurity,
но ВУЗы продолжают выпускать специалистов по
информационной безопасности…

14. 14
А что из области ИБ Вы
знаете особенно хорошо?
Реальный диалог:

15. 15
Ну, понимаю технические каналы
утечки информации, криптографию…
Еще проходили конфиденциальное
делопроизводство. И еще защиту ПД…
Реальный диалог:

16. 16
Какие книги, журналы и блоги по ИБ
читаете? Какие конференции и
выставки посещали? Какие
дополнительные курсы проходили?
Реальный диалог:

17. 17
Ммм… Ничего.
Но если надо, то я быстро все
прочитаю и изучу!
Реальный диалог:

18. Куда пойти работать по ИБ?
• Внутренняя ИБ (государственная или коммерческая организация)
• Консалтинг / Интегратор
• Производитель СЗИ
• Дистрибьютор СЗИ
• SOC
• Стартап
• Учебный центр
• Регулятор
• Правоохранительные органы
• …
18

19. Работа в ИБ
19
Нужны разные знания и навыки…
• Руководитель подразделения ИБ
• Администратор ИБ
• Аналитик-методолог
• Пентестер / Исследователь
• Консультант
• Руководитель проектов
• Специалист мониторинга (1я
линия SOC)
• Аналитик ИБ (2я линия SOC)
• Пресейл-консультант
• Пресейл-иженер
• Руководитель продукта
• Архитектор
• Проектировщик
• Инженер внедрения
• Специалист по аттестации
• Специалист по
сертификации
• Технический писатель
• Преподаватель
• Менеджер по продажам
• …

20. 20
Bash.im 2009-02-03 08:13 #402378
“Когда я был студентом, я сдавал право одной очень милой
женщине. Она была практикующим юристом, и я ожидал, что
такой специалист меня сейчас будет гонять от и до по всему
конспекту.
Она посмотрела на меня и, ничего не спрашивая, поинтересовалась:
- Оценку вам какую ставить?
- Э... Пять хотелось бы
- Отлично, - сказала она, и стала писать в зачётке
- А вы что, даже ничего спрашивать не будете? - удивился я.
Она оторвалась от заполнения зачётки, внимательно посмотрела
на меня и сказала:
-Запомните, молодой человек, чем меньше вы знаете, тем более
ценна я как специалист…”

21. Про нехватку специалистов
«2017 Global Information Security
Workforce Study»:
• В 2015 году не хватало 1,5 млн
специалистов по ИБ
• К 2022 не будет хватать 1,8 млн
специалистов
21

22. Top-Paying Tech Security Jobs,2015
22
Должность Годовая ЗП
Lead Software Security Engineer $233,333
Chief Security Officer $225,000
Global Information Security Director $200,000
Security Consultant $198,909
Chief Information Security Officer $192,500
Director of Security $178,333
Cyber Security Lead $175,000
Lead Security Engineer $174,375
Cyber Security Engineer $170,000
Application Security Manager $165,000
+Рекомендуют получать сертификаты CISA, CRISC, CISM и CEH
http://media.dice.com/report/may-2015-top-paying-tech-security-jobs/

23. Лучшая работа в ИБ
Information Security Analyst
• #7 in Best Technology Jobs
• #52 in The 100 Best Jobs
$90,120 MEDIAN SALARY
23
http://money.usnews.com/careers/best-jobs/rankings/best-technology-jobs

24. Вакансии ИБ в России
24

25. Ищут работу в ИБ
25
Вы обратили внимание, что соискателей намного
больше, а вакансии все равно не закрываются?

26. Аналитика по ЗП в ИБ 2016
http://www.zarplatomer.ru
Специалист по ИБ
Директор по ИБ

27. Типичный функционал
27
• Мониторинг и анализ состояния системы защиты ИТ
компании, подготовка рекомендаций по их
усовершенствованию
• Разработка и внедрение политик и регламентов по
обеспечению защиты информации
• Подготовка и реализация технических решений по
защите информации
• Контроль технического состояния систем ИБ,
своевременное устранение возникающих технических
проблем
• Контроль соблюдения всеми категориями
пользователей требований по обеспечению ИБ
• Консультирование и обучение сотрудников мерам по
обеспечению ИБ
• Анализ отчетов по случаям НСД, разработка методов
борьбы с нарушениями
• Участие в проектах модернизации информационной
инфраструктуры, закупках оборудования
• Организация работы и
руководство
департамента ИБ
• Разработка и внедрение
стратегии ИБ
• Организация проведения
аудитов системы ИБ,
выявление и устранение
уязвимостей
• Бюджетирование в рамках
своего направления
• Разработка
регламентирующей
документации
• Организация
расследования/расследов
ание случаев нарушения
ИБ

28. Зарплатный
диапазон
Регион* ИТ / Телеком
(т.руб/мес.)
Промышленность
(т.руб/мес.)
Финансы
(т.руб/мес.)
Продажи
B2C
(т.руб/мес.)
Требования и пожелания
к навыкам
1. Без опыта Мск 45 – 55 40 – 50 40 – 50 37 – 42 Неполное ВО
(техническое/ИТ); знание НПА
и стандартов ИБ; знание
стандартов шифрования;
знание технологий ИБ; знание
ПО и АО для ИБ
СПб 37 – 45 32 – 40 33 – 42 50 – 75
2. Минимальный
опыт (до года)
Мск 55 – 70 50 – 70 50 – 70 50 – 75 Опыт настройки и
конфигурирования СЗИ; опыт
проведения аудитов ИБСПб 45 – 57 40 – 57 42 – 57 42– 62
3. Имеется опыт
(от 2 лет)
Мск 70 – 100 70 – 110 70 – 95 75 – 100 ВО (техническое/ИТ); знание
англ.языка (чтение
тех.документации); опыт
разработки регламентов и
политик ИБ; опыт проведения
расследований инцидентов ИБ
СПб 57 – 82 57 – 90 57 – 78 62 – 82
4. Значительный
опыт (от 3 лет)
Мск 100 – 160 110 – 150 95 – 150 100 – 150 Наличие сертификатов ИБ;
опыт реализации систем ИБ в
крупных корп.сетях; опыт
проектирования и разработки
эксклюзивных систем и
методов ЗИ
СПб 82 – 130 90 – 125 78 – 125 82 – 125
Среднерыночная
ЗП
Мск 97 100 95 95
СПб 80 82 78 78
Уровень ЗП специалиста

29. Зарплатный
диапазон
Регион
*
ИТ / Телеком
(т.руб/мес.)
Промышленность
(т.руб/мес.)
Финансы
(т.руб/мес.)
Продажи
B2C
(т.руб/мес.)
Требования и пожелания к
навыкам
1. Без опыта Мск 90 – 125 90 – 120 80 – 115 80 – 115 ВО (техническое/ИТ); знание
методов ЗИ; знание
законодательства РФ; знание
стандартов шифрования; опыт
работы с техническими и
программными средствами
шифрования; знание англ.языка
(чтение тех.документации); навыки
разработки тех.документации;
Опыт в ИБ от 3 лет; опыт
руководящей работы в ИТ от 2 лет
СПб 80 – 110 75 – 105 70 – 100 65 – 95
2. Минимальный
опыт (до года)
Мск 125 – 155 120 – 152 115 – 134 115 – 130 Опыт разработки регламентов и
политик ИБ; опыт проведения
аудита системы ИБСПб 110 – 138 105 – 134 100 – 120 95 – 115
3. Имеется опыт
(от 2 лет)
Мск 155 – 250 152 – 250 134 – 250 130 – 250 Знание международных стандартов
ИБ; наличие сертификатов ИБ; опыт
проектирования и разработки
эксклюзивных систем и методов ЗИ
СПб 138 – 215 134 – 215 120– 205 115 – 205
4. Значительный
опыт (от 3 лет)
Мск 250 – 500 250 – 400 250 – 360 250 – 350 Опыт разработки стратегии и/или
совершенствования ИБ в крупной
компании; свободный английский
язык; CISSP/CISM
СПб 215 – 450 210 – 350 205 – 320 205 – 300
Среднерыночная
ЗП
Мск 210 190 195 194
СПб 184 168 173 162
Уровень ЗП руководителя

30. Пожелания к наличию сертификатов
CISA 38 CISSP 30
CISM 14 CEH 13
CRISC 2 CCNA 76
CGEIT 0 CompTIA
Security+
0
Вакансии на HH.ru от 11-05-2017

31. Хорошая 1я сертификация
31
Cybersecurity Fundamentals Certificate
Тест из 75 вопросов, 65% - проходной балл
2 часа,150$
Домены:
• Cybersecurity Concepts (10%)
• Security of Network, System, ApplicaDon, & Data (40%)
• Cybersecurity Architecture Principles (20%)
• Incident Response (20%)
• Security of Evolving Technology (10%)
https://cybersecurity.isaca.org/info/fundamentals/cyber-security-fundamentals-certificate.html

32. Или для совсем новичков в ИБ
32
http://www.intuit.ru

33. Домены CISM, CISSP, CEH, Security+
33
CISM CEH
• Information Security Governance (24%)
• Information Risk Management (30%)
• Information Security Program Development
and Management (27%)
• Information Security Incident Management
(19%)
• Background (4%)
• Analysis/Assessment (13%)
• Security (25%)
• Tools / Systems / Programs (32%)
• Procedures / Methodology (20%)
• Regula on/Policy (4%)
• Ethics (2%)
CompTIA Security+ CISSP
• Network Security (20%)
• Compliance and Operational Security (18%)
• Threats and Vulnerabilities (20%)
• Application, Data and Host Security (15%)
• Access Control and Identity Management (15%)
• Cryptography (12%)
• Security and Risk Management (16%)
• Asset Security (10%)
• Security Engineering (12%)
• Communications and Network Security (12%)
• Identity and Access Management (13%)
• Security Assessment and Testing (11%)
• Security Operations (16%)
• Software Development Security (10%)

34. 34
Понимайте, что обычно работнику платят
соизмеримо той ценности, которую
он приносит компании…
Вопрос: Как ее повысить?

35. 35
То, что вы делаете со своим
оплачиваемым временем, определяет
ваш текущий доход.
Но то, что вы делаете со своим
неоплачиваемым временем,
определяет ваше будущее.

36. 36
Все дело в мотивации…

37. 37
B.O.A.T. - Концепция построения карьеры для специалистов
Сам придумал
  

38. Концепция B.O.A.T.
38
B - Basis: Хорошие системные знания в
своей области
O - Objective: Глубокие (экспертные)
знания в узкой области
A - Achieve: Личные качества
(эффективность, успешное
взаимодействие с другими людьми)
T - Tactical Alliance: Знания в смежных
областях

39. 39
«B» – Basis (Основа, базис)
Кратко: Хорошие системные
знания в своей области
Метафора: Остов лодки, ее каркас

40. 40
«O» – Objective (цель, стремление)
Кратко: Глубокие (экспертные)
знания в узкой области
Метафора: Паруса и весла лодки

41. 41
«A» – Achieve (достигать, доводить
до конца)
Кратко: Личные качества
(эффективность, успешное
взаимодействие с другими людьми)
Метафора: Команда лодки

42. 42
«T» – Tactical Alliance (Тактический
альянс)
Кратко: Знания в смежных областях
Метафора: Оружие и навигационные
инструменты, их делают другие люди

43. Навыки ИБ специалистов
43
ISACA

44. Навыки по COBIT5
• Лидерство
• Процессное мышление
• Системное мышление
• Стратегическое мышление
• Ориентация на задачи бизнеса
• Абстрактное мышление
• Ориентир на решение проблемы
• Аналитическое мышление, внимание к деталям
• Навыки управления проектами и персоналом
• Навыки управления временем
• Этичное поведение
• Сильные коммуникативные навыки
44

45. 7 навыков по Кови
1. Будьте проактивны
2. Начинайте, представляя конечную цель
3. Сначала делайте то, что необходимо делать
сначала
4. Думайте в духе "выиграл-выиграл"
5. Сначала стремитесь понять, а потом быть
понятым
6. Достигайте синергии
7. "Затачивайте пилу"

46. 46
«Затачивайте пилу»
Личная ответственность,
Проактивность и Лидерство
Тайм-менеджмент Работа с информацией
и Майнд-карты
Понимание
стейкхолдеров, win-win
Нетворкинг

47. Начните изучение ТМ с этих книг
47

48. 48
• Даже добросовестно выполненное,
но пустяковое дело не перестанет
быть пустяковым
• Если на задачу тратится уйма
времени, важности ей это не
придает
20% усилий дают 80% результата,
а остальные 80% усилий — лишь 20% результата…

49. Мои приложения и Apple Watch
49

50. 50

51. 51
Затачивайте пилу
(Думайте «А как сделать лучше?», «А как упростить?»;
Используйте лучшие инструменты;
учитесь на чужом опыте)

52. У богатых людей большая библиотека,
у бедных - большой телевизор

53. 53
Мой ТОП 10 книг
Мои обзоры хороши книг - http://80na20.blogspot.ru/p/blog-page_2.html

54. Прочитал на выходных
Издание 1983 года
«В современных условиях удвоение
объема информации происходит
каждые 10—15 лет.
Объем же знаний удваивается
каждые 50 лет.
Таким образом, в обществе всегда
циркулируют огромные потоки
явно избыточной информации, не
содержащей новых знаний.»
54

55. Может есть данные актуальнее?
2011: отчет IDC «Extracting Value from Chaos»:
• В 2011 году будет создано и реплицировано
1,8 зеттабайт (1,8 трлн. гигабайт) данных
• Объемы данных удваиваются каждые 2
года
2017: отчет IDC «The Data Age 2025»:
• Объем данных за 2025 год составит
163 зеттабайт — в десять раз больше
общего объема данных за 2016 год
55

56. 56
7,5х1018 1025
< <

57. Новые вызовы…
• Обработка
• Хранение
• И, конечно, Информационная
безопасность
57

58. Новые вызовы…
58
Работы хватит на всех
• Обработка
• Хранение
• И, конечно, Информационная
безопасность

59. 2017-05-12
Прозоров Андрей, CISM
Руководитель экспертного направления
Solar Security
Мой блог – https://80na20.blogspot.ru
Мой твиттер - https://twitter.com/3dwave
Спасибо!