Как се става охранител
В мрежата доста често има въпроси: „какво да чета за информационната сигурност? как да отида на безопасно? Какво трябва да знае един специалист по информационна сигурност? къде да започна да изучавам информационна сигурност?
През последните 6 години ние разработваме и прилагаме нашите курсове за обучение в университети в ОНД, посветени на предотвратяването на изтичане на информация и използването на DLP системи, с нашите колеги начело. През това време изградихме собствена визия за посочения в заглавието проблем. Това не е аксиома, не е истина от последна инстанция. Може да не сте съгласни с някои от твърденията. Но да започнем.
Да бъдеш, а не да изглеждаш
Как се става охранител? И как да станем силни? Борци, бодибилдъри, бодибилдъри, пауърлифтъри, силни турсикмени? да същото ли е Не. Всеки има своя специализация. Ето защо, ако възнамерявате да станете охранител, първо трябва да вземете решение за сферата на дейност: анализатор на вируси, разработчик на определени системи, пентестър, мениджър и др. Всяко направление има свой набор от качества, знания, отговорности, задачи и инструменти.
Какво прави един спортист добър щангист? Колан, щангисти, наколенки, длани, „колосани“ с магнезий? Отново не. Тази атрибутика прави човек да изглежда като щангист. В действителност техниката на изпълнение на упражнението и взетата тежест играят роля. Така че служителят по сигурността става добър специалист не защото има планина от сертификати, 2 твърди диска с презентации и 300 тематични уебинара в папката „подредете“, а защото има знания, разбиране за тяхното приложение и практически опит.
Битката на два якодзуна
В областта на информационната сигурност вечният проблем на работодателите и търсещите работа също не беше безобиден. Първият, както знаете, би искал да види в персонала опитен млад специалист, не по-възрастен от 25 години, но с30 години опит, разбиране на всичко - от настройка на системи за контрол на достъп до оформление на корпоративни брошури в Illustrator. И, разбира се, той трябва да работи за 12 000 рубли (за предпочитане на година). Що се отнася до кандидатите, на първо място в техните желания обикновено е шестцифрена месечна заплата. Като цяло, известен конфликт на интереси.
Освен това има мнение, че завършилите нищо не знаят, нямат опит и въобще трябва да са благодарни, че поне някой иска да ги вземе. От друга страна, висшистите биха се радвали да учат сами, но изискванията на работодателите често са толкова различни, че просто не е ясно откъде да се започне.
Започнете със себе си
Това ни връща към първия въпрос. След като решите в коя област искате да работите, трябва да се заемете със събирането на първична информация. Ако искате да работите в банка, проучете свободните работни места на порталите на агенциите за подбор на персонал. Анализирайте какви умения „мигат“ по-често, какви сертификати се търсят и т.н. Чувствайте се свободни да питате директно. Няма познати от желаната област - отидете на тематични ресурси, форуми, групи в социалните мрежи. Както и да е, докато не вземете решение за отговора, няма смисъл да продължавате.
Например, какво трябва да знае служител по сигурността, за да предотврати изтичане на информация?
Първото нещо, с което ще трябва да се сблъскате в тази позиция, е регулацията. GOSTs, индустриални стандарти, федерални закони, ведомствени заповеди и др. Обработвате ли лични данни? - трябва да "знае и може" FZ-152. Свързани с правителствени информационни системи? - не забравяйте за заповедите на FSTEC № 17 и № 21. Искате ли да защитите информация, която е търговска тайна? – първо въведете съответната позиция. Като цяло, без планина от документи, никъде.
Вторият задължителен елемент са уменията. В идеалния случай човек трябва да бъдемалко юрист (и те ще трябва да станат, изпълнявайки заповедта за регулаторна документация), малко психолог (работа с хора в стила на следовател на Министерството на вътрешните работи) и много анализатор, защото основната дейност е свързана с идентифициране, предотвратяване и разследване на течове. Това е минималният набор, който допълнително ще бъде допълнен със специфични знания и опит, характерни за конкретна фирма.
Продължете с професионалистите
Къде да получите липсващите знания? Ако по-рано не беше възможно да се получи добра техническа литература, днес има толкова много информация, че очите се разширяват и ръцете падат.
За съжаление, като цяло мрежата е богата на различни маркетингови преливания от празно към празно: презентации и доклади от „търговски“ конференции, различни примамливи уебинари и т.н. Намирането на нещо наистина полезно се превръща в нетривиална задача.
Който търси обаче намира. Например Алексей Лукацки в своя блог направи селекция от курсове и платформи по темата за информационната сигурност (част 1, част 2). Единственото „но“ е, че повечето (не всички!) от предложените ресурси са на английски език. Въпреки това, както показва практиката, има ентусиасти, които поемат както отделни книги, така и глобални проекти.
Ако искате да получите знания по точка, по конкретен въпрос или посока, повтарям, не се страхувайте да питате. Има тематични и секторни общности, например Съюзът на ръководителите на службите за сигурност на Урал, където, ако изведнъж не отговорят директно, тогава поне ще дадат съвет в коя посока да копаят. Също така е полезно да посещавате семинари и практически събития. Възможностите не свършват дотук – има специализирани курсове за студенти.
За да не отивам далеч за пример, ще ви разкажа за нашето обучениецентър. Вече шест години ние обучаваме безплатно студенти, избрали посоката на информационната сигурност. Днес ние си сътрудничим с повече от 50 университета в страните от ОНД и даваме на участниците реални практически знания чрез интегриран подход към учебния процес. Схематично това изглежда така:
В допълнение към учебника и лекциите, по-голямата част от времето е посветено на класове с реален софтуер (DLP-система) и анализ на ситуации, които не „може да се случат някога“, но които се случват „тук и сега“. От своя страна разделението на материала между университета и системата за дистанционно обучение помага да се отсеят тези, които са мързеливи или не могат да научат материала сами. В крайна сметка един добър специалист трябва да може да работи самостоятелно, а не да се оглежда за учители, когато е изправен пред непозната ситуация.