Забезпечення інформаційної безпеки автоматизованих систем відгуків. Інформаційна безпека автоматизованих систем: що за професія, ким працювати? ВНЗ та напрями

Забезпечення інформаційної безпеки автоматизованих систем відгуків. Інформаційна безпека автоматизованих систем: що за професія, ким працювати? ВНЗ та напрями

У 2005 році в Красноярську для здобуття освіти у сфері захисту інформації, можна було вступити до Красноярський державний технічний університет (тепер Політехнічний інститут СФУ) або Сибірський державний аерокосмічний університет. Я обрала останній, особливо мене приваблювала величезна ракета, намальована на фасаді, і слово "космос" у назві. У СибДАУ у свою чергу довелося обирати із двох напрямків: 090105 "Комплексне забезпечення інформаційної безпеки автоматизованих системі 090106 "Інформаційна безпека телекомунікаційних систем" (кваліфікація в обох випадках - фахівець із захисту інформації), у Політеху була спеціальність 090102 "Комп'ютерна безпека" (кваліфікація - математик). Між "комплексною" та "телекомунікаційною" безпекою Програми абсолютно різні, наше навчання було присвячене в основному вивченню основ зв'язку у всіх її проявах (радіо-, стільниковий, провідний зв'язок).

П'ять з половиною років ми будували моделі каналу зв'язку, малювали передавачі та приймачі, обчислювали характеристики сигналів, вивчали завадостійке кодування. І все це під керівництвом колишніх військових (у цьому є своя романтика). Для тих, кому подобається фізика, а особливо розділ "коливання та хвилі" (напевно, найскладніший у шкільній програмі), спеціальність "Телекомунікаційна безпека" підходила повною мірою. Багато моїх друзів і знайомих навчалися на "Комплексній безпеці" і в нас були деякі спільні заняття, хоча їхня програма, на мій погляд, була більш земною. Зате в ній було більше роботи з комп'ютерами та законодавством. Чоловік закінчував політех – у них було дуже багато математики (як у нас фізики).

Що зараз?

Все змінилося кілька років тому і тепер у СібДАУ можна вивчитися на бакалавра за напрямом 10.03.01 "Інформаційна безпека" та на спеціаліста зі спеціальності 10.05.02 "Інформаційна безпека телекомунікаційних систем" (моя спеціальність під новою назвою)(посилання) . Напрями СФУ вказані . У Томську навчають з інформаційної безпеки в ТУСУРі (посилання ). Відразу зазначу, що спеціальності закриті, а це означає, що осіб із громадянством інших країн (а також із подвійним громадянством) не приймають.

Чи легко вчитися?

Я б сказала, що вчитися досить складно, дуже багато домашньої самостійної роботи, курсових та типових. Постійно доводилося щось обчислювати та рахувати. Дуже багато фізики та математики. Дівчат раніше вчилося небагато, зараз набагато більше. У нас на групу десь із 27 осіб припадало три дівчинки. Для тих, хто вірить у гороскопи цікава деталь - у всіх трьох був знак зодіаку скорпіон, кажуть, що є схильність до технічних наук. Інший цікавий момент – кількість золотих та срібних медалістів – половина групи.

Що спільного між навчанням та роботою?

На жаль, більшість отриманих знань не знадобилося. Найкориснішим було вивчення правових та організаційних засад інформаційної безпеки у межах піврічного курсу. Всі предмети з комп'ютерної безпекитакож стали в нагоді, а ось електрозв'язок - ні. В університеті я з другого курсу займалася науковою роботоюі ходила на наукові семінари, мені здається, вони мені дали більше, ніж усі предмети:) Інші знання добирала з книг, журналів, Інтернету та виробничої практики.

Чи важко знайти роботу?

Є різні думки, але за своїм досвідом та досвідом своїх знайомих і друзів можу сказати, що знайти роботу складно, але можна. Я працюю вже на четвертому місці і щоразу за фахом. Причому перше і друге робоче місце було ще під час навчання, тож навіть із незакінченою вищою освітою роботу знайти реально. Фріланс знайти складно, все-таки для виконання робіт з технічний захистінформації потрібні ліцензії, що даються на організацію та отримати їх дуже важко. Але можна знайти собі робоче місце в компанії, яка надає послуги захисту інформації, тоді зарплата безпосередньо залежатиме від кількості клієнтів. Якщо хочеться стабільності – краще йти спеціалістом із захисту інформації на виробництво.

Заробітня плата

У середньому нижче, ніж у програмістів та підробіток знайти складніше. Але зазвичай вище, ніж у системних адміністраторів.

Чим займається спеціаліст?

Напрямків роботи дуже багато, навіть за однакової назви посади. Встановлення та налаштування засобів захисту інформації, написання інструкцій та положень з інформаційної безпеки, навчання користувачів методам безпечної роботи, робота з криптографічними засобами, розслідування інцидентів та багато іншого.

Мінуси

До мінусів я віднесла:

  • невеликий вибір робочих місць (порівняно з програмістами та іншими ІТ-фахівцями);
  • невисокий розмір зарплати, складність підробітку;
  • робота із великою кількістю документації.

Опис

Під час навчання на цьому профілі студентів навчають:

  • експлуатувати компоненти підсистем, проводити перевірку їх технічного стану, ремонтувати та здійснювати технічне обслуговування;
  • виконувати адаптацію та встановлення компонентів підсистем;
  • організовувати заходи, пов'язані з охороною праці та технікою безпеки;
  • застосовувати програмно-апаратні засоби, необхідні для забезпечення інформаційної безпеки в автоматизованих системах;
  • проводити моніторинг продуктивності апаратно-програмних засобів, що використовуються;
  • забезпечувати облік, обробку, передачу та зберігання конфіденційної інформації;
  • використовувати інженерно-технічне обладнання;
  • вирішувати приватні технічні завдання, які неминуче виникають у процесі проведення контрольних перевірок, атестації приміщень, об'єктів та технічних засобів;
  • застосовувати правові нормативні акти, методичні рекомендаціїта документи;
  • розробляти організаційну структуру у комплексній системі забезпечення захисту інформації;
  • моніторити ефективність комплексних систем, що використовуються для забезпечення інформаційного захисту.

Ким працювати

Основним напрямом у професійному зростанні є забезпечення інформаційного захисту на підприємствах. До них відносяться великі корпораціїта торговельні мережі. Таких послуг потребують також різні приватні детективні агентства, в яких ступінь захисту даних має бути на максимальному рівні. Лідерами з працевлаштування є різні державні структури, які регулярно потрібні розробники систем безпеки та діагностування існуючих зовнішніх загроз. Для просування по службі багато випускників розпочинають свою професійну діяльність у команді розробників на невеликих підприємствах. За цей час вони набувають безцінного досвіду, наявність якого дозволить працевлаштуватися у великі організації на кращих умовах.

Останнім часом у вишах став популярним такий напрямок, як "Інформаційна безпека". Ким працюватиме після випуску? Даним питанням задаються практично всі випускники та студенти спеціальності. З одного боку, це IT-технології, а з іншого – невідомість. Саме тому ми спробуємо розібратися, яка кар'єра може чекати на людину, яка освоїла "Інформаційну безпеку" у вузі. Якщо добре придивитися, то можна знайти дуже багато цікавих і престижних вакансій. Деякі з них можуть принести величезний дохід.

Монтажник мереж

Отже, ви освоїли або плануєте закінчити напрямок автоматизованих систем". Ким працювати після випуску? У виші вам на це питання не дадуть чіткої відповіді. Але на практиці можна зрозуміти, куди ви зможете влаштуватися.

Наприклад, випускник цієї спеціальності зможе працювати монтажником мереж. Переважно комп'ютерні. Як правило, таких фахівців дуже охоче беруть різні інтернет-провайдери. Вашим завданням буде здійснення контролю, безпеки та стабільності роботи головного сервера.

Іншими словами, якщо ви освоїли напрямок "Інформаційна безпека", ким працювати - не знаєте, то можете звернутися до відомих інтернет-провайдерів. Там вам швидко підберуть посаду. Причому монтаж мереж – це дуже важливе та важке заняття, але не особливо прибуткове. Тому доведеться підшукати якийсь інший варіант. Зрозуміло, якщо ви не вибрали монтажника як професію.

Програміст

Отже, ви надійшли на спеціальність Ким працювати через 5 років? Відповісти тут саме складно. Адже цей напрямок охоплює всі сфери IT-технологій. Насправді ж виходить приблизно така картина: ви стаєте який розуміє потроху у кожному ланці техніки та комп'ютерів.

Таким чином, у студента-випускника з'являється дуже багато різних варіантів для роботи. Тільки ось успіх працевлаштування, як правило, залежить від того, наскільки успішно та чітко людина під час навчання "зациклювалася" на чомусь конкретному. Якщо ви отримали спеціальність ким працювати - не знаєте, але при цьому займалися переважно програмуванням, то можете влаштуватися програмістом. Це дуже престижне і високооплачуване місце. Але працювати тут дано далеко не кожному. Для успішного працевлаштування доведеться ще з 1 курсу університету займатися програмуванням. І тоді удача вам усміхнеться.

Охоронець

Щиро кажучи, охоронцем може працювати будь-який фахівець. І навіть звичайнісінький студент. Тим не менш, ви отримали спеціальність "Інформаційна безпека телекомунікаційних систем". Ким працювати? Крім перерахованих вакансій також можна спробувати влаштуватися охоронцем. Тільки не в магазин чи торгову мережу, а в якесь престижне місце. Туди, де за порядком ви повинні стежити за допомогою спеціальних камер.

Але ця вакансія не дуже популярна. Навіть якщо врахувати, що за тим, що відбувається, ви будете спостерігати з теплого та затишного кабінету. Охоронець - це не той пост, заради якого варто навчатися в університеті 5 років, а то й більше. Тому багато хто влаштовується на цю посаду тільки заради практики. А потім шукають собі більш відповідне та престижне місце. Хоча зробити це буває не так просто.

Якщо ви освоїли спеціальність "Інформаційна безпека телекомунікаційних систем", ким працювати - ще не знаєте, а професія охоронця чи монтажника вам не надто підходить, то доведеться шукати ще. Насправді часом буває дуже важко знайти собі гарне містечко для роботи з диплому. І тому багато хто намагається влаштуватися "хоч кудись". Але ми намагатимемося визначити вакансії, які найкраще підходять випускникам цього напряму.

Системний адміністратор

Ось ще одна дуже підійде випускникам. Далеко не кожен може уявити, що системним адміністратором можна стати, отримавши практично будь-яку спеціальність напряму "Інформатика". Це досить проста робота, з якою зможе впоратися навіть школяр, що займається "з пелюшок" самоосвітою в області комп'ютера.

Ось така багатостороння спеціальність "Інформаційна безпека". Ким працювати, кожен намагається вибрати для себе потрібне місце. Якщо ви "записалися" до лав системних адміністраторів, то будьте готові до того, що доведеться постійно стежити за працездатністю комп'ютера та мережі. Для багатьох це дуже просте завдання, яке приносить задоволення. Крім того, системний адміністраторповинен також проводити налаштування та налагодження операційних системта обладнання. А з цими процедурами зараз знайомий навіть школяр.

Найчастіше робота сисадміна вважається дуже престижною і особливо важкою. Найчастіше вам виділяють окремий офіс, в якому ви можете займатися всім, що вважаєте за потрібне. Але до того часу, поки щось не вийде з ладу. Або роботодавець може визначити вам вільний графік (за викликом). Все працює? Тоді сидіть удома. Щось раптово зламалося? Будьте ласкаві приїхати на робоче місце і все виправити. До речі, розмір зазвичай не залежить від характеру вашого робочого графіка.

Але це ще далеко не все, що приготувала "Інформаційна безпека". Де працювати крім перерахованих варіантів?

Приватні служби охорони (установка обладнання)

Наприклад, якщо вам не дуже хочеться працювати охоронцем, але хоч якось "приписати" себе до цієї професії бажання є, то можете влаштуватися на робітника в приватну службу охорони (наприклад, підприємств). Ким варто туди йти? Наприклад, майстром із встановлення відстежувального устаткування.

Якими будуть ваші обов'язки? Приїхати за місцем замовлення послуг, встановити обладнання, підключити його, перевірити працездатність та налаштувати (при потребі). І це все. Деяким може здатись, що нічого складного тут немає. Але насправді все трохи інакше - деякі працівники не здатні, наприклад, правильно підключити камери до "сервера" або комп'ютера, де буде відображатися відеозапис всього, що відбувається.

Крім того, іноді доведеться надавати допомогу з перегляду записів, зроблених на камери стеження. Особливо це актуально тоді, коли охоронець на робочому місці не вміє поводитися з подібним обладнанням. Загалом робота майстром по встановленню систем стеження - це теж дуже престижно. Особливо, якщо ви добре знаєте свою справу.

Вчитель інформатики

Якщо вам не з чуток відома "Інформаційна безпека" (спеціальність), де працювати, швидше за все, вам достеменно невідомо. У цьому випадку, як уже було сказано, студенти та випускники намагаються знайти собі хоч якесь робоче місце. І одним із варіантів стала школа. Ким тут влаштуватися? Ви можете стати учителем інформатики.

Правду кажучи, напрям цей не особливо відповідає обраній професії. Проте загальні уявлення про комп'ютери у студентів все-таки формуються. І вони можуть подати цей матеріал школярам. Фахівець з інформаційної безпеки, який працює звичайнісіньким учителем інформатики, - далеко не рідкість у наш час. Зазвичай, на цю вакансію погоджуються тоді, коли інших варіантів вже немає. Ось така жорстока "Інформаційна безпека". Ким ще працювати? Спробуємо розібратися у цьому.

Підприємець

Індивідуальні та приватні підприємці - далеко не рідкість у наш час. Зазвичай, якщо в людини є диплом і немає роботи або ж освіта відсутня, зате є багато ідей, часу і сил, то вона стає підприємцем і відкриває власну справу. Те саме можна зробити, якщо ви освоїли напрямок "Інформаційна безпека". Ким працювати конкретно?

Наприклад, ви можете організувати контору комп'ютерної допомогиабо приватної установки систем стеження. Таке обладнання зараз коштує не дуже дорого, та ще й продається практично в кожному комп'ютерному магазині. Крім того, можете спробувати стати копірайтером на комп'ютерну тематику. Інформаційна безпека, а точніше статті на цю тему дуже популярні в інтернеті. Та й робітка, якщо ви знаєте свою справу і маєте здібності до письменства, буде не така вже й важка. Проте дуже прибуткова.

Підбиття підсумків

Тож сьогодні ми розібралися, де можуть працювати випускники спеціальності "Інформаційна безпека". Як бачите, варіантів розвитку подій дуже багато і багато хто з них залежить від індивідуальних навичок кожного студента.

Взагалі, такі працівники в реального життявлаштовуються працювати будь-яке місце, що з комп'ютерами. Тут і дизайнери, і 3d-"модельєри", і веб-програмісти. Головне, визначитися самостійно, чим ви хочете займатися. І вдосконалювати у цій галузі свої навички вже з 1-го курсу.

Ким ви зможете працювати після закінчення факультету інформаційної безпеки та де набрати досвід? Чи є сенс навчатися на безпечника, якщо ви мешкаєте в маленькому місті? Про все це розповість Сергій Кручинін – керівник освітніх проектів GeekBrains. Ця людина керує роботою деканів усіх 8 факультетів GeekUniversity та погодить навчальні плани.

Сергію, почнемо з головного. Фахівець з інформаційної безпеки – це широке поняття. Чому саме ви навчаєте?

Насамперед хочу сказати, що програма факультету розроблена практикуючими фахівцями. Особлива подяка Микиті Ступіну – спеціалісту з інформаційної безпеки Mail.Ru та декану нашого факультету. Ми будемо ділитися зі студентами найкращими практикамибезпеки, які вже використовуються в Mail.Ru Group.

Щоб ніхто не заплутався, треба розуміти, що у сфері інформаційної безпеки (ІБ) є «паперова» і практична робота. «Паперові» фахівці стежать, чи відповідає система безпеки – за документами – вимогами закону. Насправді в ній може бути повно дірок, які ніхто не шукає і не усуває, але в документації – все за стандартом.


Не треба так

Ми наголошуємо не на «паперовій», а на практичній безпеці веб-додатків, мереж, обладнання та даних. Наші студенти вивчать методи та технології злому, інструменти хакерів, роботу систем, які потрібно захищати. Всі ці знання необхідні для пошуку та закриття вразливостей.

З «паперовою» стороною ІБ наші студенти також коротко познайомляться: навчаться складати регламенти та інструкції для співробітників підприємства. Стандарти та документація в жодному разі не марні, але не можна замінювати ними реальний захист.

- Чому у GeekUniversity обрали саме такий шлях?

Практична безпека важливіша. Сильному бізнесу цікавий насамперед результат. Я б радив починати з практики ще й тому, що вона швидше приведе вас до молодої та прогресивної IT-команди.

На «паперові» вакансії частіше йдуть люди 40–50 років із особливим типом мислення, вищою освітою та досвідом роботи в держустановах. Вони дивляться на речі формально. Під час аудиту вони ставлять запитання на кшталт «Чи є у вас система виявлення вторгнень?». Або щоб щось перевірити, просять у клієнта пароль від root-у. Наш випускник без пароля подивиться на середньої машини, що йому потрібно, і сам поміняє пароль, якщо буде потрібно.

У GeekUnivestity ми готуємо фахівців, які будуть потрібні в Mail.Ru Group і аналогічних компаніях - зможуть брати участь у забезпеченні безпеки великого поштового сервісу, наприклад.

– До речі, фахівців з яких напрямків безпеки беруть у компанію Mail.Ru Group?

Серед пріоритетів – продуктова безпека (Application Security), є навіть відкрита вакансія. Фахівці в цій галузі вміють знаходити вразливості веб-сервісів, нейтралізувати ін'єкції SQL, OS Command injection та інше. Також потрібні фахівці з інфраструктурної безпеки. Їхні компетенції: захист на рівні мережі (L3, L4, TCP/IP, фаєрволи), безпека операційних систем (контроль за оновленням пакетів та ядра), парольні політики, сканування периметра - перераховувати можна довго.

- Для тих, хто тільки знайомиться з термінологією, що таке ін'єкції у веб-сервісах?

Це коли замість очікуваних програмою даних, таких як ідентифікатор повідомлення, зловмисник вбиває потрібну йому команду, а скрипт її виконує. Шахрай отримує доступ до конфіденційних даних або навіть до машини, на якій знайдено вразливість.

- Які ще погрози ви вчите знаходити?

Бінарні, криптографічні. Видів уразливостей багато. Однією лише веб-безпеці присвячені перші дві чверті навчального року. Це дуже важливий напрямок, тому що бізнес з офлайну переходить в онлайн, а дані користувача йдуть у веб і в хмари. Ще 10 років тому таксі замовляли лише телефоном. Тепер - в основному через сервіси типу Uber та Яндекс.Таксі. І головне питання – наскільки захищений веб-сервіс, якому ти довіряєш свої дані.

Якщо розробники сайту не подбали про безпеку, більш-менш просунутий користувач може прочитати чужі повідомлення, переглянути фотографії тощо. Є набір веб-уразливостей, розрахованих на безтурботність програміста. Ми пояснюємо студентам, як зловмисники знаходять і експлуатують такі вразливості, чого це може призвести і як це запобігти.

Знати такі речі корисно і веб-розробникам, керівникам проектів, і всім, хто хоче захищати конфіденційні дані відвідувачів свого сайту. Або потрібно залучати спеціаліста-практика, який проведе аудит. Виявити погрози - це менше ніж півсправи. Потрібно ще вигадати, як їх усунути, а потім простежити, щоб захист працював.


Офіс GeekBrains: працюємо допізна, аби студенти отримали знання

Крім веб-безпеки наші студенти детально вивчають безпеку мережі. Ці напрями частково пов'язані, тому що є загрози, які торкаються не тільки серверної, а й клієнтської частини сервісу.

Наприклад, деякі сайти, зокрема великих організацій, не шифрують трафік. Це дозволяє перенаправляти його на підставні машини та перехоплювати все, що користувачі хотіли відправити на сервер.

А якщо людина живе у маленькому місті, де немає передових IT-компаній? Ось він вивчився на практика-безпека. Ким йому працювати?

Стек технологій, який ми викладаємо, зав'язаний і системне адміністрування, і інші суміжні з ІБ області. Якщо людина старанно навчається, у нас вона стане фахівцем широкого профілю. Зараз поясню докладніше.

Хороший безпечник має вміти адмінити. Якщо ви подивіться на резюме спеціалістів з інформаційної безпеки, у багатьох у кар'єрі був етап сисадмінства.

Наші студенти щільно вивчають Linux. Хто раніше не працював із цією операційною системою, перш за все навчиться ставити її на віртуальній машині. Далі студенти освоюють роботу в терміналі, встановлення програмного забезпечення та вирішення базових завдань.

Ще ми вчимо роботі з сервісами: як підняти сервер Nginx або Apache, базу СУБД, налаштувати DNS-сервер BIND та пошту. Потрібно лише пам'ятати, що знання не приходять автоматично після оплати навчання – доведеться докладати зусиль.

- Будувати та налаштовувати мережі – теж вчите?

Так. Мережевий інженер – ще одна професія, з якою перегукується робота безпечника. Потрібно вміти як мінімум налаштовувати мережеві фільтри, закривати порти, відстежувати активні з'єднання.

При вивченні комп'ютерних мережстуденти відпрацюють практичні навички на тренажері Cisco Packet Tracer. Ми його вибрали заради наочності, але вміння працювати з обладнанням Cisco – ще й бонус до резюме.

Наріжна тема мережевої безпеки- TCP/IP. Це модель передачі даних через мережу. З різними її реалізаціями адміни та безпечники працюють постійно. Ми розповідаємо, що таке протоколи канального та мережевого рівня, як вони працюють, навіщо потрібна MAC-адреса. Мало хто в цьому розуміється, хоча саме на канальному рівні збудовано багато типів атак.


Вивчаємо мережеві технології

- Повернемося до ситуації «випускник не хоче переїжджати з маленького міста». Де працювати?

Почнемо з того, що є всюди провайдери. Нашого випускника вони із задоволенням візьмуть мережевим інженером. Причому це буде мережевий інженер із дуже хорошим розумінням безпеки. У кар'єрному плані він матиме перевагу перед людьми, які раніше тільки прокладали сіті: обтискали кручену пару і бігали з нею по горищах. Нашому інженеру-безпечнику буде простіше зростати до керівника. У провайдерів є сайти та якісь сервіси – тут теж можна себе проявити.

Наступний момент – скрізь потрібні сисадміни. Якщо у компанії немає окремого спеціаліста з інформаційної безпеки, його обов'язки виконує системний адміністратор. І знову – наш випускник отримує перевагу перед адмінами, які вивчали безпеку самі та поверхово.

Від себе особисто додам, що якщо у вас є можливість переїхати до Москви чи Санкт-Петербурга і попрацювати у великій місцевій чи міжнародній компанії, воно того варте. Ми маємо студентів, яким це вже вдалося.

- А як щодо роботи із додатками? Адже безпека має ще й софт тримати під контролем.

Так, ми навчаємо дизассемблювання та аналізу додатків, щоб студенти могли виявляти шкідливий код.

Потрібно розуміти, що зловмисники і ті, хто з ними бореться, використовують одні й самі інструменти. "Чорні" (погані) хакери аналізують програмне забезпеченнята шукають уразливості, якими можна скористатися. "Білий" (етичний) хакер шукає помилки, щоб закрити дірки в безпеці.

Ми вчимо досліджувати код. Якщо програміст був необережним, за певних умов програма може видати конфіденційні дані. Наприклад, відправити користувачу шматок оперативної пам'яті, де зберігаються паролі, закриті ключі та інші цікаві речі.

Ми також навчаємо програмувати мовою Python. З ним зручно автоматизувати завдання чи писати свої інструменти аналізу даних. Ці навички виводять безпеку на більш високий професійний рівень.

Ще маємо курс «Операційні системи». Він розповідає про архітектуру ОС, про те, як відрізняються загрози безпеці в Linux, DOS, Windows та інше.

Ми пояснюємо, що такий простір ядра і простір користувача, як працює пам'ять, чому одна програма в сучасних операційних системах не може змінити дані іншої програми. Чим процес відрізняється від потоку.

Ближче до кінця курсу – у четвертій чверті – студенти знайомляться з темою бінарних уразливостей.

- Ти згадав, що складання регламентів та роботи з документами студенти теж навчаються.

Ми розповідаємо про взаємодію з силовими та контролюючими структурами - ФСТЕК та ФСБ. Вчимо, коли і як застосовувати передбачені законом РФ стандарти безпеки.

Є ще один важливий момент. Ми навчаємо основ соціальної інженерії. Тому що зловмисник ніколи без потреби не йде складним шляхом. Перш ніж щось ламати, він намагається виманити пароль чи іншу необхідну інформацію в користувача. Ми розповідаємо, як врахувати подібні схеми під час складання інструкцій для співробітників компанії.

- Тобто ви готуєте "універсального солдата" безпеки?

Ми готуємо людину, яка вміє зламувати та захищати. Необхідно розуміти методи злому, щоб грамотно побудувати інформаційну систему.

Хороший безпечник має ті ж навички, що й зловмисник. Але застосовує їх не в корисливих та/або злочинних цілях, а щоб захистити систему і, зрештою, користувачів.

Зламати можна будь-що - це питання часу та ресурсів. Але обхід добре збудованого захисту може нападника просто розорити.

- Як розставлені пріоритети між напрямами, що вивчаються?

Головний акцент на веб-безпеку. До неї примикають мережева інженерія та системне адміністрування. За рештою напряму ми даємо базові знання, які можна розвивати залежно від інтересів учня.

Де студенту-безпеці набирати практичний досвід? Які досягнення він за підсумками навчання зможе записати собі у резюме? І як прокачатись самому?

Загрози можна моделювати. І тому є спеціальні інструменти. Починати краще з простих речей: беремо та ставимо на сайт «глючний веб-додаток» - bWAPP (buggy web application). Воно спочатку створено небезпечним, щоб на ньому «етичні хакери» тренувалися знаходити та блокувати вразливості.

Ще є DVL – спеціальний Linux-дистрибутив із навмисними помилками налаштування.

Такі інструменти дуже корисні, але вони можуть студентам швидко набриднути, тому ми заготовили цікавіші випробування. Наприклад, змагання типу Capture the flag. Ви отримуєте доступ до віддаленої машини, але заздалегідь не знаєте її вразливостей та повинні їх знайти. Перемоги у таких конкурсах та змаганнях на ринку цінуються – їх можна сміливо записувати у резюме. Зламати серйозний тренажер не легше, аніж реальний сайт.

Також варто брати участь у конкурсах на кшталт Bug Bounty. Це коли організація пропонує винагороду тим, хто знайде вразливість у продукті. Ми розповімо, як брати участь у таких програмах. Якщо у вас прокачений обліковий запис на hackerone, вам будуть раді у великих компаніях, у тому числі закордонних.

Ще наш студент може пропонувати власникам сайтів послуги аудиту: знаходити та закривати вразливості. Головне – домовитися з господарем сайту заздалегідь, бо межа між «чорним» та «білим» хакерством дуже тонка і за непрохану допомогу можна потрапити під статтю.

Чи є сенс пропонувати аудит безпеки тим, хто про неї не переймається? Буває, вразливість видно навіть нефахівцеві, але її ніхто не усуває.

Пробувати варто. Декому справді марно писати, але є й ті, хто не замислювався над проблемою. Я одному власнику сайту пояснив, що він використовує HTTP, а час уже на HTTPS перейти, бо інакше паролі користувачів передаються незахищеним каналом зв'язку. І людина прислухалася. Якщо сайт приносить дохід, власник зацікавлений у його розвитку та, швидше за все, піде на діалог.

Ось людина перемогла у конкурсі, провела комусь аудит, але ще не працювала у штаті. Під час пошуку роботи це проблема?

Ні. Наш випускник цілий рік провів з GeekBrains та Mail.Ru Group. Він уже уявляє собі роботу безпечника в великої компаніїзнає весь стек технологій і зібрав стартове портфоліо. З погляду середнього роботодавця це чимало.

- Чим буде блиснути на співбесіді...

Само собою. Не виключено, що випускник розбиратиметься в якихось питаннях краще за майбутнього керівника.

Сергію, дякую величезне! Тепер у мене цілісна картина, чого й навіщо навчають на факультеті інформаційної безпеки. Якщо у читачів залишилися питання – сподіваюся, вони їх зададуть у коментарях. А ми з тобою ще знайдемо час так само детально поговорити про інший факультет – штучний інтелект.

Про новий факультет і про напрямок Data Science справді багато що можна розповісти. Тож до наступного разу.

Фахівець з інформаційної безпеки – це людина, яка займається аналізом інформаційних ризиків компанії, розробляють та впроваджують заходи щодо їх запобігання. У його обов'язки також входить установка, настроювання та супровід технічних засобів захисту даних. Спеціалісти з безпеки також проводять заходи щодо навчання та консультації працівників з питань забезпечення інформаційного захисту, розробляють нормативно-технічну документацію.

Спеціаліст з інформаційної безпеки, особливо у великій компанії, вирішує не лише цікаві завдання, а й несе величезну відповідальність. Він повинен добре розуміти принципи адміністрування та вміти створювати системи захисту для конкретних підприємств з метою захисту локальних комп'ютерних мереж від вірусних атак або зламування хакерів. Крім того, співробітнику, відповідальному за безпеку інформації, доводиться навчати інших співробітників дотримання основ інформаційної безпеки. Іноді його сковують додаткові зобов'язання, такі як обмеження на виїзд, якщо робота здійснюється в державній компанії.

Інші назви професії: Технік із захисту інфокомунікаційних систем, Старший технік із захисту інфокомунікаційних систем, Фахівець із захисту даних, Безпека

Обов'язки

Створення та перевірка систем захисту даних

Спеціаліст з інформаційної безпеки повинен проводити збір та аналіз матеріалів організації для вжиття заходів щодо забезпечення інформаційної безпеки, а саме:

  • встановлювати та налаштовувати технічні та програмні засобизахисту;
  • знаходити можливі канали витоку відомостей, що становлять державну, військову, службову або комерційну таємницю;
  • брати участь у розробці нових засобів автоматизації контролю, схем апаратури контролю, моделей та систем захисту інформації;
  • встановлювати, налаштовувати та обслуговувати технічні та програмно-апаратні засоби захисту інформації

Формування документації

Розробляти та оформлювати проектну та робочу технічну документацію відповідно до стандартів - ще одне завдання безпечника.

  • складати правила, положення, інструкції та інші організаційно-розпорядчі документи для управління інформаційною безпекою;
  • розробляти пропозиції щодо вдосконалення та підвищення ефективності засобів інформаційної безпеки.

Консультування співробітників

Фахівець з інформаційної безпеки також повинен проводити консультації з працівниками компанії, допомагати їм у вирішенні проблем, що виникають:

  • організовувати роботу колективу з урахуванням вимог захисту;
  • забезпечувати правовий захистінформації;
  • обстежити об'єкти захисту, проводити атестацію.

Що потрібно знати та вміти

    Особисті якості
  • Системність та гнучкість мислення;
  • орієнтація на конкретний результат діяльності;
  • Ініціативність;
  • Здатність планувати та проектувати;
  • Комунікабельність;
  • Організованість;
  • відповідальність;
  • Цілеспрямованість;
  • Здатність до самонавчання;
  • Стресостійкість.
    Основні навички
  • Розуміння основ інформаційної безпеки;
  • Знання англійської мовилише на рівні читання технічної литературы;
  • Вміння програмувати різними мовами C, C#, JAVA, Perl, PHP, JSP, EJB, J2EE і т.д.
  • Навички адміністрування різних операційних систем, налаштування та підтримки антивірусного ПЗ;
  • розуміння архітектури мережі;
  • Вміння правильно ставити завдання.


Популярне в рубриці:
Як створити караоке кліп на комп'ютері?
Як створити караоке кліп на комп'ютері?
читати
Додаток Origin необхідний для гри, але він не встановлений Фіфа 16 вимагає оріджин
Програма Origin необхідна для гри, але вона не встановлена ​​Фіфа...
читати
Реєстрація особистої сторінки у соціальній мережі Facebook
Реєстрація особистої сторінки у соціальній мережі Facebook
читати
Як запустити просте сканування Nmap Nmap
Як запустити просте сканування Nmap Nmap
читати

Останні статті
Як повернути картинку на кілька градусів...
читати
Відключення реклами в яндекс-браузері Де...
читати
Усунення проблем з Wi-FI підключенням на...
читати
Змінити пароль на профілі віндовс 10
читати
Інструкція з налаштування бездротових роутерів.
читати
Як вибрати жорсткий диск і який краще купити?
читати
Meizu для чайників. Дзвінки та адресна книга.
читати
Завантажити програму PDFMaster
читати
Top